O nível Enterprise do Security Command Center oferece o console do Google Cloud e o console de operações de segurança para investigar e corrigir vulnerabilidades, configurações incorretas e ameaças. Os usuários do Security Command Center Enterprise precisam de permissões do IAM para acessar os recursos do Security Command Center no console do Google Cloud e no console da Security Operations.
O Google Security Operations tem um conjunto de funções predefinidas do IAM que permitem acesso a recursos relacionados ao SIEM e recursos relacionados ao SOAR no console do Security Operations. É possível conceder os papéis do Google Security Operations no nível do projeto.
O Security Command Center tem um conjunto de papéis do IAM predefinidos que permitem acessar recursos no console da Central de operações de segurança exclusivos do nível do Security Command Center Enterprise. Isso inclui o seguinte:
- Leitor do editor administrador da Central de segurança (
roles/securitycenter.adminEditor) - Leitor administrador da Central de segurança (
roles/securitycenter.adminViewer)
Para acessar recursos específicos do Security Command Center no console de operações de segurança,
incluindo os painéis de risco e as descobertas, os usuários precisam ter pelo menos o
papel roles/securitycenter.adminViewer. Conceda os papéis do Security Command Center no
nível da organização.
Ao planejar a implantação, consulte as informações a seguir para identificar quais usuários precisam de acesso aos recursos:
Para conceder acesso a recursos e descobertas no console do Google Cloud, consulte Controle de acesso com o IAM.
Para conceder acesso do usuário a recursos de detecção e investigação de ameaças relacionados ao SIEM no console de operações de segurança, consulte Configurar o controle de acesso a recursos usando o IAM.
Para conceder aos usuários acesso a recursos de resposta relacionados ao SOAR no console de operações de segurança, consulte Mapear funções do IAM no lado do SOAR do console de operações de segurança. Você também mapeia os papéis do IAM relacionados ao SOAR para papéis do SOC, grupos de permissões e ambientes em Configurações do SOAR no console de operações de segurança.
Para criar papéis personalizados do IAM usando as permissões do IAM do Google SecOps, consulte Criar e atribuir um papel personalizado a um grupo.
Para acessar os recursos do console de operações de segurança que são fornecidos apenas com o Security Command Center Enterprise, como a página Visão geral da postura, conceda aos usuários os papéis do IAM necessários na organização em que o Security Command Center Enterprise está ativado.
As etapas para conceder acesso aos recursos são diferentes dependendo da configuração do provedor de identidade.
Se você usa o Google Workspace ou o Cloud Identity como provedor de identidade, concede papéis diretamente a um usuário ou grupo. Consulte Configurar um provedor de identidade Google Cloud para conferir um exemplo de como fazer isso.
Se você usar a federação de identidade da força de trabalho para se conectar a um provedor de identidade de terceiros (como o Okta ou o Azure AD), vai conceder papéis a identidades em um pool de identidades da força de trabalho ou a um grupo dentro dele.
Consulte Configurar o controle de acesso a recursos usando o IAM para conferir exemplos de como conceder recursos relacionados ao SIEM e ao SOAR a um pool de identidade da força de trabalho.
Verifique se os pools de forças de trabalho incluem permissões para acessar recursos específicos do Security Command Center no console de operações de segurança. Confira alguns exemplos:
Para conceder o papel de leitor administrativo da Central de segurança a todos os usuários em um pool de identidade de força de trabalho, execute o seguinte comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneSubstitua:
ORGANIZATION_ID: o ID numérico da organização.WORKFORCE_POOL_ID: o valor definido para o ID do pool de identidade da força de trabalho.
Para conceder os papéis de leitor administrativo da Central de segurança a um grupo específico, execute os seguintes comandos:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneSubstituir
GROUP_ID: um grupo na declaraçãogoogle.groupsmapeada.