この記事では、セキュリティ運用コンソール ページの SOAR 関連機能で Identity and Access Management(IAM)により安全な識別を行い、ユーザーを認可してマッピングする方法について説明します。
始める前に
IAM を使用してユーザーを定義し、セキュリティ運用コンソール ページの SIEM 関連機能にマッピングされていることを確認します。詳細については、IAM を使用して機能アクセスを制御するをご覧ください。Google Cloud コンソールで IAM ロールを付与する
Google Cloud コンソールの Security Command Center Enterprise プロジェクトに、3 つの事前定義された IAM ロールが追加されています。
- Chronicle SOAR 管理者(
roles/chronicle.soarAdmin) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager) - Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager)
次の手順では、 Google Cloud コンソールでユーザーに IAM ロールを付与する方法について説明します。
- コンソールを開き、Security Command Center を選択します。
- [IAM と管理] をクリックします。
- ナビゲーション ツリーから [IAM] を選択し、[アクセス権を付与] を選択します。
- [アクセス権を付与] ダイアログ ボックスで、[プリンシパルの追加] フィールドに移動し、3 つの IAM ロールのいずれかに該当するユーザーまたはユーザー グループのメールアドレスを入力します。
- [ロールを選択] フィールドで、必要なロール(Chronicle SOAR 管理者、Chronicle SOAR 脅威マネージャー、またはChronicle SOAR 脆弱性マネージャー)を検索します。
- 必要に応じて、3 つのロールすべてに対してこの手順を繰り返します。
- [保存] をクリックします。
ユーザー アクセスを制御する
Google Cloud コンソールのナビゲーションで、[設定] > [SOAR 設定] に移動します。セキュリティ運用コンソールの SOAR 設定ページには、どのユーザーがプラットフォームのどのアスペクトにアクセスできるかを決定する方法がいくつかあります。
- 権限グループ: ユーザーに対して表示可能または編集可能なモジュールとサブモジュールを決定する、ユーザータイプの権限グループを設定します。たとえば、ユーザーにケースとワークデスクは表示されるものの、ハンドブックと設定にはアクセスできないよう権限を設定できます。詳細については、Google SecOps ドキュメントの権限グループの操作をご覧ください。
- SOC ロール: ユーザー グループのロールを定義します。ケース、アクション、ハンドブックを特定のユーザーではなく SOC ロールに設定できます。ユーザーは、自分個人、自分のロール、または追加ロールの 1 つに割り当てられたケースを確認できます。詳細については、Google SecOps ドキュメントのロールの操作をご覧ください。
- 環境: 企業が同じ組織内のさまざまなネットワークまたはビジネス ユニットを管理するために使用できる環境を設定します。ユーザーには、アクセス権のある環境のデータのみが表示されます。詳細については、Google SecOps ドキュメントの環境の追加をご覧ください。
SOAR 設定のセキュリティ運用コンソール ページを使用して IAM ロールをマッピングする
- Google Cloud コンソールで、[設定] > [SOAR 設定] > [詳細] > [IAM ロール マッピング] に移動します。
- 表示名(Chronicle SOAR 管理者など)を使用して、各 IAM ロールを対応する SOC のロール(脅威マネージャー、脆弱性マネージャー、または管理者)、権限グループ(管理者権限グループを選択)、環境(デフォルト環境を選択)に割り当てます。または、IAM ロールの代わりにメールアドレスを追加します。
- [保存] をクリックします。
ユーザーがセキュリティ運用コンソール機能にアクセスしようとしても、ユーザーの IAM ロールがプラットフォームにマッピングされていない場合があります。このようなユーザーが拒否されないようにするには、このページで [デフォルトのアクセス設定] を有効にして設定することをおすすめします。