SOAR 権限を使用してプラットフォームへのアクセスを制御する
このドキュメントでは、これらのメカニズム(SOC ロール、環境、権限グループまたは IAM ロール)が連携して、プラットフォームのさまざまな部分に対するユーザー アクセスを制御する方法について説明します。また、これらのメカニズムによってケースを閲覧できるユーザーがどのように決定されるかについても説明します。
SOC ロールを割り当てる
SOC ロールにさまざまなアクセス権を割り当てて、Google Security Operations の各ユーザー グループの責任範囲を制御できます。Google SecOps には事前定義された SOC ロールが含まれていますが、カスタムロールを追加することもできます。
事前定義の SOC ロールは次のように定義されています。
- Tier 1: アラートの基本的なトリアージを行います。
- Tier 2: 優先度の高いセキュリティ上の脅威を確認します。
- Tier 3: 重大なインシデントに対応します。
- SOC マネージャー: SOC チームを管理します。
- CISO: 組織内の最上位の管理者として機能します。
- 管理者: Google SecOps プラットフォーム全体にアクセスできます。
これらの SOC ロールのいずれかをデフォルトとして設定すると、システムによって受信したケースに自動的に割り当てられます。各 SOC ロールには追加の SOC ロールを関連付けることもできます。これにより、ユーザーはこれらのロールに割り当てられたすべてのケースをモニタリングできます。たとえば、Tier 1 アナリストは、Tier 1 ロールと追加のロールに割り当てられたケースを確認できます。
ケースを作成した後、デフォルトの SOC ロールから特定の SOC ロールまたは個々のユーザーに、手動またはハンドブックの自動アクションを使用して再割り当てできます。ケースを SOC ロールに割り当てると、そのケースが複数のユーザーに認識されます。アナリストがケースを自己割り当てすると、そのアナリストがケースを処理していることが示されます。
SOC ロールの詳細については、SOC ロールを管理するをご覧ください。環境と環境グループ
さまざまな環境と環境グループを定義して、論理的なデータ分離を作成できます。この分離は、ケース、プレイブック、取り込み、ダッシュボードなど、ほとんどのプラットフォーム モジュールに適用されます。このプロセスは、オペレーションとネットワークのセグメント化が必要な企業やマネージド セキュリティ サービス プロバイダ(MSSP)に役立ちます。環境またはグループごとに、独自の自動化プロセスと設定を指定できます。さまざまな顧客を抱える MSSP の場合、環境またはグループごとに個別の顧客を表すことができます。
特定の環境またはグループに関連付けられたアナリストのみがケースを表示できるように、プラットフォーム設定を構成できます。たとえば、複数の環境に対してプレイブック モジュールを構成できます。他の環境を定義または選択していない場合、システムはデフォルトの環境をプラットフォーム ベースラインとして使用します。プラットフォーム管理者は、現在および将来のすべての環境と環境グループにアクセスできます。
環境グループの詳細については、環境を操作するをご覧ください。権限グループまたは IAM ロール
Google SecOps では、ユーザーのグループを作成し、さまざまなモジュールに異なる権限レベルを割り当てることができます。SOAR を Google Cloudに移行する前は、これらは SOAR 設定の権限グループによって制御されます。SOAR を Google Cloudに移行すると、これらは IAM ロールによって制御されます。
権限グループ(移行前)
Google SecOps プラットフォームには事前定義された権限グループが含まれており、必要に応じて権限グループを追加できます。事前定義されたグループは次のとおりです。
- 管理者
- 基本
- リーダー
- 閲覧専用
- 共同編集者
- 管理対象
- 管理対象プラス
権限グループは、プラットフォームのさまざまなモジュールや設定に対する各グループのアクセスレベルを制御します。権限をきめ細かいレベルで設定できます。
例:- 最上位: 特定の権限グループに対してレポート モジュールへのアクセスを有効にします。
- 中レベル: 詳細レポートの閲覧のみを許可します。
- 詳細レベル: ユーザーが高度なレポートを編集できるようにします。
IAM ロール(移行後)
SOAR Migration to Google Cloudを完了すると、権限グループが IAM ロールに移行されます。権限グループを IAM ロールに移行する方法については、SOAR 権限を移行するをご覧ください。Google SecOps プラットフォームは、事前定義された IAM ロールとカスタムロールをサポートしています。カスタムロールは必要に応じて追加できます。IAM SOAR の事前定義ロールは次のとおりです。| IAM の事前定義ロール | タイトル | 説明 |
|---|---|---|
roles/chronicle.admin |
Chronicle API 管理者 | グローバル設定を含む、Google SecOps アプリケーションと API サービスに対する完全アクセス権。 |
roles/chronicle.editor |
Chronicle API 編集者 | Google SecOps アプリケーションと API リソースに対するアクセス権を変更します。 |
roles/chronicle.viewer |
Chronicle API 閲覧者 | Google SecOps アプリケーションと API リソースに対する読み取り専用アクセス権 |
roles/chronicle.limitedViewer |
Chronicle API 制限付き閲覧者 | Google SecOps アプリケーションと API リソースに対する読み取り専用アクセス権を付与します(検出エンジンルールと RetroHunt を除く)。 |
roles/chronicle.soarAdmin |
Chronicle SOAR 管理者 | SOAR の設定と管理に対する完全な管理者権限。 |
Map users
Google Cloudに移行したかどうかによって、ユーザーのマッピング方法が異なります。SOAR 移行前 - プロダクトへの認証方法に応じて、SOC ロール、権限グループ、環境が異なる IdP グループまたはユーザー メールグループにマッピングされます。
SOAR 移行後 - SOC ロールと環境が異なる IAM ロールにマッピングされます。
プラットフォームでユーザーをマッピングする方法について詳しくは、該当するドキュメントをご覧ください。
Workforce Identity 連携を使用して認証を設定し、移行前の場合は、IdP グループを権限グループ、SOC ロール、環境にマッピングします。プラットフォームでユーザーをマッピングするをご覧ください。
Cloud Identity を使用して認証を設定し、移行前である場合は、ユーザー メールグループを権限グループ、SOC ロール、環境にマッピングします。 Cloud Identity を使用してプラットフォームでユーザーをマッピングするをご覧ください。
Cloud Identity を使用して認証を設定し、移行後の場合は、IAM ロールを SOC ロールと環境にマッピングします。 Cloud Identity を使用してプラットフォームでユーザーをマッピングするをご覧ください。
Google SecOps SOAR スタンドアロンのお客様は、ユーザーを管理するをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。