Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Zugriff auf die Plattform mit SOAR-Berechtigungen steuern

Unterstützt in:

Google secops SOAR

In diesem Dokument wird erläutert, wie diese Mechanismen – SOC-Rollen, Umgebungen und entweder Berechtigungsgruppen oder IAM-Rollen – zusammenarbeiten, um den Nutzerzugriff auf verschiedene Teile der Plattform zu steuern. Außerdem wird beschrieben, wie diese Mechanismen festlegen, wer Fälle ansehen kann.

SOC-Rollen zuweisen

Sie können SOC-Rollen unterschiedliche Zugriffsrechte zuweisen, um den Verantwortungsbereich für jede Nutzergruppe in Google Security Operations zu steuern. Google SecOps enthält vordefinierte SOC-Rollen, Sie können aber auch benutzerdefinierte Rollen hinzufügen.

Die vordefinierten SOC-Rollen sind so definiert:

Tier 1: Führt die grundlegende Triage für die Benachrichtigungen durch.
Tier 2: Überprüft Sicherheitsbedrohungen mit hoher Priorität.
Tier 3: Behandelt schwerwiegende Vorfälle.
SOC Manager: Verwaltet das SOC-Team.
CISO: Ist der Manager auf höchster Ebene in Ihrer Organisation.
Administrator: Hat Zugriff auf die gesamte Google SecOps-Plattform.

Sie können eine dieser SOC-Rollen als Standard festlegen. Das System weist sie dann automatisch eingehenden Fällen zu. Jeder SOC-Rolle können auch zusätzliche SOC-Rollen zugewiesen werden, sodass Nutzer alle Fälle beobachten können, die diesen Rollen zugewiesen sind. Ein Tier 1-Analyst kann beispielsweise Fälle sehen, die seiner Tier 1-Rolle und allen zusätzlichen Rollen zugewiesen sind.

Nachdem ein Fall erstellt wurde, können Sie ihn manuell oder mit einer automatisierten Playbook-Aktion von der Standard-SOC-Rolle einer bestimmten SOC-Rolle oder einem einzelnen Nutzer neu zuweisen. Wenn Sie einen Fall einer SOC-Rolle zuweisen, wird eine Gruppe von Personen darüber informiert. Wenn ein Analyst sich den Fall selbst zuweist, gibt er an, dass er ihn bearbeitet.

Weitere Informationen zu SOC-Rollen finden Sie unter SOC-Rollen verwalten.

Umgebungen und Umgebungsgruppen

Sie können verschiedene Umgebungen und Umgebungsgruppen definieren, um eine logische Datentrennung zu erstellen. Diese Trennung gilt für die meisten Plattformmodule wie Fälle, Playbooks, Erfassung und Dashboards. Dieser Prozess ist nützlich für Unternehmen und Managed Security Service Provider (MSSPs), die ihre Abläufe und Netzwerke segmentieren müssen. Jede Umgebung oder Gruppe kann eigene Automatisierungsprozesse und ‑einstellungen haben. Bei MSSPs mit vielen verschiedenen Kunden kann jede Umgebung oder Gruppe einen separaten Kunden darstellen.

Sie können die Plattformeinstellungen so konfigurieren, dass nur Analysten, die einer bestimmten Umgebung oder Gruppe zugeordnet sind, die zugehörigen Fälle sehen können. Sie können das Playbooks-Modul beispielsweise für mehrere Umgebungen konfigurieren. Das System verwendet die Standardumgebung als Plattformbaseline, wenn Sie keine anderen Umgebungen definiert oder ausgewählt haben. Plattformadministratoren haben Zugriff auf alle aktuellen und zukünftigen Umgebungen und Umgebungsgruppen.

Weitere Informationen zu Umgebungsgruppen finden Sie unter Mit Umgebungen arbeiten.

Berechtigungsgruppen oder IAM-Rollen

In Google SecOps können Sie Nutzergruppen erstellen und verschiedenen Modulen unterschiedliche Berechtigungsstufen zuweisen. Vor der Migration von SOAR zu Google Cloudwerden diese durch Berechtigungsgruppen in den SOAR-Einstellungen gesteuert. Nachdem Sie die SOAR-Migration zu Google Cloudabgeschlossen haben, werden sie durch IAM-Rollen gesteuert.

