本文介绍如何使用 Identity and Access Management (IAM) 授权和映射用户 在 Security Operations 控制台的 SOAR 端进行安全标识。
准备工作
确保您已使用 IAM 定义用户并将其映射到 SIEM 安全运维控制台。 有关详情,请参见 使用 IAM 控制功能访问权限在 Google Cloud 控制台中授予 IAM 角色
您的 Security Command Center 中添加了三个预定义的 IAM 角色 Enterprise 项目。
- Chronicle SOAR 管理员 (
roles/chronicle.soarAdmin) - Chronicle SOAR 威胁管理器 (
roles/chronicle.soarThreatManager) - Chronicle SOAR 漏洞管理器 (
roles/chronicle.soarVulnerabilityManager)
以下过程说明了如何授予 IAM 角色 在 Google Cloud 控制台中向用户显示。
- 打开控制台,然后选择您的 Security Command Center。
- 点击 IAM 和管理员。
- 从导航树中选择 IAM,然后选择授予访问权限。
- 在“授予访问权限”对话框中,转到添加主账号字段, 然后输入三个电子邮件地址之一 IAM 角色。
- 在选择角色字段中,搜索所需的角色: Chronicle SOAR Admin, Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 请对所有三个角色重复此过程,也可以根据需要重复此过程。
- 点击保存。
控制用户访问权限
在 Security Operations 控制台的 SOAR 设置中,有几种不同的方法可以确定 哪些用户有权访问平台的哪些方面
- 权限组:为用户类型设置权限组,用于确定 模块和子模块对用户可见或修改。例如: 您可以设置权限,以便用户查看案例和工作台 但无权访问策略方案和设置如需了解详情,请参阅 <ph type="x-smartling-placeholder"></ph> 使用权限组。
- SOC 角色:定义一组用户的角色。您可以设置案例或操作 而不是特定用户。用户看到的案例 或者分配给他们的某个角色或其他角色之一。 如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置供企业用来管理不同 同一组织内的网络或业务部门。 用户只能看到他们有权访问的环境的数据。有关 信息,请参阅 Google SecOps 文档中的“添加环境”部分。
在 Security Operations 控制台的 SOAR 端映射 IAM 角色
- 在 Security Operations 控制台中,转到 Settings > SOAR Settings > 高级 > IAM 角色映射。
- 使用显示名称(例如 Chronicle SOAR Admin),分配 将每个 IAM 角色映射到相应的 SOC 角色(威胁管理员、 Vulnerability Manager or Admin)、权限组(选择 Admins 权限组)、 和环境(选择默认环境)。 或者,添加电子邮件地址而非 IAM 角色。
- 点击保存。
有时,用户会尝试登录 Security Operations 控制台,但其 IAM 角色没有 都已映射到平台中为了避免这些用户被拒绝 我们建议您在此页面上启用和设置默认访问权限设置。