이 문서에서는 보안 운영 콘솔의 SOAR 측면에서 보안 식별을 위해 Identity and Access Management(IAM)를 사용하여 사용자를 승인하고 매핑하는 방법을 보여줍니다.
시작하기 전에
보안 운영에서 SIEM에 액세스하기 위해 IAM을 사용하여 사용자를 정의하고 매핑했는지 확인합니다. 자세한 내용은 IAM을 사용하여 기능 액세스 제어를 참조하세요.Google Cloud 콘솔에서 IAM 역할 부여
Google Cloud 콘솔의 Security Command Center Enterprise 프로젝트에는 세 가지 사전 정의된 IAM 역할이 추가되었습니다.
- Chronicle SOAR 관리자(
roles/chronicle.soarAdmin
) - Chronicle SOAR 위협 관리자(
roles/chronicle.soarThreatManager
) - Chronicle SOAR 취약점 관리자(
roles/chronicle.soarVulnerabilityManager
)
다음 절차에서는 Google Cloud 콘솔에서 사용자에게 IAM 역할을 부여하는 방법을 설명합니다.
- 콘솔을 열고 Security Command Center를 선택합니다.
- IAM 및 관리자를 클릭합니다.
- 탐색 트리에서 IAM을 선택한 후 IAM를 선택합니다.
- 액세스 부여 대화상자에서 주 구성원 추가 필드로 이동하고 세 가지 IAM 역할 중 하나에 대해 사용자 또는 사용자 그룹의 이메일 주소를 입력합니다.
- 역할 선택 필드에서 필요한 역할(Chronicle SOAR 관리자, Chronicle SOAR 위협 관리자 Chronicle SOAR 취약점 관리자)을 검색합니다.
- 세 가지 역할 모두에 대해 또는 필요에 따라 이 프로세스를 반복합니다.
- 저장을 클릭합니다.
사용자 액세스 제어
보안 운영 콘솔의 SOAR 설정에서는 몇 가지 방법으로 특정 플랫폼과 액세스 권한이 있는 사용자를 확인할 수 있습니다.
- 권한 그룹: 사용자에게 표시되고 수정 가능한 모듈 및 하위 모듈을 결정하는 사용자 유형에 대한 권한 그룹을 설정합니다. 예를 들어 사용자가 케이스 및 Workdesk를 볼 수 있지만 플레이북 및 설정에 액세스하지 못하도록 권한을 설정할 수 있습니다. 자세한 내용은 Google SecOps 문서에서 권한 그룹 작업을 참조하세요.
- SOC 역할: 사용자 그룹의 역할을 정의합니다. 특정 사용자 대신 SOC 역할에 케이스 또는 작업 또는 플레이북을 설정할 수 있습니다. 사용자는 개별적으로 자신에게 또는 자신의 역할에 또는 추가 역할 중 하나에 지정된 케이스를 볼 수 있습니다. 자세한 내용은 Google SecOps 문서에서 역할 작업을 참조하세요.
- 환경: 기업이 동일한 조직 내에서 여러 다른 네트워크 또는 사업부를 관리하기 위해 사용할 환경을 설정합니다. 사용자는 자신에게 액세스 권한이 있는 환경의 데이터만 볼 수 있습니다. 자세한 내용은 Google SecOps 문서에서 환경 추가를 참조하세요.
Security Operations 콘솔에서 SOAR 측면의 IAM 역할 매핑
- 보안 운영 콘솔에서 설정 > SOAR 설정 > 고급 > IAM 역할 매핑으로 이동합니다.
- 표시 이름(예: Chronicle SOAR 관리자)을 사용하여 각 IAM 역할을 해당 SOC 역할(위협 관리자, 취약점 관리자 또는 Admin), 권한 그룹(관리자 권한 그룹 선택), 환경(기본 환경 선택)에 할당합니다. 또는 IAM 역할 대신 이메일 주소를 추가합니다.
- 저장을 클릭합니다.
경우에 따라 사용자가 보안 운영 콘솔에 로그인하려고 시도하지만 IAM 역할이 플랫폼에 매핑되지 않았습니다. 이러한 사용자가 거부되지 않도록 하려면 이 페이지에서 기본 액세스 설정을 사용 설정하는 것이 좋습니다.