Questo articolo spiega come autorizzare e mappare gli utenti utilizzando Identity and Access Management (IAM) con l'identificazione sicura nelle funzionalità correlate a SOAR nelle pagine della console Security Operations.
Prima di iniziare
Assicurati di aver definito e mappato gli utenti utilizzando IAM per le funzionalità correlate a SIEM nelle pagine della console Security Operations. Per saperne di più, consulta Controllare l'accesso alle funzionalità utilizzando IAM.Concedere ruoli IAM nella Google Cloud console
Nella console sono stati aggiunti tre ruoli IAM predefiniti al progetto Security Command Center Enterprise. Google Cloud
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
La seguente procedura spiega come concedere i ruoli IAM agli utenti nella console. Google Cloud
- Apri la console e seleziona Security Command Center.
- Fai clic su IAM e amministratore.
- Seleziona IAM nell'albero di navigazione e poi Concedi accesso.
- Nella finestra di dialogo Concedi accesso , vai al campo Aggiungi entità e inserisci gli indirizzi email degli utenti o dei gruppi di utenti per uno dei tre ruoli IAM.
- Nel campo Seleziona un ruolo , cerca il ruolo richiesto: Chronicle SOAR Admin, Chronicle SOAR Threat Manager o Chronicle SOAR Vulnerability Manager.
- Ripeti questa procedura per tutti e tre i ruoli o in base alle esigenze.
- Fai clic su Salva.
Gestisci l'accesso degli utenti
Nella navigazione della Google Cloud console, vai a Impostazioni > Impostazioni SOAR. Nella pagina Impostazioni SOAR della console Security Operations, esistono diversi modi per determinare quali utenti hanno accesso a quali aspetti della piattaforma.
- Gruppi di autorizzazioni: imposta i gruppi di autorizzazioni per i tipi di utenti che determinano quali moduli e sottomoduli saranno visibili o modificabili per gli utenti. Ad esempio, puoi impostare le autorizzazioni in modo che l'utente veda i casi e la workdesk, ma non abbia accesso ai playbook e alle impostazioni. Per saperne di più, consulta Utilizzare i gruppi di autorizzazioni nella documentazione di Google SecOps.
- Ruoli SOC: definisci il ruolo di un gruppo di utenti. Puoi impostare casi, azioni o playbook su un ruolo SOC anziché su un utente specifico. Gli utenti vedono i casi assegnati personalmente, al loro ruolo o a uno dei ruoli aggiuntivi. Per saperne di più, consulta Utilizzare i ruoli nella documentazione di Google SecOps.
- Ambienti: imposta gli ambienti che le aziende possono utilizzare per gestire reti o unità aziendali diverse all'interno della stessa organizzazione. Gli utenti vedono solo i dati degli ambienti a cui hanno accesso. Per saperne di più, consulta Aggiungere un nuovo ambiente nella documentazione di Google SecOps.
Mappare i ruoli IAM utilizzando la pagina delle impostazioni SOAR della console Security Operations
- Nella Google Cloud console, vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei ruoli IAM.
- Utilizzando il nome visualizzato (ad es. Chronicle SOAR Admin), assegna ogni ruolo IAM ai ruoli SOC corrispondenti (Threat Manager, Vulnerability Manager o Admin), ai gruppi di autorizzazioni (seleziona il gruppo di autorizzazioni Amministratori) e agli ambienti (seleziona l'ambiente predefinito). In alternativa, aggiungi un indirizzo email anziché un ruolo IAM.
- Fai clic su Salva.
A volte gli utenti tentano di accedere alle funzionalità della console Security Operations, ma il loro ruolo IAM non è stato mappato nella piattaforma. Per evitare che questi utenti vengano rifiutati, ti consigliamo di attivare e impostare le impostazioni di accesso predefinite in questa pagina.