El nivel Enterprise de Security Command Center incluye ciertas funciones disponibles en Google Security Operations. Investigarás y corregirás vulnerabilidades, errores de configuración y amenazas con las páginas de la consola deGoogle Cloud y la consola de Operaciones de seguridad.
Los usuarios de Security Command Center Enterprise necesitan permisos de IAM para acceder a las funciones de Security Command Center en las páginas de la consola de Google Cloud Google Cloud y de la consola de Operaciones de seguridad.
Google Security Operations tiene un conjunto de roles de IAM predefinidos que te permiten acceder a las funciones relacionadas con SIEM y las funciones relacionadas con SOAR en las páginas de la consola de Security Operations. Puedes otorgar los roles de Google Security Operations a nivel del proyecto.
Security Command Center tiene un conjunto de roles de IAM predefinidos que te permiten acceder a funciones en las páginas de la consola de Operaciones de seguridad que son exclusivas del nivel de Security Command Center Enterprise. Se incluyen las siguientes:
- Visualizador del editor administrador del Centro de seguridad (
roles/securitycenter.adminEditor) - Visualizador administrador del centro de seguridad (
roles/securitycenter.adminViewer)
Para ver las funciones de Security Command Center disponibles en las páginas de la consola de Operaciones de seguridad, los usuarios necesitan, al menos, el rol de Visualizador administrador del centro de seguridad (roles/securitycenter.adminViewer). Otorga las funciones de Security Command Center a nivel de la organización.
Cuando planifiques la implementación, revisa lo siguiente para identificar qué usuarios necesitan acceso a las funciones:
Para otorgar acceso de usuario a las funciones y los resultados de la consola de Google Cloud , consulta Control de acceso con IAM.
Para otorgar acceso de usuario a las funciones de detección e investigación de amenazas relacionadas con el SIEM en las páginas de la consola de Security Operations, consulta Configura el control de acceso a funciones con IAM.
Para otorgar a los usuarios acceso a las funciones de respuesta relacionadas con SOAR en las páginas de la consola de Operaciones de seguridad, consulta Cómo asignar roles de IAM en el lado de SOAR de la consola de Operaciones de seguridad. También puedes asignar los roles de IAM relacionados con SOAR a los roles del SOC, los grupos de permisos y los entornos en Configuración de SOAR.
Para crear roles personalizados de IAM con permisos de IAM de Google SecOps, consulta Crea y asigna un rol personalizado a un grupo.
Para acceder a las funciones disponibles con Security Command Center Enterprise, como la página de resumen de la postura, otorga a los usuarios los roles de IAM requeridos en la organización en la que se activó Security Command Center Enterprise.
Los pasos para otorgar acceso a las funciones varían según la configuración del proveedor de identidad.
Si usas Google Workspace o Cloud Identity como proveedor de identidad, otorgas roles directamente a un usuario o grupo. Consulta Configura un proveedor de identidad de Google Cloud para ver un ejemplo de cómo hacerlo.
Si usas la federación de identidades de personal para conectarte a un proveedor de identidad externo (como Okta o Azure AD), otorgas roles a las identidades de un grupo de identidades de personal o a un grupo dentro del grupo de identidades de personal.
Consulta Configura el control de acceso a funciones con IAM para ver ejemplos de cómo otorgar funciones relacionadas con SIEM y SOAR a un grupo de identidades de personal.
Asegúrate de que los grupos de personal incluyan permisos para acceder a las funciones específicas de Security Command Center en las páginas de la consola de Security Operations. A continuación, se incluyen algunos ejemplos:
Para otorgar el rol de visualizador administrador del Centro de seguridad a todos los usuarios de un grupo de identidades de la fuerza laboral, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneReemplaza lo siguiente:
ORGANIZATION_ID: Es el ID numérico de la organización.WORKFORCE_POOL_ID: Es el valor que definiste para el ID del grupo de identidades de personal.
Para otorgar los roles de Visualizador administrador del Centro de seguridad a un grupo específico, ejecuta los siguientes comandos:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneReemplaza
GROUP_ID: un grupo en la reclamacióngoogle.groupsasignada.