使用 SOAR 权限控制对平台的访问权限
本文档介绍了这些机制(SOC 角色、环境以及权限组或 IAM 角色)如何协同工作来控制用户对平台不同部分的访问权限。 本文还介绍了这些机制如何确定哪些人可以查看支持请求。
分配 SOC 角色
您可以为 SOC 角色分配不同的访问权限,以控制 Google Security Operations 中每个用户群组的职责范围。 Google SecOps 包含预定义的 SOC 角色,但您也可以添加自定义角色。
预定义的 SOC 角色定义如下:
- 第 1 级:对警报执行基本分类。
- 第 2 层级:查看高优先级的安全威胁。
- 第 3 层级:处理重大事件。
- SOC 经理:管理 SOC 团队。
- CISO:担任组织内的最高级别经理。
- 管理员:可访问整个 Google SecOps 平台。
您可以将其中一个 SOC 角色设置为默认角色,系统会自动将其分配给新收到的支持请求。每个 SOC 角色还可以附加其他 SOC 角色,以便用户监控分配给这些角色的所有支持请求。例如,第 1 级分析师可以查看分配给其第 1 级角色和任何其他角色的支持请求。
创建支持请求后,您可以手动或通过 playbook 自动化操作将其从默认 SOC 角色重新分配给特定 SOC 角色或个别用户。将支持请求分配给 SOC 角色可确保一组人员了解该支持请求。当分析师自行分配支持请求时,表示他们正在处理该支持请求。
如需详细了解 SOC 角色,请参阅管理 SOC 角色。环境和环境组
您可以定义不同的环境和环境组,以实现逻辑数据隔离。 这种分离适用于大多数平台模块,例如支持请求、剧本、数据提取和信息中心。对于需要细分运营和网络的商家和受管安全服务提供商 (MSSP),此流程非常有用。每个环境或群组都可以有自己独特的自动化流程和设置。对于拥有许多不同客户的 MSSP,每个环境或群组可以代表一个单独的客户。
您可以配置平台设置,以便只有与特定环境或群组关联的分析师才能查看相应支持请求。例如,您可以为多个环境配置 playbook 模块。如果您未定义或选择其他环境,系统会将默认环境用作平台基准。平台管理员有权访问所有当前和未来的环境以及环境组。
如需详细了解环境组,请参阅使用环境权限组或 IAM 角色
借助 Google SecOps,您可以创建用户群组,并为各个模块分配不同的权限级别。在将 SOAR 迁移到 Google Cloud之前,这些权限由 SOAR 设置中的权限组控制。将 SOAR 迁移到 Google Cloud后,这些权限将由 IAM 角色控制。
权限组(迁移前)
Google SecOps 平台包含预定义的权限组,您可以根据需要添加权限组。预定义的分组如下:
- 管理员
- 基本
- 读取者
- 只能查看
- 协作者
- 受管理
- Managed-Plus
权限组用于控制每个群组对平台中不同模块和设置的访问权限级别。您可以设置精细的权限。
例如:- 顶级:为特定权限组启用对“报告”模块的访问权限。
- 中级:仅启用查看高级报告的权限。
- 精细级别:允许用户修改高级报告。
IAM 角色(迁移后)
将 SOAR 迁移到 Google Cloud后,权限组会迁移到 IAM 角色中。如需详细了解如何将权限组迁移到 IAM 角色,请参阅迁移 SOAR 权限。 Google SecOps 平台支持预定义的 IAM 角色以及自定义角色,您可以根据需要添加这些角色。预定义的 IAM SOAR 角色如下:| IAM 中的预定义角色 | 标题 | 说明 |
|---|---|---|
roles/chronicle.admin |
Chronicle API Admin | 拥有对 Google SecOps 应用和 API 服务(包括全局设置)的完整访问权限。 |
roles/chronicle.editor |
Chronicle API Editor | 可以修改对 Google SecOps 应用和 API 资源的访问权限。 |
roles/chronicle.viewer |
Chronicle API Viewer | 拥有对 Google SecOps 应用和 API 资源的只读权限 |
roles/chronicle.limitedViewer |
Chronicle API Limited Viewer | 授予对 Google SecOps 应用和 API 资源的只读权限,但不包括检测引擎规则和 RetroHunt。 |
roles/chronicle.soarAdmin |
Chronicle SOAR Admin | 对 SOAR 设置和管理拥有完整的管理权限。 |
映射用户
根据您是否已迁移到 Google Cloud,用户映射方式有所不同:迁移前 - SOC 角色、权限组和环境会映射到不同的 IdP 群组或用户电子邮件群组,具体取决于您向产品进行身份验证的方式。
迁移后 - SOC 角色和环境映射到不同的 IAM 角色。
如需详细了解如何在平台中映射用户,请参阅以下文档(具体取决于您的情况):
如果您已使用员工身份联合设置身份验证,并且处于迁移前阶段,请将 IdP 群组映射到权限群组、SOC 角色和环境。请参阅在平台中映射用户。
如果您已使用 Cloud Identity 设置身份验证,并且处于迁移前阶段,请将用户电子邮件群组映射到权限群组、SOC 角色和环境。请参阅 使用 Cloud Identity 在平台中映射用户。
如果您已使用 Cloud Identity 设置身份验证,并且已完成迁移,请将 IAM 角色映射到 SOC 角色和环境。请参阅 使用 Cloud Identity 在平台中映射用户。
Google SecOps SOAR 独立版客户,请参阅管理用户。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。