Die Security Command Center Enterprise-Stufe umfasst bestimmte Funktionen, die in Google Security Operations verfügbar sind. Sie untersuchen und beheben Sicherheitslücken, Fehlkonfigurationen und Bedrohungen sowohl über die Seiten der Google Cloud -Konsole als auch über die Seiten der Security Operations-Konsole.
Security Command Center Enterprise-Nutzer benötigen IAM-Berechtigungen, um auf Security Command Center-Funktionen sowohl in der Google Cloud Console als auch auf den Seiten der Security Operations Console zuzugreifen.
Google Security Operations bietet eine Reihe vordefinierter IAM-Rollen, mit denen Sie auf SIEM-bezogene Funktionen und SOAR-bezogene Funktionen auf den Seiten der Security Operations Console zugreifen können. Sie können die Google Security Operations-Rollen auf Projektebene zuweisen.
Security Command Center bietet eine Reihe vordefinierter IAM-Rollen, mit denen Sie auf Funktionen auf Seiten der Security Operations Console zugreifen können, die nur in der Security Command Center Enterprise-Stufe verfügbar sind. darunter:
- Sicherheitscenter-Administratorbearbeiter-Betrachter (
roles/securitycenter.adminEditor) - Sicherheitscenter-Admin-Betrachter (
roles/securitycenter.adminViewer)
Um die in den Security Operations-Konsolenseiten verfügbaren Security Command Center-Funktionen aufzurufen, benötigen Nutzer mindestens die Rolle Sicherheitscenter-Admin-Betrachter (roles/securitycenter.adminViewer). Weisen Sie die Security Command Center-Rollen auf Organisationsebene zu.
Sehen Sie sich bei der Planung der Bereitstellung die folgenden Punkte an, um herauszufinden, welche Nutzer Zugriff auf Funktionen benötigen:
Informationen zum Gewähren des Nutzerzugriffs auf Funktionen und Ergebnisse in der Google Cloud Console finden Sie unter Zugriffssteuerung mit IAM.
Informationen zum Gewähren des Nutzerzugriffs auf SIEM-bezogene Funktionen zur Erkennung und Untersuchung von Bedrohungen auf Seiten der Security Operations Console finden Sie unter Funktionszugriffssteuerung mit IAM konfigurieren.
Informationen dazu, wie Sie Nutzern Zugriff auf SOAR-bezogene Antwortfunktionen auf Seiten der Security Operations Console gewähren, finden Sie unter IAM-Rollen auf der SOAR-Seite der Security Operations Console zuordnen. Außerdem ordnen Sie die SOAR-bezogenen IAM-Rollen unter SOAR-Einstellungen SOC-Rollen, Berechtigungsgruppen und Umgebungen zu.
Informationen zum Erstellen benutzerdefinierter IAM-Rollen mit Google SecOps-IAM-Berechtigungen finden Sie unter Benutzerdefinierte Rolle erstellen und einer Gruppe zuweisen.
Wenn Sie auf Funktionen zugreifen möchten, die mit Security Command Center Enterprise verfügbar sind, z. B. die Seite „Posture Overview“, müssen Sie Nutzern die erforderlichen IAM-Rollen in der Organisation zuweisen, in der Security Command Center Enterprise aktiviert ist.
Die Schritte zum Gewähren des Zugriffs auf Funktionen variieren je nach Konfiguration des Identitätsanbieters.
Wenn Sie Google Workspace oder Cloud Identity als Identitätsanbieter verwenden, weisen Sie Rollen direkt einem Nutzer oder einer Gruppe zu. Ein Beispiel dafür finden Sie unter Google Cloud -Identitätsanbieter konfigurieren.
Wenn Sie die Workforce Identity-Föderation verwenden, um eine Verbindung zu einem Drittanbieter-Identitätsanbieter wie Okta oder Azure AD herzustellen, weisen Sie Rollen Identitäten in einem Workforce Identity-Pool oder einer Gruppe innerhalb des Workforce Identity-Pools zu.
Unter Funktionszugriffssteuerung mit IAM konfigurieren finden Sie Beispiele dafür, wie Sie einem Mitarbeiteridentitätspool SIEM- und SOAR-bezogene Funktionen gewähren.
Achten Sie darauf, dass die Workforce-Pools Berechtigungen für den Zugriff auf Security Command Center-spezifische Funktionen auf Security Operations Console-Seiten enthalten. Hier einige Beispiele:
Führen Sie den folgenden Befehl aus, um allen Nutzern in einem Workforce Identity-Pool die Rolle „Security Center Admin-Betrachter“ zuzuweisen:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneErsetzen Sie Folgendes:
ORGANIZATION_ID: die numerische Organisations-ID.WORKFORCE_POOL_ID: Der Wert, den Sie für die ID des Mitarbeiteridentitätspools definiert haben.
Führen Sie die folgenden Befehle aus, um einer bestimmten Gruppe die Rollen „Security Center Admin Viewer“ zuzuweisen:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneErsetzen Sie
GROUP_IDdurch eine Gruppe im zugeordnetengoogle.groups-Anspruch.