El nivel Enterprise de Security Command Center incluye determinadas funciones disponibles en Google Security Operations. Investiga y corrige vulnerabilidades, errores de configuración y amenazas mediante las páginas de la consola deGoogle Cloud y la consola de Security Operations.
Los usuarios de Security Command Center Enterprise necesitan permisos de gestión de identidades y accesos para acceder a las funciones de Security Command Center en las páginas de la Google Cloud consola y de la consola de Security Operations.
Google Security Operations tiene un conjunto de roles de gestión de identidades y accesos (IAM) predefinidos que te permiten acceder a funciones relacionadas con SIEM y funciones relacionadas con SOAR en las páginas de la consola de Security Operations. Puedes asignar los roles de Google Security Operations a nivel de proyecto.
Security Command Center tiene un conjunto de roles de gestión de identidades y accesos predefinidos que te permiten acceder a funciones de las páginas de la consola de Security Operations que son exclusivas del nivel Enterprise de Security Command Center. Entre ellas, se incluyen las siguientes:
- Lector, editor y administrador del Centro de Seguridad (
roles/securitycenter.adminEditor) - Lector de administrador del Centro de Seguridad (
roles/securitycenter.adminViewer)
Para ver las funciones de Security Command Center disponibles en las páginas de la consola de operaciones de seguridad, los usuarios deben tener al menos el rol Lector de administración del centro de seguridad (roles/securitycenter.adminViewer). Asigna los roles de Security Command Center a nivel de organización.
Cuando planifiques la implementación, consulta lo siguiente para identificar qué usuarios necesitan acceso a las funciones:
Para conceder acceso a los usuarios a las funciones y los resultados de la consola de Google Cloud , consulta el artículo Control de acceso con IAM.
Para conceder acceso a los usuarios a las funciones de detección e investigación de amenazas relacionadas con SIEM en las páginas de la consola de Security Operations, consulta Configurar el control de acceso a funciones con la gestión de identidades y accesos.
Para conceder a los usuarios acceso a las funciones de respuesta relacionadas con SOAR en las páginas de la consola de Security Operations, consulta Asignar roles de gestión de identidades y accesos en la parte de SOAR de la consola de Security Operations. También puedes asignar los roles de gestión de identidades y accesos relacionados con SOAR a roles de SOC, grupos de permisos y entornos en Configuración de SOAR.
Para crear roles de IAM personalizados con permisos de IAM de Google SecOps, consulta Crear y asignar un rol personalizado a un grupo.
Para acceder a las funciones disponibles en Security Command Center Enterprise, como la página de resumen de la postura, concede a los usuarios los roles de gestión de identidades y accesos necesarios en la organización en la que esté activado Security Command Center Enterprise.
Los pasos para conceder acceso a las funciones varían en función de la configuración del proveedor de identidades.
Si usas Google Workspace o Cloud Identity como proveedor de identidades, puedes asignar roles directamente a un usuario o a un grupo. Consulta cómo configurar un proveedor de identidades. Google Cloud
Si usas la federación de identidades de Workforce para conectarte a un proveedor de identidades de terceros (como Okta o Azure AD), asignas roles a las identidades de un grupo de identidades de Workforce o a un grupo dentro del grupo de identidades de Workforce.
Consulta Configurar el control de acceso a funciones con la gestión de identidades y accesos para ver ejemplos de cómo conceder funciones relacionadas con SIEM y SOAR a un grupo de identidades de empleados.
Asegúrate de que los grupos de personal incluyan permisos para acceder a funciones específicas de Security Command Center en las páginas de la consola de Security Operations. Estos son algunos ejemplos:
Para conceder el rol Lector administrador de Security Center a todos los usuarios de un grupo de identidades de la plantilla, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneHaz los cambios siguientes:
ORGANIZATION_ID: ID numérico de la organización.WORKFORCE_POOL_ID: el valor que has definido para el ID del grupo de identidades de Workforce.
Para conceder los roles de lector administrador del Centro de Seguridad a un grupo específico, ejecuta los siguientes comandos:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneSustituye
GROUP_IDpor un grupo de la reclamacióngoogle.groupsasignada.