Berechtigungsgruppen (vor der Migration)

Die Google SecOps-Plattform enthält vordefinierte Berechtigungsgruppen. Sie können bei Bedarf weitere Berechtigungsgruppen hinzufügen. Die vordefinierten Gruppen sind:

Admin
Einfach
Leser
Nur lesen
Mitbearbeiterinnen und Mitbearbeiter
Verwaltet
Verwaltet-Plus

Berechtigungsgruppen steuern die Zugriffsebene, die jede Gruppe für verschiedene Module und Einstellungen auf der Plattform hat. Sie können Berechtigungen auf detaillierter Ebene festlegen.

Beispiel:

Oberste Ebene: Zugriff auf das Modul „Berichte“ für eine bestimmte Berechtigungsgruppe aktivieren.
Mittlere Ebene: Zugriff nur zum Ansehen erweiterter Berichte aktivieren.
Detaillierte Ebene: Nutzern erlauben, erweiterte Berichte zu bearbeiten.

Weitere Informationen zu Berechtigungsgruppen finden Sie unter Berechtigungsgruppen verwalten

Identity and Access Management-Rollen (nach der Migration)

Nachdem Sie die SOAR-Migration zu Google Cloudabgeschlossen haben, werden die Berechtigungsgruppen zu IAM-Rollen migriert. Weitere Informationen zum Migrieren von Berechtigungsgruppen zu IAM-Rollen finden Sie unter SOAR-Berechtigungen zu Google Cloud IAM migrieren. Die Google SecOps-Plattform unterstützt vordefinierte IAM-Rollen sowie benutzerdefinierte Rollen, die Sie bei Bedarf hinzufügen können. Die vordefinierten IAM-SOAR-Rollen sind:

Vordefinierte Rolle in IAM	Titel	Beschreibung
`roles/chronicle.admin`	Chronicle API-Administrator	Vollständiger Zugriff auf die Google SecOps-Anwendung und die API-Dienste, einschließlich globaler Einstellungen.
`roles/chronicle.editor`	Chronicle API Editor	Zugriff auf die Google SecOps-Anwendung und die API-Ressourcen ändern.
`roles/chronicle.viewer`	Chronicle API-Betrachter	Lesezugriff auf die Google SecOps-Anwendung und die API-Ressourcen.
`roles/chronicle.limitedViewer`	Chronicle API Limited Viewer	Gewährt Lesezugriff auf die Google SecOps-Anwendung und die API Ressourcen, mit Ausnahme von Regeln der Erkennungs-Engine und RetroHunts.
`roles/chronicle.soarAdmin`	Chronicle SOAR Admin	Vollständiger Administratorzugriff auf SOAR-Einstellungen und ‑Verwaltung.

Aktionen einschränken

Jede Berechtigungsgruppe enthält einen Abschnitt, in dem der Administrator Aktionen auswählen kann, die für diese bestimmte Berechtigungsgruppe eingeschränkt sind. Damit eine eingeschichtete Aktion angewendet wird, muss sie in allen Berechtigungsgruppen ausgewählt sein, die der Nutzergruppe zugewiesen sind. Wenn eine Nutzergruppe mehreren Berechtigungsgruppen zugeordnet ist, die eingeschränkte Aktion aber nur in einer dieser Gruppen zugewiesen ist, wird die Einschränkung nicht erzwungen.

Nutzer zuordnen

Es gibt verschiedene Möglichkeiten, Nutzer zuzuordnen, je nachdem, ob Sie zu migriert sind oder nicht Google Cloud:

Vor der SOAR-Migration werden SOC-Rollen, Berechtigungsgruppen und Umgebungen verschiedenen IdP-Gruppen oder E‑Mail-Gruppen von Nutzern zugeordnet, je nachdem, wie Sie sich beim Produkt authentifiziert haben.
Nach der SOAR-Migration werden SOC-Rollen und Umgebungen verschiedenen IAM-Rollen zugeordnet.

Weitere Informationen zum Zuordnen von Nutzern auf der Plattform finden Sie im entsprechenden Dokument:

Wenn Sie die Authentifizierung mit der Mitarbeiteridentitätsföderation eingerichtet haben und sich vor der Migration befinden, ordnen Sie IdP-Gruppen Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer in der Google SecOps-Plattform zuordnen.
Wenn Sie die Authentifizierung mit Cloud Identity eingerichtet haben und sich vor der Migration befinden, ordnen Sie E‑Mail-Gruppen von Nutzern Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer auf der Plattform mithilfe von Cloud Identity zuordnen.
Wenn Sie die Authentifizierung mit Cloud Identity eingerichtet haben und sich nach der Migration befinden, ordnen Sie IAM-Rollen SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer auf der Plattform mithilfe von Cloud Identity zuordnen.
Google SecOps SOAR-Standalone-Kunden finden weitere Informationen unter Nutzer verwalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten