Le niveau Enterprise de Security Command Center fournit à la fois la console Google Cloud et la console Security Operations pour examiner et corriger les failles, les erreurs de configuration et les menaces. Les utilisateurs de Security Command Center Enterprise ont besoin d'autorisations IAM pour accéder aux fonctionnalités de Security Command Center dans la console Google Cloud et la console Security Operations.
Google Security Operations dispose d'un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités liées au SIEM et aux fonctionnalités liées à SOAR dans la console Security Operations. Vous pouvez accorder les rôles Google Security Operations au niveau du projet.
Security Command Center dispose d'un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités de la console Security Operations propres au niveau Security Command Center Enterprise. En voici quelques-unes :
- Lecteur de l'éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor) - Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer)
Pour afficher les fonctionnalités spécifiques à Security Command Center dans la console Security Operations, y compris les tableaux de bord et les résultats sur les risques, les utilisateurs doivent disposer au moins du rôle roles/securitycenter.adminViewer. Attribuez les rôles Security Command Center au niveau de l'organisation.
Lorsque vous planifiez le déploiement, examinez les éléments suivants pour identifier les utilisateurs qui ont besoin d'accéder aux fonctionnalités:
Pour accorder à un utilisateur l'accès aux fonctionnalités et aux résultats de la console Google Cloud, consultez Contrôle des accès avec IAM.
Pour accorder à un utilisateur l'accès aux fonctionnalités de détection et d'investigation des menaces liées au SIEM dans la console Security Operations, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM.
Pour accorder aux utilisateurs l'accès aux fonctionnalités de réponse liées à SOAR dans la console Security Operations, consultez Mappeur des rôles IAM dans la console Security Operations côté SOAR. Vous devez également mapper les rôles IAM associés à SOAR sur les rôles SOC, les groupes d'autorisations et les environnements sous Paramètres SOAR dans la console Security Operations.
Pour créer des rôles IAM personnalisés à l'aide des autorisations IAM Google SecOps, consultez la section Créer et attribuer un rôle personnalisé à un groupe.
Pour accéder aux fonctionnalités de la console Security Operations qui ne sont fournies qu'avec Security Command Center Enterprise, comme la page "Vue d'ensemble de la posture", attribuez aux utilisateurs les rôles IAM requis dans l'organisation où Security Command Center Enterprise est activé.
La procédure d'octroi d'accès aux fonctionnalités varie en fonction de la configuration du fournisseur d'identité.
Si vous utilisez Google Workspace ou Cloud Identity comme fournisseur d'identité, vous attribuez des rôles directement à un utilisateur ou à un groupe. Pour obtenir un exemple, consultez la section Configurer un fournisseur d'identité Google Cloud .
Si vous utilisez la fédération d'identité de personnel pour vous connecter à un fournisseur d'identité tiers (tel qu'Okta ou Azure AD), vous accordez des rôles aux identités d'un pool d'identités de personnel ou à un groupe au sein du pool d'identités de personnel.
Consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour obtenir des exemples d'octroi de fonctionnalités liées à SIEM et à SOAR à un pool d'identités de personnel.
Assurez-vous que les pools de personnel incluent des autorisations d'accès aux fonctionnalités spécifiques à Security Command Center dans la console Security Operations. Voici quelques exemples:
Pour attribuer le rôle de lecteur administrateur de Security Command Center à tous les utilisateurs d'un pool d'identités de la main-d'œuvre, exécutez la commande suivante:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités de personnel.
Pour attribuer les rôles de lecteur administrateur de Security Center à un groupe spécifique, exécutez les commandes suivantes:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneRemplacez
GROUP_ID: groupe de la revendicationgoogle.groupsmappée.