本文介绍了如何将 Identity and Access Management (IAM) 与 Security Operations 控制台页面上与 SOAR 相关的功能中的安全身份来授权和映射用户。
准备工作
确保您已使用 IAM 定义用户并将用户映射到与 Security Operations 控制台页面上与 SIEM 相关的功能。 如需了解详情,请参阅使用 IAM 控制功能访问权限。在 Google Cloud 控制台中授予 IAM 角色
Google Cloud 控制台中已向 Security Command Center 企业方案项目添加三个预定义 IAM 角色。
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
以下过程说明了如何在 Google Cloud 控制台中向用户授予 IAM 角色。
- 打开控制台,然后选择 Security Command Center。
- 点击 IAM 和管理。
- 从导航树中选择 IAM,然后选择授予访问权限。
- 在“授予访问权限”对话框中,前往添加主账号字段,然后输入用户或用户群组的邮箱,以授予以上三个 IAM 角色之一。
- 在选择角色字段中,搜索所需角色:Chronicle SOAR Admin、Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 针对所有三个角色或根据需要重复此过程。
- 点击保存。
控制用户访问权限
在 Google Cloud 控制台导航栏中,前往设置 > SOAR 设置。 在 Security Operations 控制台的 SOAR 设置页面中,您可以通过多种不同的方式来确定哪些用户有权访问平台的哪些方面。
- 权限组:为用户类型设置权限组,以确定用户可以查看或修改哪些模块和子模块。例如,您可以设置权限,以便用户可以查看支持请求和工作台,但无法访问 playbook 和设置。如需了解详情,请参阅 Google SecOps 文档中的使用权限组。
- SOC 角色:定义一组用户的角色。您可以将支持请求、操作或 playbook 设置为 SOC 角色,而不是特定用户。用户可以看到分配给其个人、其角色或某个附加角色的支持请求。 如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置企业可用于管理同一组织内不同网络或业务部门的环境。 用户只能看到他们有权访问的环境的数据。如需了解详情,请参阅 Google SecOps 文档中的添加环境。
使用 SOAR 设置 Security Operations 控制台页面映射 IAM 角色
- 在 Google Cloud 控制台中,前往设置 > SOAR 设置 > 高级 > IAM 角色映射。
- 使用显示名称(例如 Chronicle SOAR Admin),将每个 IAM 角色分配给相应的 SOC 角色(Threat Manager、Vulnerability Manager or Admin)、权限组(选择管理员权限组)和环境(选择默认环境)。 或者,添加邮箱,而不是 IAM 角色。
- 点击保存。
有时,用户会尝试访问 Security Operations 控制台功能,但其 IAM 角色未在平台中进行映射。为避免这些用户被拒绝,我们建议您在此页面上启用并设置默认访问权限设置。