Esta página foi traduzida pela API Cloud Translation.

Adicionar usuários do SIEM ou SOAR ao Google SecOps

Compatível com:

Google SecOps

Este documento é destinado a administradores do Google Security Operations que querem conceder permissão a usuários específicos para usar apenas os recursos de SIEM no Google SecOps (como investigar dados brutos) ou apenas os recursos de SOAR do Google SecOps (como gerenciar casos). Devido à natureza da plataforma Google SecOps, os dois conjuntos de usuários precisam de permissões mínimas do SIEM e do SOAR antes de fazer login na plataforma.

Antes de começar

Esses procedimentos são baseados na suposição de que você já integrou a plataforma Google SecOps, ativou a API Chronicle e começou a trabalhar com as permissões do IAM. Os procedimentos a seguir podem variar um pouco, dependendo se você configurou um provedor do Cloud Identity ou um provedor de identidade de terceiros.

Configurar usuários com permissões somente para SIEM

Defina um papel predefinido ou um papel personalizado com as permissões relevantes do SIEM:
- Se você usou o provedor do Cloud Identity, mapeie o e-mail de um usuário na página de mapeamento de grupos do IdP.
- Se você usou um provedor de identidade de terceiros, mapeie grupos na página de mapeamento de grupos do IdP.
Em ambos os casos, na tela de mapeamento do grupo do IdP, mapeie o e-mail ou o grupo para os parâmetros mínimos de acesso de controle, conforme mostrado abaixo:
- Grupos de permissões:
  - Defina o tipo de licença como Padrão.
  - Defina a página de destino como Pesquisa SIEM.
  - Em Permissões de leitura/gravação, ative a opção Página inicial.
- Funções do SOC: selecione Somente SIEM. Primeiro, adicione essa função como uma nova função do SOC.
- Ambientes: selecione Padrão.

Configurar usuários com permissões somente para SOAR

Defina uma função predefinida ou uma função personalizada. O papel personalizado precisa conter as seguintes permissões mínimas:
- chronicle.instances.get
- chronicle.preferenceSets.get.
Se você estiver usando o provedor do Cloud Identity, mapeie o e-mail de um usuário na página de mapeamento de grupos do IdP.
Se você estiver usando um provedor de identidade de terceiros, mapeie grupos na página de mapeamento de grupos do IdP. Você pode escolher os parâmetros de controle de acesso que atendam às suas necessidades. Para mais informações, consulte controlar parâmetros de acesso.