本文介绍了如何在安全运营控制台的 SOAR 端使用 Identity and Access Management (IAM) 通过安全身份验证授权和映射用户。
准备工作
确保您已使用 IAM 定义并将用户映射到安全运营控制台的 SIEM 端。如需了解详情,请参阅 使用 IAM 控制功能访问权限在 Google Cloud 控制台中授予 IAM 角色
系统已在 Google Cloud 控制台中向您的 Security Command Center 企业版项目添加了三个预定义 IAM 角色。
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
以下步骤介绍了如何在 Google Cloud 控制台中向用户授予 IAM 角色。
- 打开控制台,然后选择您的 Security Command Center。
- 点击 IAM 和管理。
- 从导航树中选择 IAM,然后选择 Grant Access。
- 在“授予访问权限”对话框中,前往添加主账号字段,然后输入三种 IAM 角色之一的用户或用户群组的电子邮件地址。
- 在选择角色字段中,搜索所需角色:Chronicle SOAR Admin、Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 针对所有三个角色重复此过程,或根据需要重复此过程。
- 点击保存。
控制用户访问权限
在安全运营控制台的 SOAR 设置中,您可以通过多种不同的方式确定哪些用户有权访问平台的哪些方面。
- 权限组:为用户类型设置权限组,这些组决定了用户可以看到或修改哪些模块和子模块。例如,您可以设置权限,让用户可以看到支持请求和工作台,但无法访问 Playbook 和设置。如需了解详情,请参阅 Google SecOps 文档中的 使用权限组。
- SOC 角色:定义一组用户的角色。您可以将支持请求、操作或 Playbook 设置为 SOC 角色,而不是特定用户。用户可以看到分配给其个人、其角色或其他角色的支持请求。如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置环境,供企业用于管理同一组织中的不同网络或业务部门。用户只能看到他们有权访问的环境的数据。如需了解详情,请参阅 Google SecOps 文档中的 添加环境。
在安全运营控制台的 SOAR 端映射 IAM 角色
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 高级 > IAM 角色映射。
- 使用显示名称(例如 Chronicle SOAR 管理员),将每个 IAM 角色分配给相应的 SOC 角色(威胁管理员、漏洞管理员或管理员)、权限组(选择“管理员”权限组)和环境(选择默认环境)。或者,您也可以添加电子邮件地址,而不是 IAM 角色。
- 点击保存。
有时,用户会尝试登录安全运营控制台,但其 IAM 角色尚未在平台中映射。为避免系统拒绝这些用户,我们建议您在此页面上启用并设置默认访问权限设置。