Security Command Center Enterprise 方案包含 Google Security Operations 提供的特定功能。您可以使用Google Cloud 控制台和 Security Operations 控制台頁面,調查及修正安全漏洞、錯誤設定和威脅。
Security Command Center Enterprise 使用者需要 IAM 權限,才能在 Google Cloud 控制台和 Security Operations 控制台頁面存取 Security Command Center 功能。
Google Security Operations 提供一組預先定義的 IAM 角色,可讓您在 Security Operations 控制台頁面中存取 SIEM 相關功能和 SOAR 相關功能。您可以在專案層級授予 Google Security Operations 角色。
Security Command Center 預先定義了一組 IAM 角色,可讓您存取 Security Operations 控制台頁面中的功能,這些功能是 Security Command Center Enterprise 方案獨有的。其中包括:
如要查看 Security Operations 控制台頁面中提供的 Security Command Center 功能,使用者至少需要安全中心管理員檢視者 (roles/securitycenter.adminViewer
) 角色。在機構層級授予 Security Command Center 角色。
規劃部署作業時,請參閱下列內容,找出需要存取功能的目標使用者:
如要授予使用者 Google Cloud 控制台中的功能和發現項目存取權,請參閱「使用身分與存取權管理功能控管存取權」一文。
如要授予使用者存取權,讓他們在 Security Operations 控制台頁面中使用 SIEM 相關的威脅偵測和調查功能,請參閱「使用 IAM 設定功能存取控管機制」。
如要授予使用者在 Security Operations 控制台頁面中存取 SOAR 相關回應功能的權限,請參閱「在 Security Operations 控制台的 SOAR 端對應 IAM 角色」。您也可以在「SOAR settings」下方,將 SOAR 相關的 IAM 角色對應至 SOC 角色、權限群組和環境。
如要使用 Google SecOps IAM 權限建立自訂 IAM 角色,請參閱為群組建立及指派自訂角色。
如要存取 Security Command Center Enterprise 提供的功能 (例如狀態總覽頁面),請在啟用 Security Command Center Enterprise 的機構中,授予使用者必要的 IAM 角色。
授予功能存取權的步驟會因身分識別提供者設定而異。
如果您使用 Google Workspace 或 Cloud Identity 做為身分識別提供者,可以直接將角色授予使用者或群組。如需相關範例,請參閱「設定身分識別提供者 Google Cloud 」。
如果您使用員工身分聯盟連結至第三方身分提供者 (例如 Okta 或 Azure AD),請將角色授予員工身分集區中的身分,或是員工身分集區中的群組。
如需如何將 SIEM 和 SOAR 相關功能授予員工身分集區的範例,請參閱「使用 IAM 設定功能存取控管機制」。
請確認工作團隊集區包含權限,可存取 Security Operations 主控台頁面中 Security Command Center 的特定功能。以下是範例:
如要將 Security Center 管理員檢視者角色授予工作人員身分集區中的所有使用者,請執行下列指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition None
更改下列內容:
ORGANIZATION_ID
:機構的數值 ID。WORKFORCE_POOL_ID
:您為工作團隊身分集區 ID 定義的值。
如要將 Security Center 管理員檢視者角色授予特定群組,請執行下列指令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition None
將
GROUP_ID
替換為對應google.groups
聲明中的群組。