Controla el acceso a la plataforma con permisos de SOAR
En este documento, se explica cómo estos mecanismos (roles de SOC, entornos y grupos de permisos o roles de IAM) funcionan en conjunto para controlar el acceso de los usuarios a diferentes partes de la plataforma. También se describe cómo estos mecanismos determinan quién puede ver los casos.
Asigna roles del SOC
Puedes asignar diferentes derechos de acceso a los roles de SOC para controlar el alcance de la responsabilidad de cada grupo de usuarios en Google Security Operations. Google SecOps incluye roles de SOC predefinidos, pero también puedes agregar roles personalizados.
Los roles de SOC predefinidos se definen de la siguiente manera:
- Nivel 1: Realiza una evaluación básica de las alertas.
- Nivel 2: Revisar las amenazas de seguridad de alta prioridad
- Nivel 3: Se encarga de los incidentes graves.
- Administrador del SOC: Administra el equipo del SOC.
- CISO: Actúa como administrador de nivel superior dentro de tu organización.
- Administrador: Accede a toda la plataforma de Google SecOps.
Puedes establecer uno de estos roles del SOC como predeterminado, y el sistema lo asignará automáticamente a los casos entrantes. Cada rol del SOC también puede tener roles adicionales adjuntos, lo que permite a los usuarios supervisar todos los casos asignados a esos roles. Por ejemplo, un analista de nivel 1 puede ver los casos asignados a su rol de nivel 1 y a cualquier otro rol adicional.
Después de crear un caso, puedes reasignarlo del rol de SOC predeterminado a un rol de SOC específico o a un usuario individual, ya sea de forma manual o con una acción automatizada de la guía. Asignar un caso a un rol del SOC garantiza que un grupo de personas esté al tanto de él. Cuando un analista se asigna el caso, indica que se encargará de él.
Para obtener más información sobre los roles del SOC, consulta Administra los roles del SOC.Entornos y grupos de entornos
Puedes definir diferentes entornos y grupos de entornos para crear una segregación lógica de los datos. Esta separación se aplica a la mayoría de los módulos de la plataforma, como los casos, los manuales, la transferencia y los paneles. Este proceso es útil para las empresas y los proveedores de servicios de seguridad administrados (MSSP) que necesitan segmentar sus operaciones y redes. Cada entorno o grupo puede tener sus propios procesos y parámetros de configuración de automatización únicos. En el caso de los MSSP con muchos clientes diferentes, cada entorno o grupo puede representar a un cliente independiente.
Puedes configurar los parámetros de la plataforma para que solo los analistas asociados con un entorno o grupo específico puedan ver sus casos. Por ejemplo, puedes configurar el módulo de Playbooks para varios entornos. El sistema usa el entorno predeterminado como referencia de la plataforma cuando no definiste ni seleccionaste otros entornos. Los administradores de la plataforma tienen acceso a todos los entornos y grupos de entornos actuales y futuros.
Para obtener más información sobre los grupos de entornos, consulta Trabaja con entornos.Grupos de permisos o roles de IAM
Google SecOps te permite crear grupos de usuarios y asignar diferentes niveles de permisos a varios módulos. Antes de migrar SOAR a Google Cloud, estos se controlan con grupos de permisos en la configuración de SOAR. Después de completar la migración de SOAR a Google Cloud, estos se controlan con roles de IAM.
Grupos de permisos (antes de la migración)
La plataforma de Google SecOps incluye grupos de permisos predefinidos, y puedes agregar grupos de permisos según sea necesario. Los grupos predefinidos son los siguientes:
- Administrador
- Básico
- Lectores
- Solo lectura
- Colaboradores
- Administrado
- Administrado Plus
Los grupos de permisos controlan el nivel de acceso que tiene cada grupo a los diferentes módulos y parámetros de configuración de la plataforma. Puedes establecer permisos a un nivel detallado.
Por ejemplo:- Nivel superior: Habilita el acceso al módulo Informes para un grupo de permisos específico.
- Nivel medio: Habilita el acceso solo para ver informes avanzados.
- Nivel detallado: Permite a los usuarios editar informes avanzados.
Roles de IAM (después de la migración)
Después de completar la migración de SOAR a Google Cloud, los grupos de permisos se migran a roles de IAM. Para obtener más información sobre la migración de grupos de permisos a roles de IAM, consulta Migra los permisos de SOAR. La plataforma de Google SecOps admite roles de IAM predefinidos y roles personalizados, que puedes agregar según sea necesario. Los roles predefinidos de IAM de SOAR son los siguientes:| Rol predefinido en IAM | Título | Descripción |
|---|---|---|
roles/chronicle.admin |
Administrador de la API de Chronicle | Acceso completo a los servicios de la API y la aplicación de Google SecOps, incluida la configuración global. |
roles/chronicle.editor |
Editor de la API de Chronicle | Modifica el acceso a los recursos de la API y la aplicación de Google SecOps. |
roles/chronicle.viewer |
Visualizador de API de Chronicle | Acceso de solo lectura a los recursos de la API y la aplicación de Google SecOps |
roles/chronicle.limitedViewer |
Visualizador limitado de la API de Chronicle | Otorga acceso de solo lectura a los recursos de la API y la aplicación de Google SecOps, excepto las reglas del motor de detección y RetroHunt. |
roles/chronicle.soarAdmin |
Administrador de Chronicle SOAR | Acceso administrativo completo a la configuración y administración de SOAR |
Asigna usuarios
Existen diferentes formas de asignar usuarios, según si migraste a Google Cloud:Antes de la migración a SOAR, los roles de SOC, los grupos de permisos y los entornos se asignan a diferentes grupos de IdP o grupos de correos electrónicos de usuarios, según cómo te hayas autenticado en el producto.
Después de la migración a SOAR, los roles y los entornos del SOC se asignan a diferentes roles de IAM.
Para obtener más información sobre cómo asignar usuarios en la plataforma, consulta el documento que se aplica a tu caso:
Si configuraste la autenticación con la federación de identidades de personal y estás en la etapa previa a la migración, asigna grupos de IdP a grupos de permisos, roles de SOC y entornos. Consulta Cómo asignar usuarios en la plataforma.
Si configuraste la autenticación con Cloud Identity y aún no realizaste la migración, asigna grupos de correos electrónicos de usuarios a grupos de permisos, roles de SOC y entornos. Consulta Cómo asignar usuarios en la plataforma con Cloud Identity.
Si configuraste la autenticación con Cloud Identity y ya completaste la migración, asigna los roles de IAM a los roles y entornos de SOC. Consulta Cómo asignar usuarios en la plataforma con Cloud Identity.
Si eres cliente independiente de Google SecOps SOAR, consulta Administra usuarios.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.