Die Enterprise-Stufe von Security Command Center bietet sowohl die Google Cloud Console als auch die Security Operations Console, um Sicherheitslücken, Fehlkonfigurationen und Bedrohungen zu untersuchen und zu beheben. Security Command Center Enterprise-Nutzer benötigen IAM-Berechtigungen, um auf Security Command Center-Funktionen sowohl in der Google Cloud Console als auch in der Security Operations Console zugreifen zu können.
Google Security Operations bietet eine Reihe vordefinierter IAM-Rollen, mit denen Sie in der Security Operations Console auf SIEM-bezogene Funktionen und SOAR-bezogene Funktionen zugreifen können. Sie können die Google Security Operations-Rollen auf Projektebene zuweisen.
Security Command Center bietet eine Reihe vordefinierter IAM-Rollen, mit denen Sie auf Funktionen in der Security Operations Console zugreifen können, die nur für die Security Command Center Enterprise-Stufe verfügbar sind. Dazu gehören die folgenden:
- Sicherheitscenter-Administratorbearbeiter-Betrachter (
roles/securitycenter.adminEditor) - Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer)
Um Security Command Center-spezifische Funktionen in der Security Operations Console aufzurufen, einschließlich der Risikodashboards und -erkenntnisse, benötigen Nutzer mindestens die Rolle roles/securitycenter.adminViewer. Weisen Sie die Security Command Center-Rollen auf Organisationsebene zu.
Überlegen Sie bei der Planung der Bereitstellung, welche Nutzer Zugriff auf die Funktionen benötigen:
Informationen zum Gewähren von Nutzerzugriff auf Funktionen und Ergebnisse in der Google Cloud Console finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Gewähren von Nutzerzugriff auf SIEM-bezogene Funktionen zur Bedrohungserkennung und -untersuchung in der Security Operations Console finden Sie unter Zugriffssteuerung für Funktionen mit IAM konfigurieren.
Informationen zum Gewähren von Zugriff auf SOAR-bezogene Reaktionsfunktionen in der Security Operations Console finden Sie unter IAM-Rollen in der SOAR-Seite der Security Operations Console zuordnen. Außerdem ordnen Sie die SOAR-bezogenen IAM-Rollen den SOC-Rollen, Berechtigungsgruppen und Umgebungen unter SOAR-Einstellungen in der Security Operations Console zu.
Informationen zum Erstellen benutzerdefinierter IAM-Rollen mithilfe von Google SecOps-IAM-Berechtigungen finden Sie unter Benutzerdefinierte Rolle erstellen und einer Gruppe zuweisen.
Wenn Nutzer auf Funktionen in der Security Operations Console zugreifen möchten, die nur mit Security Command Center Enterprise verfügbar sind, z. B. auf die Seite Übersicht, müssen Sie ihnen die erforderlichen IAM-Rollen in der Organisation zuweisen, in der Security Command Center Enterprise aktiviert ist.
Die Schritte zum Gewähren des Zugriffs auf Funktionen unterscheiden sich je nach Konfiguration des Identitätsanbieters.
Wenn Sie Google Workspace oder Cloud Identity als Identitätsanbieter verwenden, gewähren Sie Rollen direkt einem Nutzer oder einer Gruppe. Ein Beispiel dazu finden Sie unter Identitätsanbieter konfigurieren Google Cloud .
Wenn Sie die Workforce Identity-Föderation verwenden, um eine Verbindung zu einem Identitätsanbieter von Drittanbietern wie Okta oder Azure AD herzustellen, gewähren Sie Identitäten in einem Workforce Identity-Pool oder einer Gruppe innerhalb des Workforce Identity-Pools Rollen.
Unter Zugriffssteuerung für Funktionen mit IAM konfigurieren finden Sie Beispiele dazu, wie Sie einem Mitarbeiteridentitätspool SIEM- und SOAR-bezogene Funktionen gewähren.
Achten Sie darauf, dass die Workforce-Pools Berechtigungen für den Zugriff auf Security Command Center-spezifische Funktionen in der Security Operations Console enthalten. Beispiele:
Führen Sie den folgenden Befehl aus, um allen Nutzern in einem Mitarbeiter-Identitätspool die Rolle „Security Center Admin-Betrachter“ zu gewähren:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Workforce Identity-Pools festgelegt haben.
Wenn Sie einer bestimmten Gruppe die Rollen „Security Center Admin Viewer“ gewähren möchten, führen Sie die folgenden Befehle aus:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneErsetzen Sie
GROUP_IDdurch eine Gruppe im zugeordnetengoogle.groups-Anspruch.