本文介绍了如何使用 Identity and Access Management (IAM) 在 Security Operations 控制台页面上的 SOAR 相关功能中授权和映射用户,以实现安全身份验证。
准备工作
确保您已使用 IAM 定义并映射用户,以便在 Security Operations 控制台页面上使用 SIEM 相关功能。如需了解详情,请参阅 使用 IAM 控制功能访问权限。在 Google Cloud 控制台中授予 IAM 角色
Google Cloud 控制台中已向 Security Command Center Enterprise 项目添加了三个预定义的 IAM 角色。
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
以下步骤说明了如何在 Google Cloud 控制台中向用户授予 IAM 角色。
- 打开控制台,然后选择 Security Command Center。
- 点击 IAM 和管理。
- 从导航树中选择 IAM,然后选择授予访问权限。
- 在授予访问权限对话框中,前往添加主账号字段,然后输入用户或用户群组的电子邮件地址,以授予其中一个 IAM 角色。
- 在选择角色字段中,搜索所需角色:Chronicle SOAR Admin、Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 针对所有三个角色或根据需要重复此流程。
- 点击保存。
控制用户访问权限
在 Google Cloud 控制台导航栏中,依次前往设置 > SOAR 设置。在安全运维控制台的 SOAR 设置页面中,您可以通过多种不同的方式来确定哪些用户可以访问平台的哪些方面。
- 权限组:为用户类型设置权限组,以确定用户可以查看或修改哪些模块和子模块。例如,您可以设置权限,以便用户能够查看支持请求和工作台,但无法访问 playbook 和设置。如需了解详情,请参阅 Google SecOps 文档中的 使用权限组。
- SOC 角色:定义一组用户的角色。您可以将支持请求、操作或剧本设置为 SOC 角色,而不是特定用户。用户可以看到分配给其个人、其角色或某个附加角色的支持请求。 如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置企业可用于管理同一组织内不同网络或业务部门的环境。 用户只能看到他们有权访问的环境的数据。如需了解详情,请参阅 Google SecOps 文档中的 添加环境。
使用 SOAR 设置安全运维控制台页面映射 IAM 角色
- 在 Google Cloud 控制台中,依次前往设置 > SOAR 设置 > 高级 > IAM 角色映射。
- 使用显示名称(例如“Chronicle SOAR Admin”),将每个 IAM 角色分配给相应的 SOC 角色(威胁管理员、漏洞管理员或管理员)、权限组(选择“管理员”权限组)和环境(选择默认环境)。 或者,您也可以添加电子邮件地址,而不是 IAM 角色。
- 点击保存。
有时,用户会尝试访问 Security Operations 控制台功能,但其 IAM 角色尚未在平台中进行映射。为避免这些用户被拒绝,我们建议您在此页面上启用并设置默认访问权限设置。