Controllare l'accesso alle funzionalità nelle pagine della console Security Operations
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Il livello Security Command Center Enterprise include alcune funzionalità disponibili
in Google Security Operations. Esamini e correggi vulnerabilità, errori di configurazione e minacce utilizzando sia le pagine della consoleGoogle Cloud che della console Security Operations.
Gli utenti di Security Command Center Enterprise hanno bisogno delle autorizzazioni IAM per accedere alle funzionalità di Security Command Center sia nella console Google Cloud che nelle pagine della console Security Operations.
Google Security Operations dispone di un insieme di ruoli IAM predefiniti che ti consentono di accedere alle
funzionalità correlate al SIEM
e alle
funzionalità correlate a SOAR
nelle pagine della console Security Operations. Puoi concedere i ruoli Google Security Operations
a livello di progetto.
Security Command Center dispone di un insieme di ruoli IAM predefiniti che ti consentono di
accedere alle funzionalità nelle pagine della console Security Operations uniche per il
livello Security Command Center Enterprise. Di seguito sono elencati alcuni esempi:
Per visualizzare le funzionalità di Security Command Center disponibili nelle pagine della console Security Operations,
gli utenti devono disporre almeno del ruolo Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer). Concedi i ruoli Security Command Center a livello di organizzazione.
Durante la pianificazione dell'implementazione, esamina quanto segue per identificare gli utenti che devono
accedere alle funzionalità:
Per concedere l'accesso degli utenti alle funzionalità e ai risultati nella console Google Cloud ,
consulta Controllo dell'accesso con IAM.
Per concedere agli utenti l'accesso alle funzionalità di risposta correlate a SOAR nelle pagine della console Security Operations,
consulta Mappare i ruoli IAM nella sezione SOAR della console Security Operations.
Mappa anche i ruoli IAM correlati a SOAR con ruoli SOC, gruppi di autorizzazioni e ambienti in Impostazioni SOAR.
Per accedere alle funzionalità disponibili con Security Command Center Enterprise, ad esempio la
pagina Panoramica della postura,
concedi agli utenti i ruoli IAM richiesti
nell'organizzazione in cui è attivato Security Command Center Enterprise.
I passaggi per concedere l'accesso alle funzionalità variano a seconda della configurazione del provider di identità.
Se utilizzi Google Workspace o Cloud Identity come provider di identità, concedi i ruoli direttamente a un utente o a un gruppo. Per un esempio di come eseguire questa operazione, consulta Configurare un provider di identità. Google Cloud
Se utilizzi la federazione delle identità per la forza lavoro per connetterti a un provider di identità di terze parti (come Okta o Azure AD), concedi ruoli alle identità in un pool di identità della forza lavoro o a un gruppo all'interno del pool di identità della forza lavoro.
