Questo articolo mostra come autorizzare e mappare gli utenti utilizzando Identity and Access Management (IAM) con l'identificazione sicura nel lato SOAR di Security Operations Console.
Prima di iniziare
Assicurati di aver definito e mappato gli utenti utilizzando IAM al lato SIEM della console Security Operations. Per ulteriori informazioni, consulta Controllare l'accesso alle funzionalità utilizzando IAMConcedi ruoli IAM nella console Google Cloud
Tre ruoli IAM predefiniti sono stati aggiunti al tuo progetto Security Command Center Enterprise nella console Google Cloud.
- Amministratore Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestore delle minacce Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestore delle vulnerabilità Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
La procedura seguente spiega come concedere i ruoli IAM agli utenti nella console Google Cloud.
- Apri la console e seleziona il tuo Security Command Center.
- Fai clic su IAM e amministratore.
- Seleziona IAM dall'albero di navigazione e quindi Concedi accesso.
- Nella finestra di dialogo Concedi l'accesso, vai al campo Aggiungi entità e inserisci gli indirizzi email degli utenti o dei gruppi di utenti per uno dei tre ruoli IAM.
- Nel campo Seleziona un ruolo, cerca il ruolo richiesto: Chronicle SOAR Admin, Chronicle SOAR Threat Manager o Chronicle SOAR Vulnerability Manager.
- Ripeti questa procedura per tutti e tre i ruoli o secondo necessità.
- Fai clic su Salva.
Controllare l'accesso degli utenti
Nelle impostazioni SOAR di Security Operations Console, esistono diversi modi per determinare quali utenti hanno accesso a determinati aspetti della piattaforma.
- Gruppi di autorizzazioni: imposta i gruppi di autorizzazioni per i tipi di utenti che determinano quali moduli e sottomoduli saranno visibili o modificabili per gli utenti. Ad esempio, puoi impostare le autorizzazioni in modo che l'utente veda le richieste e la scrivania, ma non abbia accesso ai playbook e alle impostazioni. Per ulteriori informazioni, consulta Utilizzo dei gruppi di autorizzazioni nella documentazione di Google SecOps.
- Ruoli SOC: definiscono il ruolo di un gruppo di utenti. Puoi impostare casi, azioni o playbook su un ruolo SOC invece che su un utente specifico. Gli utenti vedono le richieste che sono assegnate a loro personalmente, al loro ruolo o a uno dei ruoli aggiuntivi. Per ulteriori informazioni, consulta la sezione Utilizzo dei ruoli nella documentazione di Google SecOps.
- Ambienti: imposta ambienti che le aziende devono utilizzare per gestire reti o unità aziendali diverse all'interno della stessa organizzazione. Gli utenti vedranno solo i dati per gli ambienti a cui hanno accesso. Per ulteriori informazioni, consulta la sezione Aggiungere un ambiente nella documentazione di Google SecOps.
Mappa i ruoli IAM sul lato SOAR della console Security Operations
- Nella Security Operations Console, vai a Settings (Impostazioni) > SOAR Settings (Impostazioni SOAR) > Advanced > IAM Role mapping.
- Utilizzando il nome visualizzato (ad es. Amministratore Chronicle SOAR), assegna ciascun ruolo IAM ai ruoli SOC corrispondenti (Gestore delle minacce, Gestore delle vulnerabilità o Amministratore), ai gruppi di autorizzazioni (seleziona il gruppo di autorizzazioni Amministratori) e agli ambienti (seleziona l'ambiente predefinito). In alternativa, aggiungi un indirizzo email invece di un ruolo IAM.
- Fai clic su Salva.
A volte gli utenti tenteranno di accedere alla console Security Operations ma il loro ruolo IAM non è stato mappato nella piattaforma. Affinché questi utenti non vengano rifiutati, ti consigliamo di abilitare e impostare le impostazioni di accesso predefinite in questa pagina.