将 SIEM 或 SOAR 用户添加到 Google SecOps

本文档面向 Google Security Operations 管理员，他们希望向特定用户授予权限，以便其仅使用 Google SecOps 中的 SIEM 功能（例如调查原始数据）或仅使用 Google SecOps 中的 SOAR 功能（例如管理支持请求）。由于 Google SecOps 平台的特殊性，这两组用户都需要从 SIEM 和 SOAR 两侧获得最低限度的权限，然后才能登录该平台。

准备工作

以下程序基于以下假设：您已加入 Google SecOps 平台，启用了 Chronicle API，并开始使用 IAM 权限。以下步骤可能会略有不同，具体取决于您配置的是 Cloud Identity 提供商还是第三方身份提供商。

设置仅拥有 SIEM 权限的用户

1. 定义具有相关 SIEM 权限的预定义角色或自定义角色：
   • 如果您使用的是 Cloud Identity 提供商，请在电子邮件群组映射页面上映射用户电子邮件群组。
   • 如果您使用的是第三方身份提供商，请在 IdP 群组映射页面上映射 IdP 群组。
2. 在这两个页面上，将 IdP 群组或电子邮件群组映射到最小控制访问权限参数，如下所示：
   • 权限组：
     • 将许可类型设置为标准。
     • 将着陆页设置为 SIEM 搜索。
     • 在读/写权限下，点击首页切换开关。
   • SOC 角色：选择 仅限 SIEM。您需要先将其添加为新的 SOC 角色，才能创建 SIEM SOC 角色。
   • 环境：选择默认。

设置仅拥有 SOAR 权限的用户

1. 定义预定义角色或自定义角色。 自定义角色必须包含以下最低权限：
   • chronicle.instances.get
   • chronicle.preferenceSets.get。
2. 如果您使用的是 Cloud Identity 提供商，请将用户电子邮件群组映射到电子邮件群组映射页面。
3. 如果您使用的是第三方身份提供商，请将 IdP 群组映射到 IdP 群组映射页面。 您可以选择满足您需求的控制访问权限参数。如需了解详情，请参阅控制访问权限参数。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。