本文說明如何使用 Identity and Access Management (IAM) 授權及對應使用者,並在 Security Operations 控制台頁面的 SOAR 相關功能中安全地識別使用者。
事前準備
請務必使用 IAM 定義及對應使用者,以便在 Security Operations 控制台頁面使用 SIEM 相關功能。 詳情請參閱「 使用 IAM 控管功能存取權」。在 Google Cloud 控制台中授予 IAM 角色
系統已在 Google Cloud 控制台中,將三個預先定義的 IAM 角色新增至 Security Command Center Enterprise 專案。
- Chronicle SOAR 管理員 (
roles/chronicle.soarAdmin) - Chronicle SOAR 威脅管理員 (
roles/chronicle.soarThreatManager) - Chronicle SOAR 安全漏洞管理員 (
roles/chronicle.soarVulnerabilityManager)
以下程序說明如何在 Google Cloud 控制台中,將 IAM 角色授予使用者。
- 開啟控制台並選取 Security Command Center。
- 按一下「IAM & Admin」(IAM 與管理)。
- 從導覽樹狀結構選取「IAM」,然後選取「授予存取權」。
- 在「Grant Access」(授予存取權) 對話方塊中,前往「Add Principals」(新增主體) 欄位,然後輸入使用者或使用者群組的電子郵件地址,並指派三種 IAM 角色之一。
- 在「Select a role」(選取角色) 欄位中,搜尋所需角色: Chronicle SOAR 管理員、 Chronicle SOAR 威脅管理者或 Chronicle SOAR 安全漏洞管理者。
- 針對所有三個角色重複這個程序,或視需要執行。
- 按一下 [儲存]。
控管使用者存取權
在 Google Cloud 控制台導覽中,依序前往「Settings」(設定)>「SOAR settings」(SOAR 設定)。 在 Security Operations 控制台的 SOAR 設定頁面中,有多種方式可判斷哪些使用者有權存取平台的哪些部分。
- 權限群組:為使用者類型設定權限群組,決定使用者可查看或編輯哪些模組和子模組。舉例來說,您可以設定權限,讓使用者查看案件和工作區,但無法存取應對手冊和設定。詳情請參閱 Google SecOps 說明文件中的「 使用權限群組」。
- SOC 角色:定義一組使用者的角色。您可以將案件、動作或劇本指派給 SOC 角色,而非特定使用者。使用者會看到指派給自己、指派給自己角色,或指派給其中一個額外角色的案件。詳情請參閱 Google SecOps 說明文件中的「使用角色」。
- 環境:設定企業可使用的環境,以便管理同一機構內的不同網路或業務單位。使用者只會看到自己有權存取的環境資料。詳情請參閱 Google SecOps 說明文件中的「 新增環境」。
使用 SOAR 設定「Security Operations」控制台頁面,對應 IAM 角色
- 在 Google Cloud 控制台中,依序前往「Settings」(設定) >「SOAR settings」(SOAR 設定) >「Advanced」(進階) >「IAM Role mapping」(IAM 角色對應)。
- 使用顯示名稱 (例如 Chronicle SOAR 管理員),將每個 IAM 角色指派給對應的 SOC 角色 (威脅管理員、安全漏洞管理員或管理員)、權限群組 (選取「管理員」權限群組) 和環境 (選取預設環境)。或者,您也可以新增電子郵件地址,而非 IAM 角色。
- 按一下 [儲存]。
有時使用者會嘗試存取 Security Operations 控制台功能,但他們的 IAM 角色尚未對應至平台。為避免這些使用者遭到拒絕,建議您啟用並設定這個頁面的預設存取權設定。