Este artigo mostra como autorizar e mapear usuários usando o Identity and Access Management (IAM) com identificação segura no lado do SOAR do console de operações de segurança.
Antes de começar
Verifique se você definiu e mapeou usuários usando o IAM para o lado do SIEM do console de operações de segurança. Saiba mais em Controlar o acesso a recursos usando o IAM.Conceder papéis do IAM no console do Google Cloud
Três papéis predefinidos do IAM foram adicionados ao seu projeto Enterprise do Security Command Center no console do Google Cloud.
- Administrador do Chronicle SOAR (
roles/chronicle.soarAdmin) - Gerenciador de ameaças do Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gerenciador de vulnerabilidades do Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
O procedimento a seguir explica como conceder os papéis do IAM aos usuários no console do Google Cloud.
- Abra o console e selecione o Security Command Center.
- Clique em IAM e administrador.
- Selecione IAM na árvore de navegação e Conceder acesso.
- Na caixa de diálogo Grant Access, acesse o campo Add Principals e insira os endereços de e-mail dos usuários ou grupos de usuários para uma das três funções do IAM.
- No campo Selecionar um papel, pesquise o papel necessário: Administrador do Chronicle SOAR, Gerenciador de ameaças do Chronicle SOAR ou Gerenciador de vulnerabilidades do Chronicle SOAR.
- Repita esse processo para as três funções ou conforme necessário.
- Clique em Salvar.
Controle o acesso dos usuários
Nas configurações do SOAR do console de operações de segurança, há várias maneiras diferentes de determinar quais usuários têm acesso a quais aspectos da plataforma.
- Grupos de permissões: defina grupos de permissões para tipos de usuários que determinam quais módulos e submódulos serão visíveis ou editáveis para os usuários. Por exemplo, é possível definir permissões para que o usuário veja os casos e a mesa de trabalho, mas não tenha acesso aos playbooks e às configurações. Para mais informações, consulte Como trabalhar com grupos de permissões na documentação do Google SecOps.
- Funções do SOC: defina o papel de um grupo de usuários. É possível definir casos, ações ou playbooks para uma função do SOC em vez de um usuário específico. Os usuários veem os casos atribuídos a eles pessoalmente, à função ou a uma das funções adicionais. Para mais informações, consulte Como trabalhar com papéis na documentação do Google SecOps.
- Ambientes: defina ambientes para serem usados pelas empresas para gerenciar diferentes redes ou unidades de negócios na mesma organização. Os usuários só têm acesso aos dados dos ambientes a que têm acesso. Para mais informações, consulte Adicionar um ambiente na documentação do Google SecOps.
Mapear os papéis do IAM no lado do SOAR do console de operações de segurança
- No console de operações de segurança, acesse Configurações > Configurações do SOAR > Avançado > Mapeamento de função do IAM.
- Usando o nome de exibição (por exemplo, administrador do Chronicle SOAR), atribua cada função do IAM às funções do SOC correspondentes (Threat Manager, Vulnerability Manager ou administrador), grupos de permissões (selecione o grupo de permissões do administrador) e ambientes (selecione o ambiente padrão). Como alternativa, adicione um endereço de e-mail em vez de um papel do IAM.
- Clique em Salvar.
Às vezes, os usuários tentam fazer login no console de operações de segurança, mas o papel do IAM não foi mapeado na plataforma. Para que esses usuários não sejam rejeitados, recomendamos ativar e definir as Configurações de acesso padrão nesta página.