Mappeur et autoriser des utilisateurs à l'aide d'IAM

Cet article explique comment autoriser et mapper des utilisateurs à l'aide du Identity and Access Management (IAM) avec une identification sécurisée dans la console de sécurité des opérations (SOAR) de la console Security Operations.

Avant de commencer

Assurez-vous d'avoir défini et mappé des utilisateurs à l'aide d'IAM du côté du SIEM de la console Security Operations. Pour en savoir plus, consultez Contrôler l'accès aux fonctionnalités à l'aide d'IAM.

Attribuer des rôles IAM dans la console Google Cloud

Trois rôles IAM prédéfinis ont été ajoutés à votre projet Security Command Center Enterprise dans la console Google Cloud.

  • Administrateur Chronicle SOAR (roles/chronicle.soarAdmin)
  • Gestionnaire de menaces Chronicle SOAR (roles/chronicle.soarThreatManager)
  • Gestionnaire de failles Chronicle SOAR (roles/chronicle.soarVulnerabilityManager)

La procédure suivante explique comment attribuer les rôles IAM aux utilisateurs dans la console Google Cloud.

  1. Ouvrez la console et sélectionnez votre Security Command Center.
  2. Cliquez sur IAM et administration.
  3. Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
  4. Dans la boîte de dialogue Accorder l'accès, accédez au champ Ajouter des comptes principaux, puis saisissez les adresses e-mail des utilisateurs ou des groupes d'utilisateurs pour l'un des trois rôles IAM.
  5. Dans le champ Sélectionner un rôle, recherchez le rôle requis : Administrateur Chronicle SOAR, Gestionnaire de menaces Chronicle SOAR ou Gestionnaire de failles Chronicle SOAR.
  6. Répétez cette procédure pour les trois rôles ou selon vos besoins.
  7. Cliquez sur Enregistrer.

Contrôler l'accès des utilisateurs

Dans les paramètres SOAR de la console Security Operations, il existe plusieurs façons de déterminer les utilisateurs qui ont accès à quels aspects de la plate-forme.

  • Groupes d'autorisations: définissez des groupes d'autorisations pour les types d'utilisateurs, qui déterminent les modules et sous-modules visibles ou modifiables par les utilisateurs. Par exemple, vous pouvez définir des autorisations afin que l'utilisateur puisse voir les demandes et le bureau, mais qu'il n'ait pas accès aux playbooks et aux paramètres. Pour en savoir plus, consultez la section Utiliser des groupes d'autorisations dans la documentation Google SecOps.
  • Rôles du SOC: définissez le rôle d'un groupe d'utilisateurs. Vous pouvez définir des cas, des actions ou des playbooks sur un rôle SOC plutôt que sur un utilisateur spécifique. Les utilisateurs voient les demandes qui leur sont attribuées personnellement, à leur rôle ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez la section Utiliser les rôles dans la documentation Google SecOps.
  • Environnements: définissez les environnements à utiliser par les entreprises pour gérer différents réseaux ou unités commerciales au sein de la même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour en savoir plus, consultez Ajouter un environnement dans la documentation Google SecOps.

Mappez les rôles IAM dans la partie SOAR de la console Security Operations.

  1. Dans la console Security Operations, accédez à Settings > SOAR Settings > Advanced > IAM Role mapping (Paramètres > Paramètres SOAR > Avancé > Mappage des rôles IAM).
  2. À l'aide du nom à afficher (par exemple, "Administrateur Chronicle SOAR"), attribuez chaque rôle IAM aux rôles SOC correspondants (gestionnaire des menaces, gestionnaire des failles ou administrateur), aux groupes d'autorisations (sélectionnez le groupe d'autorisations des administrateurs) et aux environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
  3. Cliquez sur Enregistrer.
Lorsque chaque utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Gestion des utilisateurs (située dans Paramètres SOAR > Organisation).

Il arrive que des utilisateurs tentent de se connecter à la console Security Operations, mais que leur rôle IAM n'ait pas été mappé dans la plate-forme. Pour que ces utilisateurs ne soient pas refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.