In diesem Artikel erfahren Sie, wie Sie Nutzer mit Identity and Access Management (IAM) autorisieren und zuordnen, um eine sichere Identifizierung in den SOAR-bezogenen Funktionen auf den Seiten der Security Operations Console zu ermöglichen.
Hinweise
Achten Sie darauf, dass Sie Nutzer mit IAM definiert und den SIEM-bezogenen Funktionen auf den Seiten der Security Operations Console zugeordnet haben. Weitere Informationen finden Sie unter Funktionszugriff mit IAM steuern.IAM-Rollen in der Google Cloud Console gewähren
Ihrem Security Command Center Enterprise-Projekt in der Google Cloud Console wurden drei vordefinierte IAM-Rollen hinzugefügt.
- Chronicle SOAR-Administrator (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
Im Folgenden wird beschrieben, wie Sie Nutzern in der Google Cloud -Konsole IAM-Rollen zuweisen.
- Öffnen Sie die Console und wählen Sie Ihr Security Command Center aus.
- Klicken Sie auf IAM und Verwaltung.
- Wählen Sie im Navigationsbaum IAM und dann Zugriff gewähren aus.
- Rufen Sie im Dialogfeld „Zugriff gewähren“ das Feld Hauptkonten hinzufügen auf und geben Sie die E-Mail-Adressen von Nutzern oder Nutzergruppen für eine der drei IAM-Rollen ein.
- Suchen Sie im Feld Rolle auswählen nach der erforderlichen Rolle: Chronicle SOAR Admin, Chronicle SOAR Threat Manager oder Chronicle SOAR Vulnerability Manager.
- Wiederholen Sie diesen Vorgang für alle drei Rollen oder nach Bedarf.
- Klicken Sie auf Speichern.
Nutzerzugriff kontrollieren
Klicken Sie in der Google Cloud Console im Navigationsmenü auf Einstellungen > SOAR-Einstellungen. Auf der Seite SOAR-Einstellungen in der Security Operations Console gibt es verschiedene Möglichkeiten, festzulegen, welche Nutzer Zugriff auf welche Aspekte der Plattform haben.
- Berechtigungsgruppen: Legen Sie Berechtigungsgruppen für Nutzertypen fest, die bestimmen, welche Module und Untermodule für Nutzer sichtbar oder bearbeitbar sind. Sie können beispielsweise Berechtigungen so festlegen, dass der Nutzer die Anfragen und den Arbeitsbereich sieht, aber keinen Zugriff auf die Playbooks und Einstellungen hat. Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Mit Berechtigungsgruppen arbeiten.
- SOC-Rollen: Definieren Sie die Rolle einer Nutzergruppe. Sie können Fälle, Aktionen oder Playbooks einer SOC-Rolle anstelle eines bestimmten Nutzers zuweisen. Nutzer sehen Fälle, die ihnen persönlich, ihrer Rolle oder einer der zusätzlichen Rollen zugewiesen sind. Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Mit Rollen arbeiten.
- Umgebungen: Legen Sie Umgebungen fest, mit denen Unternehmen verschiedene Netzwerke oder Geschäftsbereiche innerhalb derselben Organisation verwalten können. Nutzer sehen nur Daten für die Umgebungen, auf die sie Zugriff haben. Weitere Informationen finden Sie in der Google SecOps-Dokumentation unter Umgebung hinzufügen.
IAM-Rollen über die Seite „SOAR-Einstellungen“ in der Security Operations Console zuordnen
- Rufen Sie in der Google Cloud Console die Einstellungen > SOAR-Einstellungen > Erweitert > IAM-Rollen-Mapping auf.
- Weisen Sie mit dem Anzeigenamen (z.B. „Chronicle SOAR Admin“) jede IAM-Rolle den entsprechenden SOC-Rollen („Threat Manager“, „Vulnerability Manager“ oder „Admin“), Berechtigungsgruppen (wählen Sie die Berechtigungsgruppe „Admins“ aus) und Umgebungen (wählen Sie die Standardumgebung aus) zu. Alternativ können Sie anstelle einer IAM-Rolle eine E-Mail-Adresse hinzufügen.
- Klicken Sie auf Speichern.
Manchmal versuchen Nutzer, auf Funktionen der Security Operations-Konsole zuzugreifen, aber ihre IAM-Rolle wurde nicht in der Plattform zugeordnet. Damit diese Nutzer nicht abgelehnt werden, empfehlen wir, die Standardeinstellungen für den Zugriff auf dieser Seite zu aktivieren und festzulegen.