En este artículo, se muestra cómo autorizar y asignar usuarios mediante Identity and Access Management (IAM) con una identificación segura en el lado SOAR de la consola de operaciones de seguridad.
Antes de comenzar
Asegúrate de haber definido y asignado usuarios mediante IAM al lado de SIEM de la consola de operaciones de seguridad. Para obtener más información, consulta Controla el acceso a las funciones con IAM.Otorga roles de IAM en la consola de Google Cloud
Se agregaron tres roles de IAM predefinidos al proyecto de Security Command Center Enterprise en la consola de Google Cloud.
- Administrador de Chronicle SOAR
- Administradores de vulnerabilidades de Chronicle
- Administradores de amenazas de Chronicle
En el siguiente procedimiento, se explica cómo otorgar los roles de IAM a los usuarios en la consola de Google Cloud.
- Abre la consola y selecciona Security Command Center.
- Haz clic en IAM y administración.
- Selecciona IAM en el árbol de navegación y, luego, Otorgar acceso.
- En el cuadro de diálogo Otorgar acceso, ve al campo Agregar principales y, luego, ingresa las direcciones de correo electrónico de usuarios o grupos de usuarios para uno de los tres roles de IAM.
- En el campo Selecciona un rol, busca el rol requerido: Administrador de SOAR, Administrador de vulnerabilidades o Administrador de amenazas.
- Repite este proceso para las tres funciones o según sea necesario.
- Haz clic en Guardar.
Controla el acceso de los usuarios
En la configuración de SOAR de la consola de Operaciones de seguridad, hay varias formas diferentes de determinar qué usuarios tienen acceso a qué aspectos de la plataforma.
- Grupos de permisos: Configura grupos de permisos para los tipos de usuarios que determinan qué módulos y submódulos estarán visibles o editables para los usuarios. Por ejemplo, puedes establecer permisos de modo que el usuario vea los casos y el escritorio, pero no tenga acceso a las guías ni la configuración. Para obtener más información, consulta Trabaja con grupos de permisos en la documentación de Google SecOps.
- Roles de SOC: Define el rol de un grupo de usuarios. Puede establecer casos, acciones o manuales para un rol de SOC en lugar de un usuario específico. Los usuarios ven los casos que se les asignan personalmente, a sus roles, o a uno de los roles adicionales. Para obtener más información, consulta Trabaja con roles en la documentación de SecOps de Google.
- Entornos: Configura los entornos que usarán las empresas para administrar diferentes redes o unidades de negocios dentro de la misma organización. Los usuarios solo ven los datos de los entornos a los que tienen acceso. Para obtener más información, consulta Agrega un entorno en la documentación de SecOps de Google.
Asigna los roles de IAM en el lado SOAR de la Consola de operaciones de seguridad
- En la consola de operaciones de seguridad, ve a Configuración > Configuración de SOAR > Avanzada > Asignación de roles de IAM.
- Asigna cada rol de IAM a las funciones correspondientes del SOC (administrador de amenazas, administrador de vulnerabilidades o administrador), grupos de permisos (selecciona el grupo de permisos de administrador) y entornos (selecciona el entorno predeterminado). Como alternativa, puedes agregar una dirección de correo electrónico en lugar de un rol de IAM.
- Haz clic en Guardar.
A veces, los usuarios intentarán acceder a la consola de operaciones de seguridad, pero no se asignó su función de IAM en la plataforma. Para que no se rechacen estos usuarios, te recomendamos que habilites y establezcas la Configuración de acceso predeterminada en esta página.