Assicurati che i pool di forza lavoro includano le autorizzazioni per accedere
alle funzionalità specifiche di Security Command Center nelle pagine della console Security Operations. Ecco alcuni
esempi:
Per concedere il ruolo Visualizzatore amministratore del Centro sicurezza a tutti gli utenti di un pool di identità della forza lavoro, esegui questo comando:
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["| Enterprise [service tier](/security-command-center/docs/service-tiers)\n\nThe Security Command Center Enterprise tier includes certain features available\nfrom Google Security Operations. You investigate and remediate vulnerabilities,\nmisconfigurations, and threats using both\n[Google Cloud console and Security Operations console](/security-command-center/docs/scce-consoles-overview)\npages.\n\nSecurity Command Center Enterprise users need IAM permissions to access\nSecurity Command Center features in both the Google Cloud console and Security Operations console\npages.\n\nGoogle Security Operations has a set of predefined IAM roles that let\nyou access\n[SIEM-related features](/chronicle/docs/onboard/configure-feature-access#overview-perm-role)\nand\n[SOAR-related features](/security-command-center/docs/map-users-in-secops#grant-iam-roles-in-the-google-cloud-console)\nin Security Operations console pages. You can grant the Google Security Operations roles\nat the project level.\n\nSecurity Command Center has a set of predefined IAM roles that let you\naccess features in Security Operations console pages that are unique to the\nSecurity Command Center Enterprise tier. These include the following:\n\n- [Security Center Admin Editor Viewer (`roles/securitycenter.adminEditor`)](/iam/docs/understanding-roles#securitycenter.adminEditor)\n- [Security Center Admin Viewer (`roles/securitycenter.adminViewer`)](/iam/docs/understanding-roles#securitycenter.adminViewer)\n\nTo view Security Command Center features available in Security Operations console pages,\nusers need at least the **Security Center Admin Viewer** (`roles/securitycenter.adminViewer`)\nrole. Grant the Security Command Center roles at the organization level.\n\nAs you plan the deployment, review the following to identify which users need\naccess to features:\n\n- To grant user access to features and findings in the Google Cloud console,\n see [Access control with IAM](/security-command-center/docs/access-control).\n\n- To grant user access to SIEM-related threat detection and investigation\n features in Security Operations console pages, see\n [Configure feature access control using IAM](/chronicle/docs/onboard/configure-feature-access#overview-perm-role).\n\n- To grant users access to SOAR-related response features in Security Operations console pages,\n see [Map IAM roles in the SOAR side of the Security Operations console](/security-command-center/docs/map-users-in-secops).\n You also map the SOAR-related IAM roles to SOC roles,\n permission groups, and environments under **SOAR settings**.\n\n- To create custom IAM roles using Google SecOps\n IAM permissions, see\n [Create and assign a custom role to a group](/chronicle/docs/onboard/configure-feature-access#custom-role).\n\n- To access features available with Security Command Center Enterprise, such as the\n [Posture Overview page](/security-command-center/docs/toxic-combinations-manage#view_an_overview_of_all_toxic_combination_cases),\n grant users the [required IAM roles](/security-command-center/docs/how-to-use-security-command-center#required_permissions)\n in the organization where Security Command Center Enterprise is activated.\n\nThe steps to grant access to features is different depending on the identity\nprovider configuration.\n\n- If you use Google Workspace or Cloud Identity as the identity provider,\n you grant roles directly to a user or group. See\n [Configure a Google Cloud identity provider](/chronicle/docs/onboard/configure-cloud-authentication)\n for an example of how to do this.\n\n- If you use Workforce Identity Federation to connect to a third-party identity\n provider (such as Okta or Azure AD), you grant roles to identities in a\n workforce identity pool or to a group within the workforce identity pool.\n\n See [Configure feature access control using IAM](/chronicle/docs/onboard/configure-feature-access)\n for examples of how to grant SIEM-related features and SOAR-related features\n to a workforce identity pool.\n\n Make sure the workforce pools include permissions to access\n Security Command Center-specific features in Security Operations console pages. The following\n are examples:\n - To grant the Security Center Admin Viewer role to all users in a workforce\n identity pool, run the following command:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e \\\n --role roles/securitycenter.adminViewer \\\n --member \"principalSet://iam.googleapis.com/locations/global/workforcePools/\u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e/*\" \\\n --condition None\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric organization ID.\n - \u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e: the value you defined for the workforce identity pool ID.\n - To grant the Security Center Admin Viewer roles to a specific group, run the following commands:\n\n gcloud organizations add-iam-policy-binding \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e \\\n --role roles/securitycenter.adminViewer \\\n --member \"principalSet://iam.googleapis.com/locations/global/workforcePools/\u003cvar translate=\"no\"\u003eWORKFORCE_POOL_ID\u003c/var\u003e/group/\u003cvar translate=\"no\"\u003eGROUP_ID\u003c/var\u003e\" \\\n --condition None\n\n Replace \u003cvar translate=\"no\"\u003eGROUP_ID\u003c/var\u003e: a group in the mapped `google.groups` claim."]]
