El nivel Enterprise de Security Command Center proporciona la consola de Google Cloud y la consola de Security Operations para investigar y solucionar vulnerabilidades, parámetros de configuración incorrectos y amenazas. Los usuarios de Security Command Center Enterprise necesitan permisos de IAM para acceder a las funciones de Security Command Center en la consola de Google Cloud y en la consola de Security Operations.
Google Security Operations tiene un conjunto de roles de IAM predefinidos que te permiten acceder a las funciones relacionadas con SIEM y a las funciones relacionadas con SOAR en la consola de Security Operations. Puedes otorgar los roles de Google Security Operations a nivel del proyecto.
Security Command Center tiene un conjunto de roles de IAM predefinidos que te permiten acceder a las funciones de la consola de Security Operations que son exclusivas del nivel de Security Command Center Enterprise. Se incluyen las siguientes:
- Visualizador del editor administrador del centro de seguridad (
roles/securitycenter.adminEditor) - Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer)
Para ver las funciones específicas de Security Command Center en la consola de Security Operations,
incluidos los paneles de riesgos y los hallazgos, los usuarios deben tener al menos el rol
roles/securitycenter.adminViewer. Otorgar los roles de Security Command Center a nivel de la organización
A medida que planificas la implementación, revisa lo siguiente para identificar qué usuarios necesitan acceso a las funciones:
Para otorgar acceso de usuario a las funciones y los resultados en la consola de Google Cloud, consulta Control de acceso con IAM.
Para otorgar acceso de los usuarios a las funciones de investigación y detección de amenazas relacionadas con SIEM en la consola de Security Operations, consulta Cómo configurar el control de acceso a funciones con IAM.
Para otorgar a los usuarios acceso a las funciones de respuesta relacionadas con SOAR en la consola de Security Operations, consulta Cómo asignar roles de IAM en el lado de SOAR de la consola de Security Operations. También asignas los roles de IAM relacionados con SOAR a roles de SOC, grupos de permisos y entornos en la configuración de SOAR en la consola de Security Operations.
Para crear roles de IAM personalizados con los permisos de IAM de Google SecOps, consulta Crea y asigna un rol personalizado a un grupo.
Para acceder a las funciones de la consola de Security Operations que solo se proporcionan con Security Command Center Enterprise, como la página Resumen de postura, otorga a los usuarios los roles de IAM requeridos en la organización en la que se activó Security Command Center Enterprise.
Los pasos para otorgar acceso a las funciones son diferentes según la configuración del proveedor de identidad.
Si usas Google Workspace o Cloud Identity como proveedor de identidad, otorgas roles directamente a un usuario o grupo. Consulta Configura un Google Cloud proveedor de identidad para ver un ejemplo de cómo hacerlo.
Si usas la federación de identidades de personal para conectarte a un proveedor de identidad de terceros (como Okta o Azure AD), otorgas roles a las identidades en un grupo de identidades de personal o a un grupo dentro de él.
Consulta Cómo configurar el control de acceso a funciones con IAM para ver ejemplos de cómo otorgar funciones relacionadas con SIEM y SOAR a un grupo de identidad de personal.
Asegúrate de que los grupos de personal incluyan permisos para acceder a las funciones específicas de Security Command Center en la consola de Security Operations. Los siguientes son algunos ejemplos:
Para otorgar el rol de Visualizador administrador del centro de seguridad a todos los usuarios de un grupo de identidad de la fuerza laboral, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneReemplaza lo siguiente:
ORGANIZATION_ID: El ID numérico de la organización.WORKFORCE_POOL_ID: El valor que definiste para el ID del grupo de identidades de personal.
Para otorgar los roles de Visualizador administrador de Security Center a un grupo específico, ejecuta los siguientes comandos:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneReemplaza
GROUP_ID: un grupo en la reclamacióngoogle.groupsasignada.