Cet article vous explique comment autoriser et mapper des utilisateurs à l'aide d'Identity and Access Management (IAM) grâce à l’identification sécurisée dans la partie SOAR de la console Opérations de sécurité.
Avant de commencer
Assurez-vous d'avoir défini et mappé les utilisateurs à l'aide d'IAM avec la solution SIEM. de la console Opérations de sécurité. Pour plus d'informations, voir Contrôler l'accès aux fonctionnalités à l'aide d'IAMAttribuer des rôles IAM dans la console Google Cloud
Trois rôles IAM prédéfinis ont été ajoutés à Security Command Center d'entreprise dans la console Google Cloud.
- Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
La procédure suivante explique comment attribuer des rôles IAM aux utilisateurs dans la console Google Cloud.
- Ouvrez la console et sélectionnez votre Security Command Center.
- Cliquez sur IAM et administration.
- Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
- Dans la boîte de dialogue Accorder l'accès, accédez au champ Ajouter des comptes principaux. et entrez les adresses e-mail des utilisateurs ou groupes d'utilisateurs pour l'un des trois IAM.
- Dans le champ Sélectionnez un rôle, recherchez le rôle requis: Administrateur SOAR Chronicle, Gestionnaire de menaces Chronicle SOAR Gestionnaire de failles Chronicle SOAR.
- Répétez ce processus pour les trois rôles ou selon vos besoins.
- Cliquez sur Enregistrer.
Contrôler l'accès des utilisateurs
Dans les paramètres SOAR de la console Security Operations, vous pouvez déterminer quels utilisateurs ont accès à quels aspects de la plateforme.
- Groupes d'autorisations: définissez des groupes d'autorisations pour les types d'utilisateurs. les modules et sous-modules seront visibles ou modifiables pour les utilisateurs. Par exemple, vous pouvez définir des autorisations pour que l'utilisateur puisse voir les demandes et le bureau de travail mais n'a pas accès aux playbooks ni aux paramètres. Pour en savoir plus, consultez Utiliser des groupes d'autorisations dans la documentation Google SecOps.
- Rôles SOC: définissent le rôle d'un groupe d'utilisateurs. Vous pouvez définir des cas ou des actions ou des playbooks à un rôle de SOC plutôt qu'à un utilisateur spécifique. Les utilisateurs voient les cas qui qui leur sont attribués à titre personnel, à leur rôle ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez Utiliser des rôles dans la documentation Google SecOps.
- Environnements: définissez les environnements que les entreprises vont utiliser pour gérer différents de réseaux ou d'unités commerciales au sein d'une même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour plus plus d'informations, voir Ajouter un environnement dans la documentation Google SecOps.
Mapper les rôles IAM dans la partie SOAR de la console Security Operations
- Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR. > Avancé > Mappage des rôles IAM.
- À l'aide du nom à afficher (par exemple, administrateur SOAR Chronicle), attribuez aux rôles SOC correspondants (Threat Manager, Gestionnaire de failles ou Administrateur), groupes d'autorisations (sélectionnez le groupe d'autorisations "Administrateurs"), et environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
- Cliquez sur Enregistrer.
Parfois, les utilisateurs essaient de se connecter Opérations de sécurité, mais leur rôle IAM n'a pas cartographiées dans la plate-forme. Pour que ces utilisateurs ne soient pas refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.