對應及驗證使用者，啟用 SOAR 相關功能

本文說明如何使用 Identity and Access Management (IAM) 授權及對應使用者，並在 Security Operations 控制台頁面的 SOAR 相關功能中安全地識別使用者。

事前準備

請務必使用 IAM 定義及對應使用者，以便在 Security Operations 控制台頁面使用 SIEM 相關功能。 詳情請參閱「 使用 IAM 控管功能存取權」。

在 Google Cloud 控制台中授予 IAM 角色

系統已在 Google Cloud 控制台中，將三個預先定義的 IAM 角色新增至 Security Command Center Enterprise 專案。

• Chronicle SOAR 管理員 (roles/chronicle.soarAdmin)
• Chronicle SOAR 威脅管理員 (roles/chronicle.soarThreatManager)
• Chronicle SOAR 安全漏洞管理員 (roles/chronicle.soarVulnerabilityManager)

以下程序說明如何在 Google Cloud 控制台中，將 IAM 角色授予使用者。

1. 開啟控制台並選取 Security Command Center。
2. 按一下「IAM & Admin」(IAM 與管理)。
3. 從導覽樹狀結構選取「IAM」，然後選取「授予存取權」。
4. 在「Grant Access」(授予存取權) 對話方塊中，前往「Add Principals」(新增主體) 欄位，然後輸入使用者或使用者群組的電子郵件地址，並指派三種 IAM 角色之一。
5. 在「Select a role」(選取角色) 欄位中，搜尋所需角色： Chronicle SOAR 管理員、 Chronicle SOAR 威脅管理者或 Chronicle SOAR 安全漏洞管理者。
6. 針對所有三個角色重複這個程序，或視需要執行。
7. 按一下 [儲存]。

控管使用者存取權

在 Google Cloud 控制台導覽中，依序前往「Settings」(設定)>「SOAR settings」(SOAR 設定)。 在 Security Operations 控制台的 SOAR 設定頁面中，有多種方式可判斷哪些使用者有權存取平台的哪些部分。

• 權限群組：為使用者類型設定權限群組，決定使用者可查看或編輯哪些模組和子模組。舉例來說，您可以設定權限，讓使用者查看案件和工作區，但無法存取應對手冊和設定。詳情請參閱 Google SecOps 說明文件中的「 使用權限群組」。
• SOC 角色：定義一組使用者的角色。您可以將案件、動作或劇本指派給 SOC 角色，而非特定使用者。使用者會看到指派給自己、指派給自己角色，或指派給其中一個額外角色的案件。詳情請參閱 Google SecOps 說明文件中的「使用角色」。
• 環境：設定企業可使用的環境，以便管理同一機構內的不同網路或業務單位。使用者只會看到自己有權存取的環境資料。詳情請參閱 Google SecOps 說明文件中的「 新增環境」。

使用 SOAR 設定「Security Operations」控制台頁面，對應 IAM 角色

1. 在 Google Cloud 控制台中，依序前往「Settings」(設定) >「SOAR settings」(SOAR 設定) >「Advanced」(進階) >「IAM Role mapping」(IAM 角色對應)。
2. 使用顯示名稱 (例如 Chronicle SOAR 管理員)，將每個 IAM 角色指派給對應的 SOC 角色 (威脅管理員、安全漏洞管理員或管理員)、權限群組 (選取「管理員」權限群組) 和環境 (選取預設環境)。或者，您也可以新增電子郵件地址，而非 IAM 角色。
3. 按一下 [儲存]。

每位使用者登入平台時，系統會自動將他們新增至「使用者管理」頁面 (位於「SOAR 設定」>「機構」)。

有時使用者會嘗試存取 Security Operations 控制台功能，但他們的 IAM 角色尚未對應至平台。為避免這些使用者遭到拒絕，建議您啟用並設定這個頁面的預設存取權設定。