本文介绍如何使用 Identity and Access Management (IAM) 和 Security Operations 控制台的 SOAR 端中的安全标识向用户授权和映射用户。
准备工作
确保您已使用 IAM 定义用户并将其映射到安全操作控制台的 SIEM 端。如需了解详情,请参阅 使用 IAM 控制功能访问权限在 Google Cloud 控制台中授予 IAM 角色
Google Cloud 控制台中向您的 Security Command Center Enterprise 项目添加了三个预定义的 IAM 角色。
- Chronicle SOAR Admin
- Chronicle 漏洞管理器
- Chronicle 威胁管理器
以下过程说明了如何在 Google Cloud 控制台中向用户授予 IAM 角色。
- 打开控制台,然后选择您的 Security Command Center。
- 点击 IAM 和管理。
- 从导航树中选择 IAM,然后选择授予访问权限。
- 在“授予访问权限”对话框中,转到添加主账号字段,然后输入三个 IAM 角色之一的用户或用户组的电子邮件地址。
- 在选择角色字段中,搜索所需的角色:SOAR Admin、Vulnerability Manager 或 Threat Manager。
- 针对所有三个角色或根据需要重复此过程。
- 点击保存。
控制用户访问权限
在 Security Operations 控制台的 SOAR 设置中,有多种方法可以确定哪些用户有权访问平台的哪些方面。
- 权限组:为用户类型设置权限组,用于确定用户可以看到或编辑哪些模块和子模块。例如,您可以设置权限,使用户可以查看案例和工作区,但无权访问 playbook 和设置。如需了解详情,请参阅 Google SecOps 文档中的 使用权限组。
- SOC 角色:定义一组用户的角色。您可以将案例、操作或 playbook 设置为 SOC 角色,而不是特定用户。用户会看到分配给他们个人、他们角色或其他角色的情况。如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置企业用于管理同一组织内不同网络或业务部门的环境。用户只能查看他们有权访问的环境的数据。如需了解详情,请参阅 Google SecOps 文档中的 添加环境。
在 Security Operations 控制台的 SOAR 端映射 IAM 角色
- 在安全运维控制台中,转到设置 > SOAR 设置 > 高级 > IAM 角色映射。
- 将每个 IAM 角色分配给相应的 SOC 角色(Threat Manager、Vulnerability Manager 或 Admin)、权限组(选择管理员权限组)和环境(选择默认环境)。或者,添加电子邮件地址而不是 IAM 角色。
- 点击保存。
有时,用户会尝试登录 Security Operations 控制台,但其 IAM 角色尚未在平台中映射。为了避免这些用户被拒,我们建议您启用并设置此页面上的默认访问权限设置。