Controllare l'accesso alla piattaforma utilizzando le autorizzazioni SOAR

Supportato in:

Questo documento spiega come questi meccanismi (ruoli SOC, ambienti e gruppi di autorizzazioni o ruoli IAM) funzionano insieme per controllare l'accesso degli utenti a diverse parti della piattaforma. Descrive inoltre in che modo questi meccanismi determinano chi può visualizzare le richieste.

Assegnare i ruoli del SOC

Puoi assegnare diritti di accesso diversi ai ruoli SOC per controllare l'ambito di responsabilità per ogni gruppo di utenti in Google Security Operations. Google SecOps include ruoli SOC predefiniti, ma puoi anche aggiungere ruoli personalizzati.

I ruoli SOC predefiniti sono definiti come segue:

  • Livello 1: esegui il triage di base degli avvisi.
  • Livello 2: esamina le minacce alla sicurezza ad alta priorità.
  • Livello 3: gestione di incidenti gravi.
  • Responsabile SOC: gestisci il team SOC.
  • CISO: funge da responsabile di primo livello all'interno dell'organizzazione.
  • Amministratore: accede all'intera piattaforma Google SecOps.

Puoi impostare uno di questi ruoli SOC come predefinito e il sistema lo assegna automaticamente ai casi in arrivo. A ogni ruolo SOC possono essere associati anche altri ruoli SOC, consentendo agli utenti di monitorare tutte le richieste assegnate a questi ruoli. Ad esempio, un analista di Livello 1 può visualizzare le richieste assegnate al suo ruolo di Livello 1 e a eventuali ruoli aggiuntivi.

Una volta creato un caso, puoi riassegnarlo dal ruolo SOC predefinito a un ruolo SOC specifico o a un singolo utente, manualmente o con un'azione automatizzata del playbook. L'assegnazione di una richiesta a un ruolo SOC garantisce che un gruppo di persone ne sia a conoscenza. Quando un analista si autoassegna la richiesta, indica che se ne sta occupando.

Per saperne di più sui ruoli SOC, consulta Gestire i ruoli SOC.

Ambienti e gruppi di ambienti

Puoi definire ambienti e gruppi di ambienti diversi per creare una separazione logica dei dati. Questa separazione si applica alla maggior parte dei moduli della piattaforma, come casi, playbook, importazione e dashboard. Questo processo è utile per le aziende e i Managed Security Service Provider (MSSP) che devono segmentare le proprie operazioni e reti. Ogni ambiente o gruppo può avere processi e impostazioni di automazione unici. Per i MSSP con molti clienti diversi, ogni ambiente o gruppo può rappresentare un cliente separato.

Puoi configurare le impostazioni della piattaforma in modo che solo gli analisti associati a un ambiente o gruppo specifico possano visualizzare le relative richieste. Ad esempio, puoi configurare il modulo dei playbook per più ambienti. Il sistema utilizza l'ambiente predefinito come base di riferimento della piattaforma quando non hai definito o selezionato altri ambienti. Gli amministratori della piattaforma hanno accesso a tutti gli ambienti e i gruppi di ambienti attuali e futuri.

Per saperne di più sui gruppi di ambienti, consulta Utilizzare gli ambienti.

Gruppi di autorizzazioni o ruoli IAM

Google SecOps ti consente di creare gruppi di utenti e assegnare diversi livelli di autorizzazione a vari moduli. Prima della migrazione di SOAR a Google Cloud, questi sono controllati dai gruppi di autorizzazioni nelle impostazioni di SOAR. Una volta completata la migrazione di SOAR a Google Cloud, questi sono controllati dai ruoli IAM.


Gruppi di autorizzazioni (pre-migrazione)

La piattaforma Google SecOps include gruppi di autorizzazioni predefiniti e puoi aggiungere gruppi di autorizzazioni in base alle esigenze. I gruppi predefiniti sono i seguenti:

  • Amministratore
  • Di base
  • Lettori
  • Solo visualizzazione
  • Collaborators
  • Gestito
  • Managed-Plus

I gruppi di autorizzazioni controllano il livello di accesso di ciascun gruppo a diversi moduli e impostazioni della piattaforma. Puoi impostare le autorizzazioni a un livello granulare.

Ad esempio:
  • Livello superiore: consente l'accesso al modulo Report per un gruppo di autorizzazioni specifico.
  • Medio: consente l'accesso solo alla visualizzazione dei report avanzati.
  • Livello granulare: consente agli utenti di modificare i report avanzati.
Per ulteriori informazioni sui gruppi di autorizzazioni, vedi Gestire i gruppi di autorizzazioni.

Ruoli IAM (post-migrazione)

Dopo aver completato la migrazione di SOAR a Google Cloud, i gruppi di autorizzazioni vengono migrati nei ruoli IAM. Per saperne di più sulla migrazione dei gruppi di autorizzazioni ai ruoli IAM, consulta Migrazione delle autorizzazioni SOAR. La piattaforma Google SecOps supporta ruoli IAM predefiniti e personalizzati, che puoi aggiungere in base alle esigenze. I ruoli IAM SOAR predefiniti sono i seguenti:
Ruolo predefinito in IAM Titolo Descrizione
roles/chronicle.admin Chronicle API Admin Accesso completo ai servizi API e all'applicazione Google SecOps, incluse le impostazioni globali.
roles/chronicle.editor Chronicle API Editor Modifica l'accesso alle risorse dell'applicazione e dell'API Google SecOps.
roles/chronicle.viewer Chronicle API Viewer Accesso in sola lettura alle risorse dell'applicazione e dell'API Google SecOps
roles/chronicle.limitedViewer Chronicle API Limited Viewer Concede l'accesso in sola lettura alle risorse dell'applicazione e dell'API Google SecOps, escluse le regole del motore di rilevamento e le RetroHunt.
roles/chronicle.soarAdmin Chronicle SOAR Admin Accesso amministrativo completo alle impostazioni e alla gestione di SOAR.

Map users (Mappa gli utenti)

Esistono diversi modi per mappare gli utenti a seconda che tu abbia eseguito o meno la migrazione a Google Cloud:

  • Prima della migrazione SOAR, i ruoli SOC, i gruppi di autorizzazioni e gli ambienti vengono mappati a diversi gruppi IdP o gruppi di email utente, a seconda di come è stata eseguita l'autenticazione al prodotto.

  • Post migrazione SOAR: i ruoli e gli ambienti SOC vengono mappati a ruoli IAM diversi.

Per saperne di più su come mappare gli utenti nella piattaforma, consulta il documento che ti riguarda:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.