Cet article explique comment autoriser et mapper des utilisateurs à l'aide de la gestion de l'authentification et des accès (IAM) avec une identification sécurisée dans la console de sécurité des opérations (SOAR) de la console Security Operations.
Avant de commencer
Assurez-vous d'avoir défini et mappé les utilisateurs à l'aide d'IAM avec la solution SIEM. de la console Opérations de sécurité. Pour plus d'informations, voir Contrôler l'accès aux fonctionnalités à l'aide d'IAMAttribuer des rôles IAM dans la console Google Cloud
Trois rôles IAM prédéfinis ont été ajoutés à votre projet Security Command Center Enterprise dans la console Google Cloud.
- Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin
) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager
) - Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager
)
La procédure suivante explique comment attribuer les rôles IAM aux utilisateurs dans la console Google Cloud.
- Ouvrez la console et sélectionnez votre Security Command Center.
- Cliquez sur IAM et administration.
- Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
- Dans la boîte de dialogue Accorder l'accès, accédez au champ Ajouter des comptes principaux, puis saisissez les adresses e-mail des utilisateurs ou des groupes d'utilisateurs pour l'un des trois rôles IAM.
- Dans le champ Sélectionnez un rôle, recherchez le rôle requis: Administrateur SOAR Chronicle, Gestionnaire de menaces Chronicle SOAR Gestionnaire de failles Chronicle SOAR.
- Répétez cette procédure pour les trois rôles ou selon vos besoins.
- Cliquez sur Enregistrer.
Contrôler l'accès des utilisateurs
Dans les paramètres SOAR de la console Security Operations, il existe plusieurs façons de déterminer les utilisateurs qui ont accès à quels aspects de la plate-forme.
- Groupes d'autorisations: définissez des groupes d'autorisations pour les types d'utilisateurs qui déterminent les modules et sous-modules seront visibles ou modifiables pour les utilisateurs. Par exemple : vous pouvez définir des autorisations pour que l'utilisateur puisse voir les demandes et le bureau de travail mais n'a pas accès aux playbooks ni aux paramètres. Pour en savoir plus, consultez Utiliser des groupes d'autorisations dans la documentation Google SecOps.
- Rôles SOC: définissent le rôle d'un groupe d'utilisateurs. Vous pouvez définir des cas, des actions ou des playbooks sur un rôle SOC plutôt que sur un utilisateur spécifique. Les utilisateurs voient les demandes qui leur sont attribuées personnellement, à leur rôle ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez Utiliser des rôles dans la documentation Google SecOps.
- Environnements: définissez les environnements que les entreprises vont utiliser pour gérer différents des réseaux ou des unités commerciales au sein d’une même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour en savoir plus, consultez Ajouter un environnement dans la documentation Google SecOps.
Mapper les rôles IAM dans la partie SOAR de la console Security Operations
- Dans la console Security Operations, accédez à Settings > SOAR Settings > Advanced > IAM Role mapping (Paramètres > Paramètres SOAR > Avancé > Mappage des rôles IAM).
- À l'aide du nom à afficher (par exemple, administrateur SOAR Chronicle), attribuez aux rôles SOC correspondants (Threat Manager, Gestionnaire de failles ou Administrateur), groupes d'autorisations (sélectionnez le groupe d'autorisations "Administrateurs"), et environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
- Cliquez sur Enregistrer.
Parfois, les utilisateurs essaient de se connecter Opérations de sécurité, mais leur rôle IAM n'a pas cartographiées dans la plate-forme. Pour que ces utilisateurs ne soient pas refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.