Cet article explique comment autoriser et mapper des utilisateurs à l'aide d'Identity and Access Management (IAM) avec une identification sécurisée dans les fonctionnalités liées à SOAR sur les pages de la console Security Operations.
Avant de commencer
Assurez-vous d'avoir défini et mappé les utilisateurs à l'aide d'IAM pour les fonctionnalités liées au SIEM sur les pages de la console Security Operations. Pour en savoir plus, consultez Contrôler l'accès aux fonctionnalités à l'aide d'IAM.Accorder des rôles IAM dans la Google Cloud console
Trois rôles IAM prédéfinis ont été ajoutés à votre projet Security Command Center Enterprise dans la Google Cloud console.
- Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
La procédure suivante explique comment accorder les rôles IAM aux utilisateurs dans la Google Cloud console.
- Ouvrez la console et sélectionnez votre Security Command Center.
- Cliquez sur IAM et administration.
- Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
- Dans la boîte de dialogue "Accorder l'accès" , accédez au champ Ajouter des responsables , puis saisissez les adresses e-mail des utilisateurs ou des groupes d'utilisateurs pour l'un des trois rôles IAM.
- Dans le champ Sélectionner un rôle , recherchez le rôle requis : Administrateur Chronicle SOAR, Gestionnaire de menaces Chronicle SOAR ou Gestionnaire de failles Chronicle SOAR.
- Répétez cette procédure pour les trois rôles ou selon vos besoins.
- Cliquez sur Enregistrer.
Contrôler l'accès des utilisateurs
Dans la Google Cloud navigation de la console, accédez à Paramètres > Paramètres SOAR. Sur la page Paramètres SOAR de la console Security Operations, vous pouvez déterminer de plusieurs manières quels utilisateurs ont accès à quels aspects de la plate-forme.
- Groupes d'autorisations : définissez des groupes d'autorisations pour les types d'utilisateurs afin de déterminer les modules et sous-modules qui seront visibles ou modifiables pour les utilisateurs. Par exemple, vous pouvez définir des autorisations de sorte que l'utilisateur voit les cas et le bureau, mais n'ait pas accès aux playbooks ni aux paramètres. Pour en savoir plus, consultez Utiliser des groupes d'autorisations dans la documentation Google SecOps.
- Rôles SOC : définissez le rôle d'un groupe d'utilisateurs. Vous pouvez définir des cas, des actions ou des playbooks pour un rôle SOC au lieu d'un utilisateur spécifique. Les utilisateurs voient les cas qui leur sont attribués personnellement, à leur rôle ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez Utiliser des rôles dans la documentation Google SecOps.
- Environnements : définissez des environnements que les entreprises peuvent utiliser pour gérer différents réseaux ou unités commerciales au sein de la même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour en savoir plus, consultez Ajouter un environnement dans la documentation Google SecOps.
Mapper les rôles IAM à l'aide de la page "Paramètres SOAR" de la console Security Operations
- Dans la Google Cloud console, accédez à Paramètres > Paramètres SOAR > Avancé > Mappage des rôles IAM.
- À l'aide du nom à afficher (par exemple, "Administrateur Chronicle SOAR"), attribuez chaque rôle IAM aux rôles SOC correspondants (gestionnaire de menaces, gestionnaire de failles ou administrateur), aux groupes d'autorisations (sélectionnez le groupe d'autorisations "Administrateurs") et aux environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
- Cliquez sur Enregistrer.
Parfois, les utilisateurs tentent d'accéder aux fonctionnalités de la console Security Operations, mais leur rôle IAM n'a pas été mappé dans la plate-forme. Pour éviter que ces utilisateurs ne soient refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.