Le niveau Security Command Center Enterprise inclut certaines fonctionnalités disponibles dans Google Security Operations. Vous examinez et corrigez les failles, les erreurs de configuration et les menaces à l'aide des pages de la consoleGoogle Cloud et de la console Security Operations.
Les utilisateurs de Security Command Center Enterprise ont besoin d'autorisations IAM pour accéder aux fonctionnalités de Security Command Center sur les pages de la console Google Cloud et de la console Security Operations.
Google Security Operations propose un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités liées au SIEM et aux fonctionnalités liées au SOAR sur les pages de la console Security Operations. Vous pouvez attribuer les rôles Google Security Operations au niveau du projet.
Security Command Center dispose d'un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités des pages de la console Security Operations propres au niveau Security Command Center Enterprise. En voici quelques-unes :
- Lecteur éditeur administrateur du centre de sécurité (
roles/securitycenter.adminEditor) - Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer)
Pour afficher les fonctionnalités Security Command Center disponibles sur les pages de la console Security Operations, les utilisateurs doivent disposer au moins du rôle Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer). Attribuez les rôles Security Command Center au niveau de l'organisation.
Lorsque vous planifiez le déploiement, examinez les éléments suivants pour identifier les utilisateurs qui ont besoin d'accéder aux fonctionnalités :
Pour accorder aux utilisateurs l'accès aux fonctionnalités et aux résultats dans la console Google Cloud , consultez Contrôle des accès avec IAM.
Pour accorder aux utilisateurs l'accès aux fonctionnalités de détection et d'investigation des menaces liées au SIEM sur les pages de la console Security Operations, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM.
Pour accorder aux utilisateurs l'accès aux fonctionnalités de réponse liées à SOAR sur les pages de la console Security Operations, consultez Mapper les rôles IAM dans la partie SOAR de la console Security Operations. Vous mappez également les rôles IAM liés à SOAR aux rôles SOC, aux groupes d'autorisations et aux environnements sous Paramètres SOAR.
Pour créer des rôles IAM personnalisés à l'aide des autorisations IAM Google SecOps, consultez Créer et attribuer un rôle personnalisé à un groupe.
Pour accéder aux fonctionnalités disponibles avec Security Command Center Enterprise, comme la page Aperçu de la posture, accordez aux utilisateurs les rôles IAM requis dans l'organisation où Security Command Center Enterprise est activé.
La procédure à suivre pour accorder l'accès aux fonctionnalités varie en fonction de la configuration du fournisseur d'identité.
Si vous utilisez Google Workspace ou Cloud Identity comme fournisseur d'identité, vous accordez des rôles directement à un utilisateur ou à un groupe. Pour obtenir un exemple, consultez Configurer un fournisseur d'identité. Google Cloud
Si vous utilisez la fédération d'identité de personnel pour vous connecter à un fournisseur d'identité tiers (tel qu'Okta ou Azure AD), vous accordez des rôles aux identités d'un pool d'identités de personnel ou à un groupe au sein du pool d'identités de personnel.
Consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour obtenir des exemples de la façon d'accorder des fonctionnalités liées au SIEM et au SOAR à un pool d'identités de personnel.
Assurez-vous que les pools d'effectifs incluent les autorisations permettant d'accéder aux fonctionnalités spécifiques à Security Command Center sur les pages de la console Security Operations. Voici quelques exemples :
Pour attribuer le rôle Lecteur administrateur du centre de sécurité à tous les utilisateurs d'un pool d'identités de personnel, exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique de l'organisation.WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités de personnel.
Pour attribuer les rôles de lecteur administrateur du centre de sécurité à un groupe spécifique, exécutez les commandes suivantes :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneRemplacez
GROUP_IDpar un groupe dans la revendicationgoogle.groupsmappée.