En este artículo, se muestra cómo autorizar y asignar usuarios con Identity and Access Management (IAM) con identificación segura en el lado de SOAR de la consola de operaciones de seguridad.
Antes de comenzar
Asegúrate de haber definido y asignado los usuarios mediante IAM a la SIEM lateral de la consola de Operaciones de seguridad. Para obtener más información, consulta Controla el acceso a las funciones con la IAMOtorga roles de IAM en la consola de Google Cloud
Se agregaron tres roles predefinidos de IAM a Security Command Center Proyecto empresarial en la consola de Google Cloud.
- Administrador de Chronicle SOAR (
roles/chronicle.soarAdmin) - Administrador de amenazas de Chronicle SOAR (
roles/chronicle.soarThreatManager) - Administrador de vulnerabilidades de Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
En el siguiente procedimiento, se explica cómo otorgar los roles de IAM a los usuarios en la consola de Google Cloud.
- Abre la consola y selecciona Security Command Center.
- Haz clic en IAM y administración.
- Selecciona IAM en el árbol de navegación y, luego, Otorgar acceso.
- En el cuadro de diálogo Otorgar acceso, ve al campo Agregar principales. e ingresar las direcciones de correo electrónico de los usuarios o grupos de usuarios de uno de los tres de IAM personalizados.
- En el campo Selecciona un rol, busca el rol requerido: Administrador de Chronicle SOAR, Chronicle SOAR Threat Manager Administrador de vulnerabilidades de Chronicle SOAR.
- Repite este proceso para los tres roles o según sea necesario.
- Haz clic en Guardar.
Controla el acceso de los usuarios
En la configuración de SOAR de la consola de operaciones de seguridad, hay varias formas diferentes de determinar qué usuarios tienen acceso a qué aspectos de la plataforma.
- Grupos de permisos: Establece grupos de permisos para los tipos de usuarios que determinan cuáles módulos y submódulos serán visibles o editables para los usuarios. Por ejemplo: puedes establecer permisos de modo que el usuario vea los casos y el escritorio pero no tiene acceso a las guías ni a la configuración. Para obtener más información, consulta Cómo trabajar con grupos de permisos en la documentación de Google SecOps.
- Roles de SOC: Definen el rol de un grupo de usuarios. Puedes establecer casos o acciones o guías para una función de SOC en lugar de un usuario específico. Los usuarios ven casos en los que se les asignan personalmente, a sus roles o a uno de los roles adicionales. Para obtener más información, consulta Cómo trabajar con roles en la documentación de Google SecOps.
- Entornos: Configura entornos para que las empresas administren diferentes redes o unidades de negocios dentro de la misma organización. Los usuarios solo ven los datos de los entornos a los que tienen acceso. Para ver más consulta Cómo agregar un entorno en la documentación de Google SecOps
Asigna los roles de IAM en el lado de SOAR de la consola de operaciones de seguridad
- En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Avanzada > Asignación de roles de IAM.
- Usa el nombre visible (p.ej., administrador de Chronicle SOAR), asigna cada rol de IAM a los roles de SOC correspondientes (administrador de amenazas, Administrador de vulnerabilidades o Administrador), grupos de permisos (selecciona el grupo de permisos Administrador), y entornos (selecciona el entorno predeterminado). También puedes agregar una dirección de correo electrónico en lugar de un rol de IAM.
- Haz clic en Guardar.
A veces, los usuarios intentarán acceder Consola de operaciones de seguridad, pero su rol de IAM no se asignaron en la plataforma. Para que no se rechacen a estos usuarios, te recomendamos habilitar y establecer la Configuración de acceso predeterminada en esta página.