Übersicht über den SOAR-Zugriff

Unterstützt in:

In diesem Dokument wird erläutert, wie diese Mechanismen – SOC-Rollen, Umgebungen und entweder Berechtigungsgruppen oder IAM-Rollen – zusammenarbeiten, um den Nutzerzugriff auf verschiedene Teile der Plattform zu steuern. Außerdem wird beschrieben, wie diese Mechanismen bestimmen, wer Fälle ansehen kann.

SOC-Rollen zuweisen

Sie können SOC-Rollen unterschiedliche Zugriffsrechte zuweisen, um den Verantwortungsbereich für jede Nutzergruppe in Google Security Operations zu steuern. Google SecOps enthält vordefinierte SOC-Rollen, Sie können aber auch benutzerdefinierte Rollen hinzufügen.

Die vordefinierten SOC-Rollen sind wie folgt definiert:

  • Tier 1: Führt die grundlegende Triage für die Benachrichtigungen durch.
  • Tier 2: Überprüft Sicherheitsbedrohungen mit hoher Priorität.
  • Tier 3: Behandelt schwerwiegende Vorfälle.
  • SOC-Manager: Verwaltet das SOC-Team.
  • CISO: Fungiert als Manager auf höchster Ebene in Ihrer Organisation.
  • Administrator: Greift auf die gesamte Google SecOps-Plattform zu.

Sie können eine dieser SOC-Rollen als Standard festlegen. Das System weist sie dann automatisch eingehenden Fällen zu. Jeder SOC-Rolle können auch zusätzliche SOC-Rollen zugewiesen werden, sodass Nutzer alle Fälle beobachten können, die diesen Rollen zugewiesen sind. Ein Tier 1-Analyst kann beispielsweise Fälle sehen, die seiner Tier 1-Rolle und allen zusätzlichen Rollen zugewiesen sind.

Nachdem ein Fall erstellt wurde, können Sie ihn manuell oder mit einer automatisierten Playbook-Aktion von der SOC-Standardrolle einer bestimmten SOC-Rolle oder einem einzelnen Nutzer neu zuweisen. Wenn Sie einen Fall einer SOC-Rolle zuweisen, wird eine Gruppe von Personen darüber informiert. Wenn ein Analyst sich den Fall selbst zuweist, zeigt er damit an, dass er ihn bearbeitet.

Weitere Informationen zu SOC-Rollen finden Sie unter SOC-Rollen verwalten.

Umgebungen und Umgebungsgruppen

Sie können verschiedene Umgebungen und Umgebungsgruppen definieren, um eine logische Datentrennung zu erstellen. Diese Trennung gilt für die meisten Plattformmodule wie Fälle, Playbooks, Erfassung und Dashboards. Dieser Prozess ist nützlich für Unternehmen und Managed Security Service Provider (MSSPs), die ihre Abläufe und Netzwerke segmentieren müssen. Jede Umgebung oder Gruppe kann eigene Automatisierungsprozesse und ‑einstellungen haben. Für MSSPs mit vielen verschiedenen Kunden kann jede Umgebung oder Gruppe einen separaten Kunden darstellen.

Sie können die Plattformeinstellungen so konfigurieren, dass nur Analysten, die einer bestimmten Umgebung oder Gruppe zugeordnet sind, die zugehörigen Fälle sehen können. Sie können beispielsweise das Playbooks-Modul für mehrere Umgebungen konfigurieren. Das System verwendet die Standardumgebung als Plattformbaseline, wenn Sie keine anderen Umgebungen definiert oder ausgewählt haben. Plattformadministratoren haben Zugriff auf alle aktuellen und zukünftigen Umgebungen und Umgebungsgruppen.

Weitere Informationen zu Umgebungsgruppen finden Sie unter Mit Umgebungen arbeiten.

Berechtigungsgruppen oder IAM-Rollen

In Google SecOps können Sie Nutzergruppen erstellen und verschiedenen Modulen unterschiedliche Berechtigungsstufen zuweisen. Vor der Migration von SOAR zu Google Cloudwerden diese durch Berechtigungsgruppen in den SOAR-Einstellungen gesteuert. Nach Abschluss der SOAR-Migration zu Google Cloudwerden diese durch IAM-Rollen gesteuert.


