Zugriff auf die Plattform mit SOAR-Berechtigungen steuern

Unterstützt in:

In diesem Dokument wird erläutert, wie diese Mechanismen – SOC-Rollen, Umgebungen und entweder Berechtigungsgruppen oder IAM-Rollen – zusammenwirken, um den Nutzerzugriff auf verschiedene Teile der Plattform zu steuern. Außerdem wird beschrieben, wie diese Mechanismen festlegen, wer Supportanfragen sehen kann.

SOC-Rollen zuweisen

Sie können SOC-Rollen unterschiedliche Zugriffsrechte zuweisen, um den Verantwortungsbereich für jede Nutzergruppe in Google Security Operations zu steuern. Google SecOps umfasst vordefinierte SOC-Rollen, Sie können aber auch benutzerdefinierte Rollen hinzufügen.

Die vordefinierten SOC-Rollen sind so definiert:

  • Tier 1: Führen Sie eine grundlegende Triage der Benachrichtigungen durch.
  • Tier 2: Sicherheitsbedrohungen mit hoher Priorität überprüfen.
  • Tier 3: Schwere Vorfälle bearbeiten.
  • SOC-Manager: Verwaltet das SOC-Team.
  • CISO: Fungieren Sie als Manager auf höchster Ebene in Ihrer Organisation.
  • Administrator: Zugriff auf die gesamte Google SecOps-Plattform.

Sie können eine dieser SOC-Rollen als Standard festlegen. Das System weist sie dann automatisch eingehenden Anfragen zu. Jeder SOC-Rolle können auch zusätzliche SOC-Rollen zugewiesen werden, sodass Nutzer alle Fälle im Blick behalten können, die diesen Rollen zugewiesen sind. Ein Analyst von Tier 1 kann beispielsweise Fälle sehen, die seiner Tier 1-Rolle und allen zusätzlichen Rollen zugewiesen sind.

Nachdem ein Fall erstellt wurde, können Sie ihn manuell oder mit einer automatisierten Playbook-Aktion von der Standard-SOC-Rolle einer bestimmten SOC-Rolle oder einem einzelnen Nutzer zuweisen. Wenn Sie einem Fall eine SOC-Rolle zuweisen, wird eine Gruppe von Personen darüber informiert. Wenn ein Analyst den Fall sich selbst zuweist, gibt er an, dass er ihn bearbeitet.

Weitere Informationen zu SOC-Rollen finden Sie unter SOC-Rollen verwalten.

Umgebungen und Umgebungsgruppen

Sie können verschiedene Umgebungen und Umgebungsgruppen definieren, um eine logische Datentrennung zu erreichen. Diese Trennung gilt für die meisten Plattformmodule, z. B. für Fälle, Playbooks, die Aufnahme und Dashboards. Dieses Verfahren ist nützlich für Unternehmen und Managed Security Service Providers (MSSPs), die ihre Abläufe und Netzwerke segmentieren müssen. Jede Umgebung oder Gruppe kann eigene Automatisierungsprozesse und ‑einstellungen haben. Bei MSSPs mit vielen verschiedenen Kunden kann jede Umgebung oder Gruppe einen separaten Kunden darstellen.

Sie können Plattform-Einstellungen so konfigurieren, dass nur Analysten, die einer bestimmten Umgebung oder Gruppe zugeordnet sind, die zugehörigen Anfragen sehen können. Sie können das Playbooks-Modul beispielsweise für mehrere Umgebungen konfigurieren. Das System verwendet die Standardumgebung als Plattform-Baseline, wenn Sie keine anderen Umgebungen definiert oder ausgewählt haben. Plattformadministratoren haben Zugriff auf alle aktuellen und zukünftigen Umgebungen und Umgebungsgruppen.

Weitere Informationen zu Umgebungsgruppen finden Sie unter Mit Umgebungen arbeiten.

Berechtigungsgruppen oder IAM-Rollen

Mit Google SecOps können Sie Nutzergruppen erstellen und verschiedenen Modulen unterschiedliche Berechtigungsstufen zuweisen. Vor der Migration von SOAR zu Google Cloud werden diese über Berechtigungsgruppen in den SOAR-Einstellungen gesteuert. Nachdem Sie die SOAR-Migration zu Google Cloudabgeschlossen haben, werden diese durch IAM-Rollen gesteuert.


