本文介绍了如何在安全运营控制台的 SOAR 端使用身份和访问权限管理 (IAM) 通过安全身份验证授权和映射用户。
准备工作
确保您已使用 IAM 定义并将用户映射到安全运营控制台的 SIEM 端。如需了解详情,请参阅 使用 IAM 控制功能访问权限在 Google Cloud 控制台中授予 IAM 角色
系统已在 Google Cloud 控制台中向您的 Security Command Center Enterprise 项目添加了三个预定义的 IAM 角色。
- Chronicle SOAR Admin (
roles/chronicle.soarAdmin) - Chronicle SOAR Threat Manager (
roles/chronicle.soarThreatManager) - Chronicle SOAR Vulnerability Manager (
roles/chronicle.soarVulnerabilityManager)
以下步骤介绍了如何在 Google Cloud 控制台中向用户授予 IAM 角色。
- 打开控制台,然后选择您的 Security Command Center。
- 点击 IAM 和管理。
- 从导航树中选择 IAM,然后选择 Grant Access。
- 在“授予访问权限”对话框中,前往添加主账号字段,然后输入三种 IAM 角色之一的用户或用户群组的电子邮件地址。
- 在选择角色字段中,搜索所需角色:Chronicle SOAR Admin、Chronicle SOAR Threat Manager 或 Chronicle SOAR Vulnerability Manager。
- 针对所有三个角色重复此过程,或根据需要重复此过程。
- 点击保存。
控制用户访问权限
在安全运营控制台的 SOAR 设置中,您可以通过多种不同的方式确定哪些用户有权访问平台的哪些方面。
- 权限组:为用户类型设置权限组,这些组决定了用户可以看到或修改哪些模块和子模块。例如,您可以设置权限,让用户可以看到支持请求和工作台,但无法访问 Playbook 和设置。如需了解详情,请参阅 Google SecOps 文档中的 使用权限组。
- SOC 角色:定义一组用户的角色。您可以将支持请求、操作或 Playbook 设置为 SOC 角色,而不是特定用户。用户会看到分配给其个人、其角色或其他角色的支持请求。如需了解详情,请参阅 Google SecOps 文档中的使用角色。
- 环境:设置环境,供企业用于管理同一组织中的不同网络或业务部门。用户只能看到他们有权访问的环境的数据。如需了解详情,请参阅 Google SecOps 文档中的 添加环境。
在安全运营控制台的 SOAR 端映射 IAM 角色
- 在安全运营控制台中,依次选择设置 > SOAR 设置 > 高级 > IAM 角色映射。
- 使用显示名称(例如 Chronicle SOAR 管理员),将每个 IAM 角色分配给相应的 SOC 角色(威胁管理员、漏洞管理员或管理员)、权限组(选择“管理员”权限组)和环境(选择默认环境)。或者,您也可以添加电子邮件地址,而不是 IAM 角色。
- 点击保存。
有时,用户会尝试登录安全运营控制台,但其 IAM 角色尚未在平台中映射。为避免系统拒绝这些用户,我们建议您在此页面上启用并设置默认访问权限设置。