Controlar o acesso à plataforma usando permissões de SOAR

Compatível com:

Este documento explica como esses mecanismos (papéis de SOC, ambientes e grupos de permissões ou papéis do IAM) funcionam juntos para controlar o acesso do usuário a diferentes partes da plataforma. Ele também descreve como esses mecanismos determinam quem pode ver os casos.

Atribuir funções do SOC

É possível atribuir direitos de acesso diferentes às funções do SOC para controlar o escopo de responsabilidade de cada grupo de usuários no Google Security Operations. O Google SecOps inclui papéis predefinidos do SOC, mas também é possível adicionar papéis personalizados.

As funções predefinidas do SOC são definidas da seguinte maneira:

  • Nível 1: faça uma triagem básica dos alertas.
  • Nível 2: analise ameaças de segurança de alta prioridade.
  • Nível 3: como lidar com incidentes graves.
  • Gerente de SOC: gerencia a equipe de SOC.
  • CISO: atua como gerente de nível superior na sua organização.
  • Administrador: acesso a toda a plataforma do Google SecOps.

Você pode definir uma dessas funções como padrão, e o sistema a atribui automaticamente aos casos recebidos. Cada função do SOC também pode ter outras funções anexadas, permitindo que os usuários monitorem todos os casos atribuídos a elas. Por exemplo, um analista de nível 1 pode ver casos atribuídos à função de nível 1 e a outras funções.

Depois que um caso é criado, é possível reatribuí-lo da função padrão do SOC para uma função específica do SOC ou um usuário individual, manualmente ou com uma ação automatizada de playbook. Ao atribuir um caso a uma função do SOC, você garante que um grupo de pessoas esteja ciente dele. Quando um analista se atribui o caso, ele indica que está cuidando dele.

Para mais informações sobre papéis da SOC, consulte Gerenciar papéis da SOC.

Ambientes e grupos de ambiente

É possível definir diferentes ambientes e grupos de ambientes para criar uma segregação lógica de dados. Essa separação se aplica à maioria dos módulos da plataforma, como casos, playbooks, ingestão e painéis. Esse processo é útil para empresas e provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) que precisam segmentar as operações e redes. Cada ambiente ou grupo pode ter processos e configurações de automação exclusivos. Para MSSPs com muitos clientes diferentes, cada ambiente ou grupo pode representar um cliente separado.

É possível configurar as opções da plataforma para que apenas os analistas associados a um ambiente ou grupo específico possam ver os casos dele. Por exemplo, é possível configurar o módulo de playbooks para vários ambientes. O sistema usa o ambiente padrão como a base da plataforma quando você não definiu nem selecionou outros ambientes. Os administradores da plataforma têm acesso a todos os ambientes e grupos de ambientes atuais e futuros.

Para mais informações sobre grupos de ambientes, consulte Trabalhar com ambientes.

Grupos de permissões ou papéis do IAM

Com o Google SecOps, é possível criar grupos de usuários e atribuir diferentes níveis de permissão a vários módulos. Antes de migrar o SOAR para Google Cloud, eles eram controlados por grupos de permissões nas configurações do SOAR. Depois de concluir a migração do SOAR para Google Cloud, eles serão controlados por papéis do IAM.


Grupos de permissões (antes da migração)

A plataforma Google SecOps inclui grupos de permissões predefinidos, e você pode adicionar outros conforme necessário. Os grupos predefinidos são os seguintes:

  • Administrador
  • Básico
  • Leitores
  • Somente leitura
  • Colaboradores
  • Gerenciado
  • Managed-Plus

Os grupos de permissões controlam o nível de acesso de cada grupo a diferentes módulos e configurações na plataforma. É possível definir permissões em um nível granular.

Por exemplo:
  • Nível superior: permite o acesso ao módulo "Relatórios" para um grupo de permissões específico.
  • Nível intermediário: permite acesso apenas para visualizar relatórios avançados.
  • Nível granular: permite que os usuários editem relatórios avançados.
Para mais informações sobre grupos de permissões, consulte Gerenciar grupos de permissões.

Papéis do IAM (após a migração)

Depois de concluir a migração do SOAR para Google Cloud, os grupos de permissões serão migrados para papéis do IAM. Para mais informações sobre como migrar grupos de permissões para papéis do IAM, consulte Migrar permissões do SOAR. A plataforma Google SecOps oferece suporte a papéis predefinidos e personalizados do IAM, que podem ser adicionados conforme necessário. Os papéis predefinidos do IAM SOAR são os seguintes:
Papel predefinido no IAM Título Descrição
roles/chronicle.admin Administrador da API Chronicle Acesso total aos serviços de API e aplicativos do Google SecOps, incluindo configurações globais.
roles/chronicle.editor Editor da API Chronicle Modificar o acesso aos recursos de API e aplicativos do Google SecOps.
roles/chronicle.viewer Leitor da API Chronicle Acesso somente leitura aos recursos de aplicativos e APIs do Google SecOps
roles/chronicle.limitedViewer Leitor limitado da API Chronicle Concede acesso somente leitura aos recursos do aplicativo e da API do Google SecOps, exceto regras do mecanismo de detecção e retrohunts.
roles/chronicle.soarAdmin Administrador do Chronicle SOAR Acesso administrativo completo às configurações e ao gerenciamento do SOAR.

Map users (Mapear usuários)

Há diferentes maneiras de mapear usuários, dependendo se você migrou para o Google Cloud:

  • Antes da migração do SOAR, as funções do SOC, os grupos de permissões e os ambientes eram mapeados para diferentes grupos de IdP ou grupos de e-mail de usuários, dependendo de como você se autenticou no produto.

  • Após a migração da SOAR, as funções e os ambientes do SOC são mapeados para diferentes papéis do IAM.

Para mais informações sobre como mapear usuários na plataforma, consulte o documento aplicável a você:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.