Berechtigungsgruppen (vor der Migration)

Die Google SecOps-Plattform umfasst vordefinierte Berechtigungsgruppen. Sie können bei Bedarf weitere Berechtigungsgruppen hinzufügen. Die vordefinierten Gruppen sind:

  • Admin
  • Einfach
  • Leser
  • Nur lesen
  • Mitbearbeiterinnen und Mitbearbeiter
  • Verwaltet
  • Verwaltet mit erweitertem Zugriff

Mit Berechtigungsgruppen wird der Zugriff der einzelnen Gruppen auf verschiedene Module und Einstellungen auf der Plattform gesteuert. Sie können Berechtigungen auf detaillierter Ebene festlegen.

Beispiel:
  • Oberste Ebene: Ermöglichen Sie den Zugriff auf das Modul „Berichte“ für eine bestimmte Berechtigungsgruppe.
  • Mittlere Ebene: Ermöglicht den Zugriff nur zum Aufrufen erweiterter Berichte.
  • Detaillierte Ebene: Nutzer können erweiterte Berichte bearbeiten.
Weitere Informationen zu Berechtigungsgruppen finden Sie unter Berechtigungsgruppen verwalten.

IAM-Rollen (nach der Migration)

Nachdem Sie die SOAR-Migration zu Google Cloudabgeschlossen haben, werden die Berechtigungsgruppen in IAM-Rollen migriert. Weitere Informationen zum Migrieren von Berechtigungsgruppen zu IAM-Rollen finden Sie unter SOAR-Berechtigungen migrieren. Die Google SecOps-Plattform unterstützt vordefinierte IAM-Rollen sowie benutzerdefinierte Rollen, die Sie nach Bedarf hinzufügen können. Die vordefinierten IAM-SOAR-Rollen sind:
Vordefinierte Rolle in IAM Titel Beschreibung
roles/chronicle.admin Chronicle API-Administrator Vollständiger Zugriff auf Google SecOps-Anwendungs- und API-Dienste, einschließlich globaler Einstellungen.
roles/chronicle.editor Chronicle API Editor Zugriff auf Google SecOps-Anwendungs- und API-Ressourcen ändern.
roles/chronicle.viewer Chronicle API-Betrachter Lesezugriff auf Google SecOps-Anwendungs- und API-Ressourcen
roles/chronicle.limitedViewer Chronicle API Limited Viewer Gewährt Lesezugriff auf Google SecOps-Anwendungs- und API-Ressourcen, mit Ausnahme von Regeln und RetroHunts für die Erkennungs-Engine.
roles/chronicle.soarAdmin Chronicle SOAR Admin Vollständiger Administratorzugriff auf SOAR-Einstellungen und ‑Verwaltung.

Map users (Nutzer zuordnen)

Es gibt verschiedene Möglichkeiten, Nutzer zuzuordnen, je nachdem, ob Sie zu Google Cloudmigriert sind:

  • Vor der SOAR-Migration: SOC-Rollen, Berechtigungsgruppen und Umgebungen werden je nach Authentifizierungsmethode im Produkt verschiedenen IdP-Gruppen oder E-Mail-Gruppen für Nutzer zugeordnet.

  • Nach der SOAR-Migration werden SOC-Rollen und ‑Umgebungen verschiedenen IAM-Rollen zugeordnet.

Weitere Informationen zum Zuordnen von Nutzern in der Plattform finden Sie im entsprechenden Dokument:

  • Wenn Sie die Authentifizierung mit der Workforce Identity-Föderation eingerichtet haben und sich in der Phase vor der Migration befinden, ordnen Sie IdP-Gruppen Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer in der Plattform zuordnen.

  • Wenn Sie die Authentifizierung mit Cloud Identity eingerichtet haben und sich vor der Migration befinden, ordnen Sie Nutzer-E-Mail-Gruppen Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer in der Plattform mit Cloud Identity zuordnen.

  • Wenn Sie die Authentifizierung mit Cloud Identity eingerichtet haben und die Migration abgeschlossen ist, weisen Sie IAM-Rollen SOC-Rollen und -Umgebungen zu. Weitere Informationen finden Sie unter Nutzer in der Plattform mit Cloud Identity zuordnen.

  • Kunden, die Google SecOps SOAR als eigenständiges Produkt nutzen, finden Informationen unter Nutzer verwalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten