Mapeie utilizadores na plataforma Google SecOps

Compatível com:

Este documento explica como aprovisionar, autenticar e mapear utilizadores com identificação segura para a plataforma Google Security Operations. Descreve o processo de configuração com o Google Workspace como o Fornecedor de identidade (IdP) externo, embora os passos sejam semelhantes para outros IdPs. Quando usa o fornecedor de identidade do Google Cloud, deve configurar o serviço com grupos de email em vez de grupos do IdP. Para ver detalhes, consulte o artigo Mapeie utilizadores na plataforma do Google SecOps com o Cloud Identity.

Configure atributos SAML para o aprovisionamento

Para configurar os atributos e os grupos SAML no IdP externo, faça o seguinte:
  1. No Google Workspace, aceda à secção de mapeamento Atributos SAML.
  2. Adicione os seguintes atributos obrigatórios:
    • first_name
    • last_name
    • user_email
    • groups
  3. Nos Grupos Google, introduza os nomes dos grupos do IdP. Por exemplo, Google SecOps administrators ou Gcp-security-admins. Tome nota destes nomes de grupos. Vai precisar deles mais tarde para o mapeamento na plataforma Google SecOps. (Noutros fornecedores externos, como o Okta, isto é denominado grupos de IdP).

samlattrributes
Figura 1. Mapeamento de atributos SAML

Configure o aprovisionamento de IdP

Para configurar o aprovisionamento do IdP, siga os passos descritos em Configure o IdP e Crie um fornecedor do Workload Identity Pool.

O exemplo seguinte é o comando de criação workforce pool para a configuração da app descrita no artigo Configure a federação de identidade da força de trabalho: 

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

Controle o acesso de utilizadores

Existem várias formas de gerir o acesso dos utilizadores a diferentes aspetos da plataforma:

  • Grupos de autorizações: defina os níveis de acesso dos utilizadores atribuindo-os a grupos de autorizações específicos. Estes grupos determinam os módulos e os submódulos que os utilizadores podem ver ou editar. Por exemplo, um utilizador pode ter acesso às páginas Registos e Workdesk, mas ter acesso restrito às páginas Playbooks e Definições. Para mais informações, consulte o artigo Trabalhe com grupos de autorizações.
  • Funções do SOC: definem a função de um grupo de utilizadores. Pode atribuir utilizadores a funções do SOC para simplificar a gestão de tarefas. Em vez de atribuir registos, ações ou manuais de soluções a indivíduos, pode atribuí-los a uma função do SOC. Os utilizadores podem ver os registos que lhes foram atribuídos, à respetiva função ou a funções adicionais. Para mais informações, consulte o artigo Trabalhe com funções.
  • Ambientes ou grupos de ambientes: configure ambientes ou grupos de ambientes para segmentar dados em diferentes redes ou unidades empresariais, usados habitualmente por empresas e fornecedores de serviços de segurança geridos (MSSPs). Os utilizadores só podem aceder aos dados nos ambientes ou grupos que lhes foram atribuídos. Para mais informações, consulte o artigo Adicione um novo ambiente.

Mapeie e autentique utilizadores

A combinação de grupos de autorizações, funções de SOC e ambientes determina o percurso do utilizador do Google SecOps para cada grupo de IdP na plataforma Google SecOps.

  • Para os clientes que usam um fornecedor externo, mapeie cada grupo de IdP definido nas definições de SAML na página Mapeamento de grupos de IdP.
  • Para clientes que usam o fornecedor de identidade do Google Cloud, mapeie grupos de email na página Mapeamento de grupos. Para mais informações, consulte o artigo Mapeie utilizadores na plataforma do Google SecOps usando o Cloud Identity.

Pode mapear grupos de IdP com vários grupos de autorizações, funções do SOC e ambientes. Isto garante que os diferentes utilizadores mapeados para diferentes grupos de IdP no fornecedor SAML herdam todos os níveis de autorização necessários. Para mais informações, incluindo como o Google SecOps gere esta situação, consulte o artigo Várias autorizações no mapeamento de grupos do IdP.

Também pode optar por mapear grupos de IdP para parâmetros de acesso de controlo individuais. Isto permite um nível de mapeamento mais detalhado e pode ser útil para clientes de grande dimensão. Para mais informações, consulte o artigo Mapeie grupos de IdP para parâmetros de controlo de acesso.

Por predefinição, a plataforma Google SecOps inclui um grupo de IdP de administradores predefinidos.

Para mapear grupos de IdP, siga estes passos:

  1. No Google SecOps, aceda a Definições > Definições de SOAR > Avançadas > Mapeamento de grupos de IdP.
  2. Certifique-se de que tem os nomes dos grupos do IdP disponíveis.
  3. Clique em Adicionar Adicionar e comece a mapear os parâmetros para cada grupo de IdP.
  4. Quando terminar, clique em Adicionar. Sempre que um utilizador inicia sessão na plataforma, é adicionado automaticamente à página Gestão de utilizadores, que se encontra em Definições > Organização.

