Questo articolo spiega come autorizzare e mappare gli utenti che utilizzano Identity and Access Management (IAM) con un'identificazione sicura nella parte SOAR della console Security Operations.
Prima di iniziare
Assicurati di aver definito e mappato gli utenti che utilizzano IAM al lato SIEM della console Security Operations. Per ulteriori informazioni, consulta Controllare l'accesso alle funzionalità utilizzando IAMConcedi i ruoli IAM nella console Google Cloud
Nella console Google Cloud sono stati aggiunti tre ruoli IAM predefiniti al tuo progetto Security Command Center Enterprise.
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
La procedura seguente spiega come concedere i ruoli IAM agli utenti nella console Google Cloud.
- Apri la console e seleziona Security Command Center.
- Fai clic su IAM e amministratore.
- Seleziona IAM dall'albero di navigazione, quindi seleziona Concede accesso.
- Nella finestra di dialogo Concedi accesso, vai al campo Aggiungi entità e inserisci gli indirizzi email degli utenti o dei gruppi di utenti per uno dei tre ruoli IAM.
- Nel campo Seleziona un ruolo, cerca il ruolo richiesto: Chronicle SOAR Admin, Chronicle SOAR Threat Manager o Chronicle SOAR Vulnerability Manager.
- Ripeti questa procedura per tutti e tre i ruoli o in base alle esigenze.
- Fai clic su Salva.
Gestisci l'accesso degli utenti
Nelle impostazioni SOAR della console Security Operations sono disponibili diversi modi per determinare quali utenti hanno accesso a quali aspetti della piattaforma.
- Gruppi di autorizzazioni: imposta gruppi di autorizzazioni per i tipi di utenti che determinano quali moduli e sottomoduli saranno visibili o modificabili per gli utenti. Ad esempio, puoi impostare le autorizzazioni in modo che l'utente veda le richieste e la workdesk, ma non abbia accesso ai playbook e alle impostazioni. Per ulteriori informazioni, consulta Utilizzo dei gruppi di autorizzazioni nella documentazione di Google SecOps.
- Ruoli SOC: definisci il ruolo di un gruppo di utenti. Puoi impostare casi, azioni o playbook su un ruolo SOC anziché su un utente specifico. Gli utenti visualizzano le richieste assegnate loro personalmente, al loro ruolo o a uno dei ruoli aggiuntivi. Per ulteriori informazioni, consulta Utilizzo dei ruoli nella documentazione di Google SecOps.
- Ambienti: imposta gli ambienti da utilizzare dalle aziende per gestire reti o unità aziendali diverse all'interno della stessa organizzazione. Gli utenti vedono solo i dati relativi agli ambienti a cui hanno accesso. Per ulteriori informazioni, consulta Aggiunta di un ambiente nella documentazione di Google SecOps.
Mappa i ruoli IAM nella parte SOAR della console Security Operations
- Nella console Security Operations, vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei ruoli IAM.
- Utilizzando il nome visualizzato (ad es. Amministratore di Chronicle SOAR), assegna ogni ruolo IAM ai ruoli SOC corrispondenti (Gestore delle minacce, Gestore delle vulnerabilità o Amministratore), ai gruppi di autorizzazione (seleziona il gruppo di autorizzazione Amministratori) e agli ambienti (seleziona l'ambiente predefinito). In alternativa, aggiungi un indirizzo email anziché un ruolo IAM.
- Fai clic su Salva.
A volte gli utenti tentano di accedere alla console Security Operations, ma il loro ruolo IAM non è stato mappato nella piattaforma. Per evitare che questi utenti vengano rifiutati, consigliamo di attivare e impostare le Impostazioni di accesso predefinite in questa pagina.