SOAR 권한을 사용하여 플랫폼 액세스 제어
이 문서에서는 이러한 메커니즘(SOC 역할, 환경, 권한 그룹 또는 IAM 역할)이 함께 작동하여 플랫폼의 여러 부분에 대한 사용자 액세스를 제어하는 방법을 설명합니다. 또한 이러한 메커니즘이 케이스를 볼 수 있는 사용자를 결정하는 방법도 설명합니다.
SOC 역할 할당
SOC 역할에 서로 다른 액세스 권한을 할당하여 Google Security Operations의 각 사용자 그룹의 책임 범위를 관리할 수 있습니다. Google SecOps에는 사전 정의된 SOC 역할이 포함되어 있지만 맞춤 역할을 추가할 수도 있습니다.
사전 정의된 SOC 역할은 다음과 같이 정의됩니다.
- Tier 1: 알림에 대한 기본 트리아지를 실행합니다.
- Tier 2: 우선순위가 높은 보안 위협을 검토합니다.
- Tier 3: 심각한 인시던트를 처리합니다.
- SOC 관리자: SOC팀을 관리합니다.
- CISO: 조직 내 최상위 관리자 역할을 합니다.
- 관리자: 전체 Google SecOps 플랫폼에 액세스합니다.
이러한 SOC 역할 중 하나를 기본값으로 설정하면 시스템에서 수신되는 케이스에 자동으로 할당합니다. 각 SOC 역할에는 추가 SOC 역할이 연결될 수도 있으므로 사용자는 해당 역할에 할당된 모든 케이스를 모니터링할 수 있습니다. 예를 들어 Tier 1 분석가는 Tier 1 역할과 추가 역할에 할당된 케이스를 볼 수 있습니다.
케이스가 생성된 후 기본 SOC 역할에서 특정 SOC 역할 또는 개별 사용자에게 수동으로 또는 플레이북 자동 작업을 사용하여 케이스를 재할당할 수 있습니다. SOC 역할에 케이스를 할당하면 여러 사용자가 케이스를 인식할 수 있습니다. 분석사가 케이스를 직접 할당하면 케이스를 처리하고 있음을 나타냅니다.
SOC 역할에 대한 자세한 내용은 SOC 역할 관리를 참고하세요.환경 및 환경 그룹
다양한 환경과 환경 그룹을 정의하여 논리적 데이터 분리를 만들 수 있습니다. 이 분리는 케이스, 플레이북, 인제션, 대시보드와 같은 대부분의 플랫폼 모듈에 적용됩니다. 이 프로세스는 운영 및 네트워크를 세분화해야 하는 비즈니스 및 관리 보안 서비스 제공업체(MSSP)에 유용합니다. 각 환경 또는 그룹에는 고유한 자동화 프로세스와 설정이 있을 수 있습니다. 다양한 고객을 보유한 MSSP의 경우 각 환경 또는 그룹이 별도의 고객을 나타낼 수 있습니다.
특정 환경 또는 그룹과 연결된 분석가만 케이스를 볼 수 있도록 플랫폼 설정을 구성할 수 있습니다. 예를 들어 여러 환경에 대해 플레이북 모듈을 구성할 수 있습니다. 다른 환경을 정의하거나 선택하지 않은 경우 시스템은 기본 환경을 플랫폼 기준선으로 사용합니다. 플랫폼 관리자는 현재 및 향후 환경과 환경 그룹에 모두 액세스할 수 있습니다.
환경 그룹에 대한 자세한 내용은 환경 작업을 참고하세요.권한 그룹 또는 IAM 역할
Google SecOps를 사용하면 사용자 그룹을 만들고 다양한 모듈에 서로 다른 권한 수준을 할당할 수 있습니다. SOAR를 Google Cloud로 이전하기 전에는 SOAR 설정의 권한 그룹에 의해 제어됩니다. Google Cloud로 SOAR 마이그레이션을 완료한 후에는 IAM 역할로 제어됩니다.
