本文介绍了如何在安全运营控制台的 SOAR 端使用身份和访问权限管理 (IAM) 通过安全身份验证授权和映射用户。
准备工作
确保您已使用 IAM 定义并将用户映射到安全运营控制台的 SIEM 端。有关详情,请参阅 使用 IAM 控制功能访问权限在 Google Cloud 控制台中授予 IAM 角色
您的 Security Command Center 中添加了三个预定义的 IAM 角色 Enterprise 项目。
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
以下过程说明了如何授予 IAM 角色 在 Google Cloud 控制台中向用户显示。
- 打开控制台,然后选择您的 Security Command Center。
- 点击 IAM 和管理员。
- 从导航树中选择 IAM,然后选择 Grant Access。
- 在“授予访问权限”对话框中,前往添加主账号字段,然后输入三种 IAM 角色之一的用户或用户群组的电子邮件地址。
- 在选择角色字段中,搜索所需角色:Chronicle SOAR Admin、Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 针对所有三个角色重复此过程,或根据需要重复此过程。
- 点击保存。
控制用户访问权限
在安全运营控制台的 SOAR 设置中,您可以通过多种不同的方式确定哪些用户有权访问平台的哪些方面。
- 权限组:为用户类型设置权限组,用于确定 模块和子模块对用户可见或修改。例如: 您可以设置权限,以便用户查看案例和工作台 但无权访问策略方案和设置如需了解详情,请参阅 Google SecOps 文档中的使用权限组。
- SOC 角色:定义一组用户的角色。您可以设置案例或操作 而不是特定用户。用户看到的案例 或者分配给他们的某个角色或其他角色之一。 如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置供企业用来管理不同 同一组织内的网络或业务部门。 用户只能看到他们有权访问的环境中的数据。有关 信息,请参阅 Google SecOps 文档中的“添加环境”部分。
在安全运营控制台的 SOAR 端映射 IAM 角色
- 在 Security Operations 控制台中,转到 Settings > SOAR Settings > 高级 > IAM 角色映射。
- 使用显示名称(例如 Chronicle SOAR Admin),分配 将每个 IAM 角色映射到相应的 SOC 角色(威胁管理员、 Vulnerability Manager or Admin)、权限组(选择 Admins 权限组)、 和环境(选择默认环境)。 或者,您也可以添加电子邮件地址,而不是 IAM 角色。
- 点击保存。
有时,用户会尝试登录安全运营控制台,但其 IAM 角色尚未在平台中映射。为了避免这些用户被拒绝 我们建议您在此页面上启用和设置默认访问权限设置。