Contrôler l'accès à la plate-forme à l'aide des autorisations SOAR
Ce document explique comment ces mécanismes (rôles SOC, environnements et groupes d'autorisations ou rôles IAM) fonctionnent ensemble pour contrôler l'accès des utilisateurs aux différentes parties de la plate-forme. Il décrit également comment ces mécanismes déterminent qui peut consulter les demandes.
Attribuer des rôles SOC
Vous pouvez attribuer différents droits d'accès aux rôles SOC pour contrôler l'étendue des responsabilités de chaque groupe d'utilisateurs dans Google Security Operations. Google SecOps inclut des rôles SOC prédéfinis, mais vous pouvez également ajouter des rôles personnalisés.
Les rôles SOC prédéfinis sont définis comme suit :
- Niveau 1 : effectuez un tri de base des alertes.
- Niveau 2 : examiner les menaces de sécurité à haute priorité.
- Niveau 3 : Gérer les incidents majeurs.
- Responsable SOC : gère l'équipe SOC.
- CISO : agissez en tant que responsable de premier niveau au sein de votre organisation.
- Administrateur : accédez à l'intégralité de la plate-forme Google SecOps.
Vous pouvez définir l'un de ces rôles SOC comme rôle par défaut. Le système l'attribue automatiquement aux nouvelles demandes. Chaque rôle SOC peut également être associé à d'autres rôles SOC, ce qui permet aux utilisateurs de surveiller toutes les demandes attribuées à ces rôles. Par exemple, un analyste de niveau 1 peut voir les demandes attribuées à son rôle de niveau 1 et à tout autre rôle.
Une fois une demande créée, vous pouvez la réattribuer du rôle SOC par défaut à un rôle SOC spécifique ou à un utilisateur individuel, manuellement ou à l'aide d'une action automatisée de playbook. Attribuer une demande à un rôle SOC permet de s'assurer qu'un groupe de personnes en est informé. Lorsqu'un analyste s'attribue lui-même la demande, il indique qu'il s'en occupe.
Pour en savoir plus sur les rôles SOC, consultez Gérer les rôles SOC.Environnements et groupes d'environnements
Vous pouvez définir différents environnements et groupes d'environnements pour créer une ségrégation logique des données. Cette séparation s'applique à la plupart des modules de la plate-forme, tels que les requêtes, les playbooks, l'ingestion et les tableaux de bord. Ce processus est utile pour les entreprises et les fournisseurs de services de sécurité gérés (MSSP) qui doivent segmenter leurs opérations et leurs réseaux. Chaque environnement ou groupe peut avoir ses propres processus et paramètres d'automatisation. Pour les MSSP qui gèrent de nombreux clients différents, chaque environnement ou groupe peut représenter un client distinct.
Vous pouvez configurer les paramètres de la plate-forme de sorte que seuls les analystes associés à un environnement ou un groupe spécifique puissent voir ses demandes. Par exemple, vous pouvez configurer le module "Playbooks" pour plusieurs environnements. Le système utilise l'environnement par défaut comme référence de plate-forme lorsque vous n'avez pas défini ni sélectionné d'autres environnements. Les administrateurs de plate-forme ont accès à tous les environnements et groupes d'environnements actuels et futurs.
Pour en savoir plus sur les groupes d'environnements, consultez Utiliser des environnements.Groupes d'autorisations ou rôles IAM
Google SecOps vous permet de créer des groupes d'utilisateurs et d'attribuer différents niveaux d'autorisation à différents modules. Avant de migrer SOAR vers Google Cloud, ces paramètres sont contrôlés par des groupes d'autorisations dans les paramètres SOAR. Une fois la migration SOAR vers Google Cloudterminée, ces éléments sont contrôlés par des rôles IAM.
Groupes d'autorisations (avant la migration)
La plate-forme Google SecOps inclut des groupes d'autorisations prédéfinis, et vous pouvez en ajouter d'autres si nécessaire. Voici les groupes prédéfinis :
- Administrateur
- De base
- Lecteurs
- Lecture seule
- Collaborateurs
- Géré
- Managed-Plus
Les groupes d'autorisations contrôlent le niveau d'accès de chaque groupe aux différents modules et paramètres de la plate-forme. Vous pouvez définir des autorisations précises.
Exemple :- Niveau supérieur : permet d'accéder au module "Rapports" pour un groupe d'autorisations spécifique.
- Niveau intermédiaire : permet d'accéder uniquement aux rapports avancés.
- Niveau précis : permet aux utilisateurs de modifier les rapports avancés.
Rôles IAM (après la migration)
Une fois la migration SOAR vers Google Cloudterminée, les groupes d'autorisations sont migrés vers des rôles IAM. Pour en savoir plus sur la migration des groupes d'autorisations vers les rôles IAM, consultez Migrer les autorisations SOAR. La plate-forme Google SecOps est compatible avec les rôles IAM prédéfinis et les rôles personnalisés, que vous pouvez ajouter selon vos besoins. Voici les rôles IAM SOAR prédéfinis :| Rôle prédéfini dans IAM | Titre | Description |
|---|---|---|
roles/chronicle.admin |
Administrateur de l'API Chronicle | Accès complet aux services d'application et d'API Google SecOps, y compris aux paramètres généraux. |
roles/chronicle.editor |
Éditeur de l'API Chronicle | Accès permettant de modifier les ressources de l'application et de l'API Google SecOps. |
roles/chronicle.viewer |
Lecteur de l'API Chronicle | Accès en lecture seule aux ressources de l'application et de l'API Google SecOps |
roles/chronicle.limitedViewer |
Lecteur limité de l'API Chronicle | Accorde un accès en lecture seule aux ressources de l'application et de l'API Google SecOps, à l'exclusion des règles et des recherches RetroHunt du moteur de détection. |
roles/chronicle.soarAdmin |
Administrateur Chronicle SOAR | Accès administratif complet aux paramètres et à la gestion de SOAR. |
Map users (Mapper des utilisateurs)
Il existe différentes manières de mapper les utilisateurs selon que vous avez migré ou non vers Google Cloud :Avant la migration SOAR : les rôles SOC, les groupes d'autorisations et les environnements sont mappés à différents groupes de fournisseurs d'identité ou à des groupes d'adresses e-mail d'utilisateurs, selon la façon dont vous vous êtes authentifié auprès du produit.
Après la migration SOAR, les rôles et environnements SOC sont mappés à différents rôles IAM.
Pour savoir comment mapper les utilisateurs dans la plate-forme, consultez le document qui vous concerne :
Si vous avez configuré l'authentification à l'aide de la fédération d'identité des employés et que vous êtes en phase de pré-migration, mappez les groupes IdP aux groupes d'autorisations, aux rôles SOC et aux environnements. Consultez Mapper les utilisateurs dans la plate-forme.
Si vous avez configuré l'authentification à l'aide de Cloud Identity et que vous êtes avant la migration, mappez les groupes d'adresses e-mail des utilisateurs aux groupes d'autorisations, aux rôles SOC et aux environnements. Consultez Mapper les utilisateurs de la plate-forme à l'aide de Cloud Identity.
Si vous avez configuré l'authentification à l'aide de Cloud Identity et que vous avez terminé la migration, mappez les rôles IAM aux rôles et environnements SOC. Consultez Mapper les utilisateurs de la plate-forme à l'aide de Cloud Identity.
Si vous êtes un client Google SecOps SOAR autonome, consultez Gérer les utilisateurs.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.