將 SIEM 或 SOAR 使用者新增至 Google SecOps

本文適用於 Google Security Operations 管理員，他們想授予特定使用者權限，讓對方只能使用 Google Security Operations 的 SIEM 功能 (例如調查原始資料)，或只能使用 Google Security Operations 的 SOAR 功能 (例如管理案件)。由於 Google SecOps 平台的性質，兩組使用者都必須具備 SIEM 和 SOAR 方面的最低權限，才能登入平台。

事前準備

這些程序的前提是您已加入 Google SecOps 平台、啟用 Chronicle API，並開始使用 IAM 權限。以下程序可能會略有不同，視您設定的是 Cloud Identity 提供者或第三方身分識別提供者而定。

設定僅具備 SIEM 權限的使用者

1. 定義預先定義的角色或自訂角色，並授予相關 SIEM 權限：
   • 如果您使用 Cloud Identity Provider，請在電子郵件群組對應頁面上對應使用者電子郵件群組。
   • 如果您使用第三方身分識別提供者，請在身分識別提供者群組對應頁面上對應 IdP 群組。
2. 在任一頁面中，將 IdP 群組或電子郵件群組對應至最低控管存取權參數，如下所示：
   • 權限群組：
     • 將授權類型設為「標準」。
     • 將到達網頁設為 SIEM 搜尋。
     • 在「讀取/寫入」權限下方，按一下「首頁」切換鈕。
   • 資安營運中心 (SOC) 角色：選取「僅限 SIEM」。您必須先新增 SIEM SOC 角色，
   • 環境：選取「預設」。

設定僅具備 SOAR 權限的使用者

1. 定義預先定義的角色或自訂角色。 自訂角色必須具備下列最低權限：
   • chronicle.instances.get
   • chronicle.preferenceSets.get。
2. 如果您使用 Cloud Identity Provider，請將使用者電子郵件群組對應至電子郵件群組對應頁面。
3. 如果您使用第三方身分識別提供者，請將 IdP 群組對應至 IdP 群組對應頁面。 您可以選擇符合需求的控管存取權參數。 詳情請參閱控制存取權參數。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。