Mengontrol akses ke platform menggunakan izin SOAR

Didukung di:

Dokumen ini menjelaskan cara kerja mekanisme ini—peran SOC, lingkungan, dan grup izin atau peran IAM—bersama-sama untuk mengontrol akses pengguna ke berbagai bagian platform. Bagian ini juga menjelaskan cara mekanisme ini menentukan siapa yang dapat melihat kasus.

Menetapkan peran SOC

Anda dapat menetapkan hak akses yang berbeda ke peran SOC untuk mengontrol cakupan tanggung jawab setiap grup pengguna di Google Security Operations. Google SecOps menyertakan peran SOC bawaan, tetapi Anda juga dapat menambahkan peran kustom.

Peran SOC standar ditentukan sebagai berikut:

  • Tingkat 1: Lakukan triase dasar pada pemberitahuan.
  • Tingkat 2: Tinjau ancaman keamanan prioritas tinggi.
  • Tingkat 3: Menangani insiden berat.
  • SOC Manager: Mengelola tim SOC.
  • CISO: Berfungsi sebagai pengelola tingkat teratas dalam organisasi Anda.
  • Administrator: Mengakses seluruh platform Google SecOps.

Anda dapat menetapkan salah satu peran SOC ini sebagai default, dan sistem akan otomatis menetapkannya ke kasus yang masuk. Setiap peran SOC juga dapat memiliki peran SOC tambahan yang dilampirkan, sehingga pengguna dapat memantau semua kasus yang ditetapkan ke peran tersebut. Misalnya, analis Tingkat 1 dapat melihat kasus yang ditetapkan ke peran Tingkat 1 dan peran tambahan lainnya.

Setelah kasus dibuat, Anda dapat menetapkannya kembali dari peran SOC default ke peran SOC tertentu atau pengguna individual—secara manual atau dengan tindakan otomatis playbook. Menetapkan kasus ke peran SOC memastikan bahwa sekelompok orang mengetahuinya. Saat analis menetapkan sendiri kasus, mereka menunjukkan bahwa mereka sedang menanganinya.

Untuk mengetahui informasi selengkapnya tentang peran SOC, lihat Mengelola peran SOC.

Lingkungan dan grup lingkungan

Anda dapat menentukan berbagai lingkungan dan grup lingkungan untuk membuat pemisahan data yang logis. Pemisahan ini berlaku untuk sebagian besar modul platform, seperti kasus, playbook, penyerapan, dan dasbor. Proses ini berguna bagi bisnis dan Penyedia Layanan Keamanan Terkelola (MSSP) yang perlu menyegmentasikan operasi dan jaringan mereka. Setiap lingkungan atau grup dapat memiliki proses dan setelan otomatisasi yang unik. Untuk MSSP dengan banyak pelanggan yang berbeda, setiap lingkungan atau grup dapat mewakili pelanggan yang berbeda.

Anda dapat mengonfigurasi setelan platform sehingga hanya analis yang terkait dengan lingkungan atau grup tertentu yang dapat melihat kasusnya. Misalnya, Anda dapat mengonfigurasi modul playbook untuk beberapa lingkungan. Sistem menggunakan lingkungan default sebagai dasar platform jika Anda belum menentukan atau memilih lingkungan lain. Administrator platform memiliki akses ke semua lingkungan dan grup lingkungan saat ini dan di masa mendatang.

Untuk mengetahui informasi selengkapnya tentang grup lingkungan, lihat Bekerja dengan lingkungan

Grup izin atau peran IAM

Google SecOps memungkinkan Anda membuat grup pengguna dan menetapkan tingkat izin yang berbeda ke berbagai modul. Sebelum memigrasikan SOAR ke Google Cloud, hal ini dikontrol oleh grup izin di Setelan SOAR. Setelah Anda menyelesaikan migrasi SOAR ke Google Cloud, akses ke fitur ini dikontrol oleh peran IAM.


Grup izin (sebelum migrasi)

Platform Google SecOps mencakup grup izin bawaan, dan Anda dapat menambahkan grup izin sesuai kebutuhan. Grup standar adalah sebagai berikut:

  • Admin
  • Dasar
  • Pembaca
  • Hanya Lihat
  • Kolaborator
  • Terkelola
  • Terkelola Plus

Grup izin mengontrol tingkat akses setiap grup ke berbagai modul dan setelan di platform. Anda dapat menetapkan izin di tingkat terperinci.

Contoh:
  • Tingkat teratas: Aktifkan akses ke modul Laporan untuk grup izin tertentu.
  • Tingkat menengah: Mengaktifkan akses hanya untuk melihat laporan lanjutan.
  • Tingkat terperinci: Memungkinkan pengguna mengedit laporan lanjutan.
Untuk mengetahui informasi selengkapnya tentang grup izin, lihat Mengelola grup izin

Peran IAM (setelah migrasi)

Setelah Anda menyelesaikan Migrasi SOAR ke Google Cloud, grup izin akan dimigrasikan ke dalam peran IAM. Untuk mengetahui informasi selengkapnya tentang memigrasikan grup izin ke peran IAM, lihat Memigrasikan izin SOAR. Platform Google SecOps mendukung peran IAM standar serta peran khusus, yang dapat Anda tambahkan sesuai kebutuhan. Peran IAM SOAR bawaan adalah sebagai berikut:
Peran bawaan di IAM Judul Deskripsi
roles/chronicle.admin Admin Chronicle API Akses penuh ke aplikasi dan layanan API Google SecOps, termasuk setelan global.
roles/chronicle.editor Chronicle API Editor Ubah akses ke aplikasi Google SecOps dan resource API.
roles/chronicle.viewer Chronicle API Viewer Akses hanya baca ke aplikasi Google SecOps dan resource API
roles/chronicle.limitedViewer Chronicle API Limited Viewer Memberikan akses hanya baca ke resource aplikasi dan API Google SecOps, tidak termasuk aturan mesin deteksi dan retrohunt.
roles/chronicle.soarAdmin Admin Chronicle SOAR Akses administratif penuh ke setelan dan pengelolaan SOAR.

Map users

Ada berbagai cara untuk memetakan pengguna, bergantung pada apakah Anda telah bermigrasi ke Google Cloudatau belum:

  • Migrasi pra-SOAR - Peran SOC, grup izin, dan lingkungan dipetakan ke grup IdP yang berbeda, atau grup email pengguna, bergantung pada cara Anda mengautentikasi ke produk.

  • Setelah migrasi SOAR - Peran dan lingkungan SOC dipetakan ke peran IAM yang berbeda.

Untuk mengetahui informasi selengkapnya tentang cara memetakan pengguna di platform, lihat dokumen yang berlaku untuk Anda:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.