将 SIEM 或 SOAR 用户添加到 Google SecOps

支持的平台:

如果 Google Security Operations 管理员希望向特定用户授予权限,使其只能使用 Google SecOps 中的 SIEM 功能(例如调查原始数据),或者只能使用 Google SecOps 中的 SOAR 功能(例如管理支持请求),请参阅本文档。由于 Google SecOps 平台的性质,这两类用户都需要拥有 SIEM 和 SOAR 端的最低权限,才能登录该平台。

准备工作

这些步骤假定您已加入 Google SecOps 平台、启用了 Chronicle API,并开始使用 IAM 权限。以下步骤可能会略有不同,具体取决于您配置的是 Cloud Identity 提供程序还是第三方身份提供程序

设置仅拥有 SIEM 权限的用户

  1. 定义具有相关 SIEM 权限的预定义角色自定义角色
    • 如果您使用的是 Cloud Identity 身份提供程序,请在 IdP 群组映射页面中映射用户电子邮件地址
    • 如果您使用的是第三方身份提供商,请在IdP 群组映射页面中映射群组
  2. 在上述两种情况下,在 Idp 群组映射界面中,将电子邮件地址或群组映射到最低控制权限参数,如下所示:
    • 权限组
      • 将“许可类型”设置为标准
      • 将“着陆页”设置为 SIEM Search
      • 读/写权限下,开启首页切换开关。
    • SOC 角色:选择仅限 SIEM。您需要先将其添加为新的 SOC 角色,然后才能创建此角色。
    • 环境:选择默认

设置仅拥有 SOAR 权限的用户

  1. 定义预定义角色自定义角色。自定义角色必须至少包含以下权限:
    • chronicle.instances.get
    • chronicle.preferenceSets.get
  2. 如果您使用的是 Cloud Identity 身份提供程序,请在 IdP 群组映射页面中映射用户电子邮件地址
  3. 如果您使用的是第三方身份提供商,请在 IdP 群组映射页面中映射群组。您可以选择符合您需求的控制访问权限参数。如需了解详情,请参阅控制访问权限参数