ユーザーをマッピングして認証し、SOAR 関連機能を有効にする

この記事では、セキュリティ運用コンソールページの SOAR 関連機能で Identity and Access Management（IAM）により安全な識別を行い、ユーザーを認可してマッピングする方法について説明します。

始める前に

IAM を使用してユーザーを定義し、セキュリティ運用コンソールページの SOAR 関連機能にマッピングされていることを確認します。詳細については、IAM を使用して機能アクセスを制御するをご覧ください。

Google Cloud コンソールの Security Command Center Enterprise プロジェクトに、3 つの事前定義された IAM ロールが追加されています。

次の手順では、 Google Cloud コンソールでユーザーに IAM ロールを付与する方法について説明します。

コンソールを開き、Security Command Center を選択します。
[IAM と管理] をクリックします。
ナビゲーションツリーから [IAM] を選択し、[アクセス権を付与] を選択します。
[アクセス権を付与] ダイアログボックスで、[プリンシパルの追加] フィールドに移動し、3 つの IAM ロールのいずれかに該当するユーザーまたはユーザーグループのメールアドレスを入力します。
[ロールを選択] フィールドで、必要なロール（Chronicle SOAR 管理者、Chronicle SOAR 脅威マネージャー、またはChronicle SOAR 脆弱性マネージャー）を検索します。
必要に応じて、3 つのロールすべてに対してこの手順を繰り返します。
[保存] をクリックします。

Google Cloud コンソールのナビゲーションで、[設定] > [SOAR 設定] に移動します。セキュリティ運用コンソールの SOAR 設定ページには、ユーザーがプラットフォームのどの側面にアクセスできるかを決定する方法がいくつかあります。

権限グループ: ユーザーに対して表示可能または編集可能なモジュールとサブモジュールを決定する、ユーザータイプの権限グループを設定します。たとえば、ユーザーはケースとワークデスクを表示できるが、ハンドブックと設定にはアクセスできないように権限を設定できます。詳細については、Google SecOps ドキュメントの権限グループの操作をご覧ください。
SOC ロール: ユーザーグループのロールを定義します。ケース、アクション、プレイブックを特定のユーザーではなく SOC ロールに設定できます。ユーザーは、自分に、自分のロールに、または追加ロールの 1 つに割り当てられたケースを確認できます。詳細については、Google SecOps ドキュメントのロールの操作をご覧ください。
環境: 企業が同じ組織内のさまざまなネットワークまたはビジネスユニットを管理するために使用できる環境を設定します。ユーザーには、アクセス権のある環境のデータのみが表示されます。詳細については、Google SecOps ドキュメントの環境の追加をご覧ください。

Google Cloud コンソールで、[設定] > [SOAR 設定] > [詳細] > [IAM ロールマッピング] に移動します。
表示名（Chronicle SOAR 管理者など）を使用して、各 IAM ロールを対応する SOC のロール（脅威マネージャー、脆弱性マネージャー、または管理者）、権限グループ（管理者権限グループを選択）、環境（デフォルト環境を選択）に割り当てます。または、IAM ロールの代わりにメールアドレスを追加します。
[保存] をクリックします。

各ユーザーがプラットフォームにログインすると、[ユーザー管理] ページ（[SOAR 設定] > [組織] にあります）に自動的に追加されます。

ユーザーがセキュリティ運用コンソール機能にアクセスしようとしても、ユーザーの IAM ロールがプラットフォームにマッピングされていない場合があります。このようなユーザーが拒否されないようにするには、このページで [デフォルトのアクセス設定] を有効にして設定することをおすすめします。