권한 그룹 (이전 전)
Google SecOps 플랫폼에는 사전 정의된 권한 그룹이 포함되어 있으며 필요에 따라 권한 그룹을 추가할 수 있습니다. 사전 정의된 그룹은 다음과 같습니다.
- 관리자
- 기본
- 리더
- 보기만 가능
- 공동작업자
- 관리됨
- 관리 플러스
권한 그룹은 각 그룹이 플랫폼의 다양한 모듈 및 설정에 액세스할 수 있는 수준을 제어합니다. 세부적인 수준에서 권한을 설정할 수 있습니다.
예를 들면 다음과 같습니다.- 최상위 수준: 특정 권한 그룹에 대해 보고서 모듈에 대한 액세스를 사용 설정합니다.
- 중간 수준: 고급 보고서를 볼 수 있는 액세스 권한만 사용 설정합니다.
- 세부 수준: 사용자가 고급 보고서를 수정할 수 있습니다.
IAM 역할 (이전 후)
SOAR을 Google Cloud로 마이그레이션하면 권한 그룹이 IAM 역할로 마이그레이션됩니다. 권한 그룹을 IAM 역할로 이전하는 방법에 대한 자세한 내용은 SOAR 권한 이전을 참고하세요. Google SecOps 플랫폼은 사전 정의된 IAM 역할과 필요에 따라 추가할 수 있는 커스텀 역할을 지원합니다. 사전 정의된 IAM SOAR 역할은 다음과 같습니다.| IAM의 사전 정의된 역할 | 제목 | 설명 |
|---|---|---|
roles/chronicle.admin |
Chronicle API 관리자 | 전역 설정을 포함하여 Google SecOps 애플리케이션 및 API 서비스에 대한 전체 액세스 권한을 갖습니다. |
roles/chronicle.editor |
Chronicle API 편집자 | Google SecOps 애플리케이션 및 API 리소스에 대한 수정 액세스 권한이 있습니다. |
roles/chronicle.viewer |
Chronicle API 뷰어 | Google SecOps 애플리케이션 및 API 리소스에 대한 읽기 전용 액세스 권한 |
roles/chronicle.limitedViewer |
Chronicle API 제한적 뷰어 | 감지 엔진 규칙 및 RetroHunt를 제외하고 Google SecOps 애플리케이션 및 API 리소스에 대해 읽기 전용 액세스 권한을 부여합니다. |
roles/chronicle.soarAdmin |
Chronicle SOAR 관리자 | SOAR 설정 및 관리에 대한 전체 관리 액세스 권한입니다. |
Map users(사용자 매핑)
Google Cloud로 마이그레이션했는지 여부에 따라 사용자를 매핑하는 방법이 다릅니다.SOAR 이전 - 제품에 인증한 방식에 따라 SOC 역할, 권한 그룹, 환경이 다른 IdP 그룹 또는 사용자 이메일 그룹에 매핑됩니다.
SOAR 마이그레이션 후 - SOC 역할과 환경이 서로 다른 IAM 역할에 매핑됩니다.
플랫폼에서 사용자를 매핑하는 방법에 관한 자세한 내용은 다음 문서를 참고하세요.
직원 ID 제휴를 사용하여 인증을 설정했고 이전 전인 경우 IdP 그룹을 권한 그룹, SOC 역할, 환경에 매핑합니다. 플랫폼에서 사용자 매핑을 참고하세요.
Cloud ID를 사용하여 인증을 설정했고 이전 전인 경우 사용자 이메일 그룹을 권한 그룹, SOC 역할, 환경에 매핑합니다. Cloud ID를 사용하여 플랫폼에서 사용자 매핑을 참고하세요.
Cloud ID를 사용하여 인증을 설정했고 이전 후인 경우 IAM 역할을 SOC 역할 및 환경에 매핑합니다. Cloud ID를 사용하여 플랫폼에서 사용자 매핑을 참고하세요.
Google SecOps SOAR 독립형 고객은 사용자 관리를 참고하세요.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.