この記事では、セキュリティ運用コンソールの SOAR 側で Identity and Access Management(IAM)により安全な識別を行い、ユーザーを認可してマッピングする方法について説明します。
始める前に
IAM を使用してユーザーを定義し、セキュリティ運用コンソールの SIEM 側にマッピングされていることを確認します。詳細については、IAM を使用して機能アクセスを制御するをご覧ください。Google Cloud コンソールで IAM ロールを付与する
Google Cloud コンソールの Security Command Center Enterprise プロジェクトに、3 つの事前定義された IAM ロールが追加されています。
- Chronicle SOAR 管理者(
roles/chronicle.soarAdmin) - Chronicle SOAR 脅威マネージャー(
roles/chronicle.soarThreatManager) - Chronicle SOAR 脆弱性マネージャー(
roles/chronicle.soarVulnerabilityManager)
次の手順では、Google Cloud コンソールでユーザーに IAM のロールを付与する方法について説明します。
- コンソールを開き、Security Command Center を選択します。
- [IAM と管理] をクリックします。
- ナビゲーション ツリーから [IAM] を選択し、[アクセスを許可] を選択します。
- [アクセス権を付与] ダイアログ ボックスで、[プリンシパルの追加] フィールドに移動し、3 つの IAM ロールのいずれかに該当するユーザーまたはユーザー グループのメールアドレスを入力します。
- [ロールを選択] フィールドで、必要なロール(Chronicle SOAR 管理者、Chronicle SOAR 脅威マネージャー、またはChronicle SOAR 脆弱性マネージャー)を検索します。
- 必要に応じて、3 つのロールすべてに対してこの手順を繰り返します。
- [保存] をクリックします。
ユーザー アクセスを制御する
セキュリティ運用コンソールの SOAR 設定には、ユーザーがプラットフォームのどの側面にアクセスできるかを決定する方法がいくつかあります。
- 権限グループ: ユーザーに対して表示可能または編集可能なモジュールとサブモジュールを決定する、ユーザータイプの権限グループを設定します。たとえば、ユーザーはケースとワークデスクを表示できるが、ハンドブックと設定にはアクセスできないように権限を設定できます。詳細については、Google SecOps ドキュメントの権限グループの操作をご覧ください。
- SOC ロール: ユーザー グループのロールを定義します。ケース、アクション、ハンドブックに、特定のユーザーではなく SOC ロールを設定できます。ユーザーは、自分に、自分のロールに、または追加ロールの 1 つに割り当てられたケースを確認できます。詳細については、Google SecOps ドキュメントのロールの操作をご覧ください。
- 環境: 企業が同じ組織内の異なるネットワークまたはビジネス ユニットを管理するために使用する環境を設定します。ユーザーに表示されるのは、アクセス権がある環境のデータのみです。詳細については、Google SecOps ドキュメントの環境の追加をご覧ください。
セキュリティ運用コンソールの SOAR 側で IAM ロールをマッピングする
- セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [詳細] > [IAM ロール マッピング] に移動します。
- 表示名(Chronicle SOAR 管理者など)を使用して、各 IAM ロールを対応する SOC のロール(脅威マネージャー、脆弱性マネージャー、または管理者)、権限グループ(管理者権限グループを選択)、環境(デフォルト環境を選択)に割り当てます。 または、IAM ロールの代わりにメールアドレスを追加します。
- [保存] をクリックします。
ユーザーがセキュリティ運用コンソールにログインしようとしても、ユーザーの IAM ロールがプラットフォームにマッピングされていない場合があります。このようなユーザーが拒否されないようにするには、このページで [デフォルトのアクセス設定] を有効にして設定することをおすすめします。