この記事では、セキュリティ運用コンソールの SOAR 側で Identity and Access Management(IAM)により安全な識別を行い、ユーザーを認可してマッピングする方法について説明します。
始める前に
IAM を使用してユーザーを定義し、セキュリティ運用コンソールの SIEM 側にマッピングされていることを確認します。詳細については、IAM を使用して機能アクセスを制御するをご覧ください。Google Cloud コンソールで IAM ロールを付与する
Google Cloud コンソールの Security Command Center Enterprise プロジェクトに、3 つの事前定義された IAM ロールが追加されています。
- Chronicle SOAR 管理者
- Chronicle 脆弱性マネージャー
- Chronicle 脅威マネージャー
次の手順では、Google Cloud コンソールでユーザーに IAM のロールを付与する方法について説明します。
- コンソールを開き、Security Command Center を選択します。
- [IAM と管理] をクリックします。
- ナビゲーション ツリーから [IAM] を選択し、[アクセス権を付与] を選択します。
- [アクセス権を付与] ダイアログ ボックスで、[プリンシパルの追加] フィールドに移動し、3 つの IAM ロールのいずれかに該当するユーザーまたはユーザー グループのメールアドレスを入力します。
- [ロールを選択] フィールドで、必要なロール(SOAR 管理者、脆弱性マネージャー、または脅威マネージャー)を検索します。
- 3 つのロールすべてに対して、または必要に応じてこの手順を繰り返します。
- [保存] をクリックします。
ユーザー アクセスを制御する
セキュリティ運用コンソールの SOAR 設定には、ユーザーがプラットフォームのどの側面にアクセスできるかを決定する方法がいくつかあります。
- 権限グループ: ユーザーに対して表示可能または編集可能なモジュールとサブモジュールを決定する、ユーザータイプの権限グループを設定します。たとえば、ユーザーはケースとワークデスクを表示できるが、ハンドブックと設定にはアクセスできないように権限を設定できます。詳細については、Google SecOps ドキュメントの権限グループの操作をご覧ください。
- SOC ロール: ユーザー グループのロールを定義します。ケース、アクション、ハンドブックを特定のユーザーではなく SOC ロールに設定できます。ユーザーは、自分に、自分のロールに、または追加ロールの 1 つに割り当てられたケースを確認できます。詳細については、Google SecOps ドキュメントのロールの操作をご覧ください。
- 環境: 企業が同じ組織内の異なるネットワークまたはビジネス ユニットを管理するために使用する環境を設定します。ユーザーには、アクセス権を持つ環境のデータのみが表示されます。詳細については、Google SecOps ドキュメントの環境の追加をご覧ください。
セキュリティ運用コンソールの SOAR 側で IAM ロールをマッピングする
- セキュリティ運用コンソールで、[設定] > [SOAR 設定] > [詳細] > [IAM ロール マッピング] に移動します。
- 各 IAM ロールを、対応する SOC のロール(脅威マネージャー、脆弱性マネージャー、または管理者)、権限グループ(管理者権限グループを選択)、環境(デフォルト環境を選択)に割り当てます。または、IAM ロールの代わりにメールアドレスを追加します。
- [保存] をクリックします。
ユーザーがセキュリティ運用コンソールにログインしようとしても、ユーザーの IAM ロールがプラットフォームにマッピングされていない場合があります。このようなユーザーが拒否されないようにするには、このページで [デフォルトのアクセス設定] を有効にして設定することをおすすめします。