使用 SOAR 權限控管平台存取權
本文說明這些機制 (SOC 角色、環境,以及權限群組或 IAM 角色) 如何共同運作,控管使用者對平台不同部分的存取權。本文也說明這些機制如何決定誰可以查看案件。
指派資安營運中心 (SOC) 角色
您可以為 SOC 角色指派不同的存取權,控管 Google Security Operations 中每個使用者群組的責任範圍。Google SecOps 包含預先定義的 SOC 角色,但您也可以新增自訂角色。
預先定義的 SOC 角色如下:
- 第 1 層:對快訊執行基本分類。
- 第 2 層:檢查高優先順序的安全威脅。
- 第 3 層:處理重大事件。
- 資安營運中心經理:管理資安營運中心團隊。
- CISO:擔任貴機構的頂層管理員。
- 管理員:存取整個 Google SecOps 平台。
您可以將其中一個 SOC 角色設為預設角色,系統就會自動指派給新案件。每個 SOC 角色也可以附加其他 SOC 角色,讓使用者監控指派給這些角色的所有案件。舉例來說,第 1 層分析師可以查看指派給第 1 層角色和任何其他角色的案件。
建立案件後,您可以將案件從預設 SOC 角色重新指派給特定 SOC 角色或個別使用者,方法是手動指派或使用應對手冊的自動化動作。將案件指派給 SOC 角色,確保一群人瞭解案件。分析人員自行指派案件時,表示他們正在處理該案件。
如要進一步瞭解 SOC 角色,請參閱「管理 SOC 角色」。環境和環境群組
您可以定義不同的環境和環境群組,建立邏輯資料區隔。這項區隔適用於大多數平台模組,例如案件、劇本、擷取和資訊主頁。如果企業和受管理安全服務供應商 (MSSP) 需要區隔作業和網路,這個程序就非常實用。每個環境或群組都可以有專屬的自動化程序和設定。對於擁有許多不同客戶的 MSSP 而言,每個環境或群組可以代表不同的客戶。
您可以設定平台,只允許與特定環境或群組相關聯的分析師查看案件。舉例來說,您可以為多個環境設定劇本模組。如果您未定義或選取其他環境,系統會使用預設環境做為平台基準。平台管理員可以存取目前和未來的所有環境和環境群組。
如要進一步瞭解環境群組,請參閱「使用環境」一文。權限群組或 IAM 角色
Google SecOps 可讓您建立使用者群組,並為不同模組指派不同權限等級。將 SOAR 遷移至 Google Cloud前,這些權限是由 SOAR 設定中的權限群組控管。完成 SOAR 遷移至 Google Cloud後,這些項目會由 IAM 角色控管。
權限群組 (遷移前)
Google SecOps 平台包含預先定義的權限群組,您也可以視需要新增權限群組。預先定義的群組如下:
- 管理員
- 基本
- 讀取者
- 僅供檢視
- 協作者
- 受管理
- 進階受管理
權限群組可控管每個群組在平台中對不同模組和設定的存取層級。您可以設定精細層級的權限。
例如:- 頂層:為特定權限群組啟用報表模組的存取權。
- 中等層級:僅啟用進階報表的檢視權限。
- 精細層級:允許使用者編輯進階報表。
IAM 角色 (遷移後)
完成 SOAR 遷移至 Google Cloud後,權限群組會遷移至 IAM 角色。 如要進一步瞭解如何將權限群組遷移至 IAM 角色,請參閱「遷移 SOAR 權限」。 Google SecOps 平台支援預先定義的 IAM 角色和自訂角色,您可以視需要新增角色。預先定義的 IAM SOAR 角色如下:| IAM 中的預先定義角色 | 標題 | 說明 |
|---|---|---|
roles/chronicle.admin |
Chronicle API 管理員 | 具備 Google SecOps 應用程式和 API 服務的完整存取權,包括全域設定。 |
roles/chronicle.editor |
Chronicle API 編輯者 | 修改 Google SecOps 應用程式和 API 資源的存取權。 |
roles/chronicle.viewer |
Chronicle API 檢視者 | 具備 Google SecOps 應用程式和 API 資源的唯讀存取權 |
roles/chronicle.limitedViewer |
Chronicle API 有限檢視者 | 具備 Google SecOps 應用程式和 API 資源的唯讀存取權,但不包括偵測引擎規則和 RetroHunt。 |
roles/chronicle.soarAdmin |
Chronicle SOAR 管理員 | 具備 SOAR 設定和管理的完整管理存取權。 |
Map users (對應使用者)
視您是否已遷移至 Google Cloud,對應使用者的方式有所不同:SOAR 遷移前 - SOC 角色、權限群組和環境會對應至不同的 IdP 群組,或使用者電子郵件群組,視您驗證產品的方式而定。
SOAR 遷移後 - SOC 角色和環境會對應至不同的 IAM 角色。
如要進一步瞭解如何在平台建立使用者對應關係,請參閱下列適用文件:
如果您已使用員工身分聯盟設定驗證,且尚未遷移,請將 IdP 群組對應至權限群組、SOC 角色和環境。請參閱「在平台中對應使用者」。
如果您已使用 Cloud Identity 設定驗證,且尚未遷移,請將使用者電子郵件群組對應至權限群組、SOC 角色和環境。請參閱「 在平台建立使用者對應關係 (使用 Cloud Identity)」。
如果您已使用 Cloud Identity 設定驗證,且已完成遷移,請將 IAM 角色對應至 SOC 角色和環境。請參閱「 在平台建立使用者對應關係 (使用 Cloud Identity)」。
Google SecOps SOAR 獨立版客戶請參閱「管理使用者」。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。