Quando os utilizadores tentam iniciar sessão na plataforma Google SecOps, mas o respetivo grupo do IdP não foi mapeado, recomendamos que ative as Definições de acesso predefinidas e defina autorizações de administrador nesta página para que os utilizadores não sejam rejeitados. Após a configuração inicial do administrador estar concluída, sugerimos que ajuste as autorizações do administrador para um nível mais reduzido.

Mapeie grupos de IdP para parâmetros de controlo de acesso

Esta secção descreve como mapear diferentes grupos de IdP para um ou mais parâmetros de controlo de acesso na página Mapeamento de grupos de IdP. Esta abordagem é vantajosa para os clientes que querem integrar e aprovisionar grupos de utilizadores com base em personalizações específicas, em vez de aderirem à padronização da plataforma SOAR do Google SecOps. Embora o mapeamento de grupos para parâmetros possa exigir que crie mais grupos inicialmente, assim que o mapeamento estiver definido, os novos utilizadores podem aderir ao Google SecOps sem ter de criar grupos adicionais.

Para obter informações sobre várias autorizações no mapeamento de grupos, consulte o artigo Mapeie utilizadores com vários parâmetros de acesso de controlo.

Eliminar utilizadores

Se eliminar grupos a partir daqui, certifique-se de que elimina os utilizadores individuais no ecrã Gestão de utilizadores. Para mais informações, consulte o artigo Elimine utilizadores do SOAR do Google SecOps.

Exemplo de utilização: atribua campos de autorização exclusivos a cada grupo de IdP

O exemplo seguinte ilustra como usar esta funcionalidade para ajudar a integrar e aprovisionar utilizadores de acordo com as necessidades da sua empresa.

A sua empresa tem três personas diferentes:

  • Analistas de segurança (contendo os membros do grupo Sasha e Tal)
  • Engenheiros do SOC (contendo os membros do grupo Quinn e Noam)
  • Engenheiros do NOC (contendo os membros do grupo Kim e Kai)
Os analistas de segurança e os engenheiros do SOC têm os mesmos grupos de autorizações do Google SecOps (analista) e funções do SOC (nível 1), mas, enquanto os analistas de segurança têm autorizações para o ambiente de Londres, os engenheiros do SOC têm autorizações para o ambiente de Manchester. Entretanto, os engenheiros do NOC têm autorizações para o ambiente de Londres, mas são-lhes atribuídos o grupo de autorizações Básico e a função SOC de Nível 2.

Este cenário é ilustrado na tabela seguinte:

Perfil Grupo de autorizações Função do SOC Ambiente
Analistas de segurança Analista Nível 1 Londres
Engenheiros do SOC Analista Nível 1 Manchester
Engenheiros do NOC Básico Nível 2 Londres

Para este exemplo, partimos do princípio de que já configurou os grupos de autorizações, as funções do SOC e os ambientes necessários no Google SecOps.

Veja como configurar os grupos do IdP no fornecedor SAML e na plataforma Google SecOps:

  1. No seu fornecedor de SAML, crie os seguintes grupos de utilizadores:
    • Analistas de segurança (incluindo Sasha e Tal)
    • Engenheiros do SOC (incluindo Quinn e Noam)
    • Engenheiros do NOC (incluindo Kim e Kai)
    • Londres (com Sílvio, Tal, Joaquina e Kai)
    • Manchester (com Quinn e Noam)
  2. Aceda a Definições > Definições do SOAR > Avançadas > Mapeamento de grupos do IdP.
  3. Clique em Adicionar grupo de IdP.
  4. Introduza os seguintes detalhes na caixa de diálogo:
    • Grupo do IdP: Security analysts
    • Grupo de autorizações: Analyst
    • Função do SOC: Tier 1
    • Ambiente: em branco
  5. Introduza os seguintes detalhes na caixa de diálogo seguinte:
    • Grupo do IdP: SOC engineers
    • Grupo de autorizações: Analyst
    • Função do SOC: Tier 1
    • Ambiente: em branco
  6. Introduza os seguintes detalhes na caixa de diálogo seguinte:
    • Grupo do IdP: NOC engineers
    • Grupo de autorizações: Basic
    • Função do SOC: Tier 2
    • Ambiente: em branco
  7. Introduza os seguintes detalhes na caixa de diálogo seguinte:
    • Grupo do IdP: London
    • Grupo de autorizações: deixe em branco
    • Função do SOC: deixe em branco
    • Ambiente: London
  8. Introduza os seguintes detalhes na caixa de diálogo seguinte:
    • Grupo do IdP: Manchester
    • Grupo de autorizações: deixe em branco
    • Função do SOC: deixe em branco
    • Ambiente: Manchester

Para os clientes que usam a funcionalidade de federação de registos, consulte o artigo Configure o acesso federado a registos para o Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.