Il livello Security Command Center Enterprise include alcune funzionalità disponibili da Google Security Operations. Puoi esaminare e correggere vulnerabilità, configurazioni errate e minacce utilizzando sia le pagine della Google Cloud console che quelle della console Security Operations.
Gli utenti di Security Command Center Enterprise hanno bisogno delle autorizzazioni IAM per accedere alle funzionalità di Security Command Center sia nelle pagine della console che in quelle della console Security Operations. Google Cloud
Google Security Operations ha un insieme di ruoli IAM predefiniti che ti consentono di accedere alle funzionalità correlate a SIEM e SOAR nelle pagine della console Security Operations. Puoi concedere i ruoli di Google Security Operations a livello di progetto.
Security Command Center ha un insieme di ruoli IAM predefiniti che ti consentono di accedere alle funzionalità nelle pagine della console Security Operations che sono specifiche del livello Security Command Center Enterprise. Di seguito sono elencati alcuni esempi:
- Visualizzatore editor amministratore Centro sicurezza (
roles/securitycenter.adminEditor) - Visualizzatore amministratore Centro sicurezza (
roles/securitycenter.adminViewer)
Per visualizzare le funzionalità di Security Command Center disponibili nelle pagine della console Security Operations, gli utenti devono avere almeno il ruolo Visualizzatore amministratore Centro sicurezza (roles/securitycenter.adminViewer). Concedi i ruoli di Security Command Center a livello di organizzazione.
Durante la pianificazione del deployment, esamina quanto segue per identificare gli utenti che hanno bisogno dell'accesso alle funzionalità:
Per concedere l'accesso degli utenti alle funzionalità e ai risultati nella Google Cloud console, consulta Controllo dell'accesso con IAM.
Per concedere l'accesso degli utenti alle funzionalità di rilevamento e indagine delle minacce correlate a SIEM nelle pagine della console Operazioni di sicurezza, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM.
Per concedere l'accesso degli utenti alle funzionalità di risposta correlate a SOAR nelle pagine della console Security Operations, consulta Mappare i ruoli IAM nel lato SOAR della console Security Operations. Puoi anche mappare i ruoli IAM correlati a SOAR ai ruoli SOC, ai gruppi di autorizzazioni e agli ambienti in Impostazioni SOAR.
Per creare ruoli IAM personalizzati utilizzando le autorizzazioni IAM di Google SecOps, consulta Creare e assegnare un ruolo personalizzato a un gruppo.
Per accedere alle funzionalità disponibili con Security Command Center Enterprise, ad esempio la pagina Panoramica della postura, concedi agli utenti i ruoli IAM richiesti nell'organizzazione in cui è attivato Security Command Center Enterprise.
La procedura per concedere l'accesso alle funzionalità varia a seconda della configurazione del provider di identità.
Se utilizzi Google Workspace o Cloud Identity come provider di identità, concedi i ruoli direttamente a un utente o a un gruppo. Per un esempio di come eseguire questa operazione, consulta Configurare un Google Cloud provider di identità.
Se utilizzi la federazione delle identità per la forza lavoro per connetterti a un provider di identità di terze parti (ad esempio Okta o Azure AD), concedi i ruoli alle identità in un pool di identità della forza lavoro o a un gruppo all'interno del pool di identità della forza lavoro.
Per esempi di come concedere funzionalità correlate a SIEM e SOAR a un pool di identità della forza lavoro, consulta Configurare il controllo dell'accesso alle funzionalità utilizzando IAM.
Assicurati che i pool della forza lavoro includano le autorizzazioni per accedere alle funzionalità specifiche di Security Command Center nelle pagine della console Security Operations. Di seguito sono riportati alcuni esempi:
Per concedere il ruolo Visualizzatore amministratore Centro sicurezza a tutti gli utenti di un pool di identità della forza lavoro, esegui questo comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneSostituisci quanto segue:
ORGANIZATION_ID: l'ID numerico dell'organizzazione.WORKFORCE_POOL_ID: il valore che hai definito per l'ID del pool di identità della forza lavoro.
Per concedere i ruoli Visualizzatore amministratore Centro sicurezza a un gruppo specifico, esegui questi comandi:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneSostituisci
GROUP_ID: un gruppo nella rivendicazionegoogle.groupsmappata.