Cet article vous explique comment autoriser et mapper des utilisateurs à l'aide d'Identity and Access Management (IAM) avec une identification sécurisée dans la partie SOAR de la console Security Operations.
Avant de commencer
Assurez-vous d'avoir défini et mappé des utilisateurs à l'aide d'IAM sur le côté SIEM de la console Opérations de sécurité. Pour en savoir plus, consultez la page Contrôler l'accès aux fonctionnalités à l'aide d'IAM.Attribuer des rôles IAM dans la console Google Cloud
Trois rôles IAM prédéfinis ont été ajoutés à votre projet Security Command Center Enterprise dans la console Google Cloud.
- Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
La procédure suivante explique comment attribuer des rôles IAM aux utilisateurs dans la console Google Cloud.
- Ouvrez la console et sélectionnez votre Security Command Center.
- Cliquez sur IAM et administration.
- Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
- Dans la boîte de dialogue Accorder l'accès, accédez au champ Ajouter des comptes principaux, puis saisissez les adresses e-mail des utilisateurs ou des groupes d'utilisateurs pour l'un des trois rôles IAM.
- Dans le champ Sélectionner un rôle, recherchez le rôle requis : Administrateur SOAR Chronicle, Gestionnaire des menaces SOAR Chronicle ou Gestionnaire des failles Chronicle SOAR.
- Répétez ce processus pour les trois rôles ou selon vos besoins.
- Cliquez sur Enregistrer.
Contrôler l'accès des utilisateurs
Dans les paramètres SOAR de la console Security Operations, il existe plusieurs façons de déterminer quels utilisateurs ont accès à quels aspects de la plate-forme.
- Groupes d'autorisations: définissez des groupes d'autorisations pour les types d'utilisateurs afin de déterminer les modules et sous-modules qui seront visibles ou modifiables par les utilisateurs. Par exemple, vous pouvez définir des autorisations de sorte que l'utilisateur puisse voir les demandes et le bureau de travail, mais n'ait pas accès aux playbooks ni aux paramètres. Pour en savoir plus, consultez la section Utiliser des groupes d'autorisations dans la documentation Google SecOps.
- Rôles SOC: définissent le rôle d'un groupe d'utilisateurs. Vous pouvez attribuer un rôle SOC à un rôle utilisateur plutôt qu'à un utilisateur spécifique pour les demandes, les actions ou les playbooks. Les utilisateurs voient les demandes qui leur sont attribuées personnellement, à leur rôle ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez Utiliser des rôles dans la documentation Google SecOps.
- Environnements: définissez les environnements que les entreprises utiliseront pour gérer différents réseaux ou unités commerciales au sein d'une même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour en savoir plus, consultez la section Ajouter un environnement dans la documentation Google SecOps.
Mapper les rôles IAM dans la partie SOAR de la console Security Operations
- Dans la console Opérations de sécurité, accédez à Paramètres > Paramètres SOAR > Avancé > Mappage des rôles IAM.
- En utilisant le nom à afficher (par exemple, administrateur SOAR Chronicle), attribuez chaque rôle IAM aux rôles SOC correspondants (Gestionnaire de menaces, Gestionnaire de failles ou Administrateur), aux groupes d'autorisations (sélectionner le groupe d'autorisations Administrateurs) et aux environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
- Cliquez sur Enregistrer.
Il arrive que des utilisateurs tentent de se connecter à la console Opérations de sécurité, mais que leur rôle IAM n'a pas été mappé sur la plate-forme. Pour éviter que ces utilisateurs ne soient refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.