הגדרת Google Cloud זהות
אתם יכולים להשתמש ב-Cloud Identity, ב-Google Workspace או בספק זהויות של צד שלישי (כמו Okta או Azure AD) כדי לנהל משתמשים, קבוצות ואימות.
בדף הזה מוסבר איך להשתמש ב-Cloud Identity או ב-Google Workspace.
כשמשתמשים ב-Cloud Identity או ב-Google Workspace, יוצרים חשבונות משתמשים מנוהלים כדי לשלוט בגישה ל Google Cloud משאבים ול-Google SecOps.
אתם יוצרים מדיניות IAM שמגדירה לאילו משתמשים וקבוצות יש גישה לתכונות של Google SecOps. כללי המדיניות האלה ב-IAM מוגדרים באמצעות תפקידים והרשאות מוגדרים מראש שסופקו על ידי Google SecOps, או באמצעות תפקידים בהתאמה אישית שאתם יוצרים.
במסגרת קישור מופע של Google SecOps לשירותי Google Cloud, צריך להגדיר חיבור לספק זהויות (IdP) Google Cloud . מופע Google SecOps משתלב ישירות עם Cloud Identity או Google Workspace כדי לאמת משתמשים ולאכוף בקרת גישה על סמך מדיניות IAM שהגדרתם.
מידע מפורט על יצירת חשבונות Cloud Identity או Google Workspace מופיע במאמר זהויות למשתמשים.
תרחישים נפוצים לדוגמה
כדי להשתמש ב-Google SecOps, צריך להשתמש ב-Cloud Identity או ב-Google Workspace כברוקר SSO למגוון תרחישי שימוש.
עמידה בתקני אבטחה מחמירים
- המטרה: עמידה בתקנים רגולטוריים מחמירים לגישה למערכת ולענן.
- ערך: עוזר לעמוד בדרישות התאימות של FedRAMP High (או גבוהות יותר) באמצעות תיווך מאובטח של כניסה יחידה (SSO).
ניהול בקרת גישה בארגון
- המטרה: שליטה מרכזית בגישה לתכונות ולנתונים בכל הארגון.
- Value: מאפשרת RBAC ברמת הארגון ב-Google SecOps באמצעות IAM.
אוטומציה של גישה פרוגרמטית ל-API
- המטרה: לספק שיטות בשירות עצמי לאינטראקציה מאובטחת עם ממשקי ה-API של Chronicle.
- ערך: הפחתת התקורה האדמיניסטרטיבית הידנית על ידי מתן אפשרות ללקוחות לנהל את פרטי הכניסה שלהם באופן פרוגרמטי.
הקצאת תפקיד כדי לאפשר כניסה ל-Google SecOps
בשלבים הבאים מוסבר איך להעניק תפקיד ספציפי באמצעות IAM כדי שמשתמש יוכל להיכנס ל-Google SecOps. מבצעים את ההגדרה באמצעות פרויקט Google Cloud Google SecOps שיצרתם קודם.
מקצים את התפקיד צפייה ב-Chronicle API (
roles/chronicle.viewer) למשתמשים או לקבוצות שצריכים לקבל גישה לאפליקציית Google Security Operations.בדוגמה הבאה, התפקיד 'צפייה ב-Chronicle API' מוקצה לקבוצה ספציפית:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "group:GROUP_EMAIL"מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: עם מזהה הפרויקט של הפרויקט שמשויך ל-Google Security Operations שהגדרתם במאמר הגדרת פרויקט Google Cloud ל-Google Security Operations. במאמר יצירה וניהול של פרויקטים מפורטים השדות שמזהים פרויקט. -
GROUP_EMAIL: כתובת האימייל החלופית של הקבוצה, למשלanalyst-t1@example.com.
-
כדי להעניק למשתמש ספציפי את התפקיד Chronicle API Viewer, מריצים את הפקודה הבאה:
gcloud projects add-iam-policy-binding PROJECT_ID \ --role roles/chronicle.viewer \ --member "user:USER_EMAIL"מחליפים את
USER_EMAILבכתובת האימייל של המשתמש, למשלalice@example.com.דוגמאות להקצאת תפקידים לחברים אחרים, כמו קבוצה או דומיין, אפשר למצוא במסמכי העזר בנושא gcloud projects add-iam-policy-binding ומזהים של חשבונות משתמשים.
הגדרת מדיניות IAM נוספת כדי לעמוד בדרישות הגישה והאבטחה של הארגון.
המאמרים הבאים
אחרי שמבצעים את השלבים במאמר הזה, צריך לבצע את הפעולות הבאות:
מבצעים את השלבים לקישור מופע של Google Security Operations לשירותים Google Cloud .
אם עדיין לא הגדרתם רישום ביומן ביקורת, צריך להמשיך להפעלת רישום ביומן ביקורת ב-Google Security Operations.
אם אתם מגדירים את Google Security Operations, צריך לבצע שלבים נוספים במאמר הקצאת משתמשים, אימות ומיפוי משתמשים ב-Google Security Operations.
כדי להגדיר גישה לפיצ'רים, צריך לבצע שלבים נוספים במאמרים הגדרת בקרת גישה לתכונות באמצעות IAM והרשאות Google Security Operations ב-IAM.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.