Cet article explique comment autoriser et mapper des utilisateurs à l'aide d'Identity and Access Management (IAM) avec une identification sécurisée dans les fonctionnalités liées à SOAR sur les pages de la console Security Operations.
Avant de commencer
Assurez-vous d'avoir défini et mappé les utilisateurs à l'aide d'IAM aux fonctionnalités liées au SIEM sur les pages de la console Security Operations. Pour en savoir plus, consultez Contrôler l'accès aux fonctionnalités à l'aide d'IAM.Accorder des rôles IAM dans la console Google Cloud
Trois rôles IAM prédéfinis ont été ajoutés à votre projet Security Command Center Enterprise dans la console Google Cloud .
- Administrateur Chronicle SOAR (
roles/chronicle.soarAdmin) - Gestionnaire de menaces Chronicle SOAR (
roles/chronicle.soarThreatManager) - Gestionnaire de failles Chronicle SOAR (
roles/chronicle.soarVulnerabilityManager)
La procédure suivante explique comment attribuer les rôles IAM aux utilisateurs dans la console Google Cloud .
- Ouvrez la console et sélectionnez votre Security Command Center.
- Cliquez sur IAM et administration.
- Sélectionnez IAM dans l'arborescence de navigation, puis Accorder l'accès.
- Dans la boîte de dialogue Accorder l'accès, accédez au champ Ajouter des comptes principaux, puis saisissez les adresses e-mail des utilisateurs ou des groupes d'utilisateurs pour l'un des trois rôles IAM.
- Dans le champ Sélectionner un rôle, recherchez le rôle requis : Administrateur Chronicle SOAR, Gestionnaire de menaces Chronicle SOAR ou Gestionnaire de failles Chronicle SOAR.
- Répétez cette procédure pour les trois rôles ou selon vos besoins.
- Cliquez sur Enregistrer.
Contrôler l'accès des utilisateurs
Dans la navigation de la console Google Cloud , accédez à Paramètres > Paramètres SOAR. Sur la page Paramètres SOAR de la console Security Operations, vous pouvez déterminer de plusieurs façons quels utilisateurs ont accès à quels aspects de la plate-forme.
- Groupes d'autorisations : définissez des groupes d'autorisations pour les types d'utilisateurs. Ils déterminent les modules et sous-modules qui seront visibles ou modifiables pour les utilisateurs. Par exemple, vous pouvez définir des autorisations de sorte que l'utilisateur puisse voir les demandes et l'espace de travail, mais n'ait pas accès aux playbooks ni aux paramètres. Pour en savoir plus, consultez Utiliser des groupes d'autorisations dans la documentation Google SecOps.
- Rôles SOC : définissez le rôle d'un groupe d'utilisateurs. Vous pouvez attribuer des requêtes, des actions ou des playbooks à un rôle SOC au lieu d'un utilisateur spécifique. Les utilisateurs voient les demandes qui leur sont attribuées personnellement, ou à leur rôle, ou à l'un des rôles supplémentaires. Pour en savoir plus, consultez Utiliser des rôles dans la documentation Google SecOps.
- Environnements : définissez des environnements que les entreprises peuvent utiliser pour gérer différents réseaux ou unités commerciales au sein d'une même organisation. Les utilisateurs ne voient que les données des environnements auxquels ils ont accès. Pour en savoir plus, consultez Ajouter un environnement dans la documentation Google SecOps.
Mapper les rôles IAM à l'aide de la page des paramètres SOAR de la console Security Operations
- Dans la console Google Cloud , accédez à Paramètres > Paramètres SOAR > Avancés > Mappage des rôles IAM.
- À l'aide du nom à afficher (par exemple, "Administrateur Chronicle SOAR"), attribuez chaque rôle IAM aux rôles SOC correspondants (gestionnaire des menaces, gestionnaire des failles ou administrateur), aux groupes d'autorisations (sélectionnez le groupe d'autorisations "Administrateurs") et aux environnements (sélectionnez l'environnement par défaut). Vous pouvez également ajouter une adresse e-mail au lieu d'un rôle IAM.
- Cliquez sur Enregistrer.
Il arrive que des utilisateurs tentent d'accéder à des fonctionnalités de la console Security Operations, mais que leur rôle IAM n'ait pas été mappé dans la plate-forme. Pour que ces utilisateurs ne soient pas refusés, nous vous recommandons d'activer et de définir les paramètres d'accès par défaut sur cette page.