Berechtigungsgruppen (vor der Migration)

Die Google SecOps-Plattform enthält vordefinierte Berechtigungsgruppen. Sie können bei Bedarf weitere Berechtigungsgruppen hinzufügen. Die vordefinierten Gruppen sind:

  • Admin
  • Einfach
  • Leser
  • Nur lesen
  • Mitbearbeiterinnen und Mitbearbeiter
  • Verwaltet
  • Verwaltet mit erweitertem Zugriff

Berechtigungsgruppen steuern die Zugriffsebene, die jede Gruppe für verschiedene Module und Einstellungen auf der Plattform hat. Sie können Berechtigungen auf detaillierter Ebene festlegen.

Beispiel:
  • Höchste Ebene: Zugriff auf das Modul „Berichte“ für eine bestimmte Berechtigungsgruppe aktivieren.
  • Mittlere Ebene: Zugriff nur zum Ansehen erweiterter Berichte aktivieren.
  • Detaillierte Ebene: Nutzern das Bearbeiten erweiterter Berichte ermöglichen.
Weitere Informationen zu Berechtigungsgruppen finden Sie unter Berechtigungsgruppen verwalten

Identity and Access Management-Rollen (nach der Migration)

Nachdem Sie die SOAR-Migration zu Google Cloudabgeschlossen haben, werden die Berechtigungsgruppen zu IAM-Rollen migriert. Weitere Informationen zum Migrieren von Berechtigungsgruppen zu IAM-Rollen finden Sie unter SOAR-Berechtigungen zu Google Cloud IAM migrieren. Die Google SecOps-Plattform unterstützt vordefinierte IAM-Rollen sowie benutzerdefinierte Rollen, die Sie bei Bedarf hinzufügen können. Die vordefinierten IAM-SOAR-Rollen sind:
Vordefinierte Rolle in IAM Titel Beschreibung
roles/chronicle.admin Chronicle API-Administrator Vollständiger Zugriff auf die Google SecOps-Anwendung und die API-Dienste, einschließlich globaler Einstellungen.
roles/chronicle.editor Chronicle API Editor Zugriff auf die Google SecOps-Anwendung und die API-Ressourcen ändern.
roles/chronicle.viewer Chronicle API-Betrachter Lesezugriff auf die Google SecOps-Anwendung und die API-Ressourcen.
roles/chronicle.limitedViewer Chronicle API Limited Viewer Gewährt Lesezugriff auf die Google SecOps-Anwendung und die API Ressourcen, mit Ausnahme von Regeln der Erkennungs-Engine und RetroHunts.
roles/chronicle.soarAdmin Chronicle SOAR Admin Vollständiger administrativer Zugriff auf SOAR-Einstellungen und ‑Verwaltung.

Aktionen einschränken

Jede Berechtigungsgruppe enthält einen Abschnitt, in dem der Administrator Aktionen auswählen kann, die für diese bestimmte Berechtigungsgruppe eingeschränkt sind. Damit eine eingeschichtete Aktion angewendet wird, muss sie in allen Berechtigungsgruppen ausgewählt sein, die der Nutzergruppe zugewiesen sind. Wenn eine Nutzergruppe mehreren Berechtigungsgruppen zugeordnet ist, die eingeschränkte Aktion aber nur in einer dieser Gruppen zugewiesen ist, wird die Einschränkung nicht erzwungen.

Nutzer zuordnen

Es gibt verschiedene Möglichkeiten, Nutzer zuzuordnen, je nachdem, ob Sie zu migriert sind oder nicht Google Cloud:
  • Vor der SOAR-Migration werden SOC-Rollen, Berechtigungsgruppen und Umgebungen verschiedenen IdP-Gruppen oder E‑Mail-Nutzergruppen zugeordnet, je nachdem, wie Sie sich beim Produkt authentifiziert haben.

  • Nach der SOAR-Migration werden SOC-Rollen und Umgebungen verschiedenen IAM-Rollen zugeordnet.

Weitere Informationen zum Zuordnen von Nutzern auf der Plattform finden Sie im entsprechenden Dokument:

  • Wenn Sie die Authentifizierung über die Mitarbeiteridentitätsföderation eingerichtet haben und sich vor der Migration befinden, ordnen Sie IdP-Gruppen Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer in der Google SecOps-Plattform zuordnen.

  • Wenn Sie die Authentifizierung über Cloud Identity eingerichtet haben und sich vor der Migration befinden, ordnen Sie E‑Mail-Nutzergruppen Berechtigungsgruppen, SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer auf der Plattform mithilfe von Cloud Identity zuordnen.

  • Wenn Sie die Authentifizierung über Cloud Identity eingerichtet haben und sich nach der Migration befinden, ordnen Sie IAM-Rollen SOC-Rollen und Umgebungen zu. Weitere Informationen finden Sie unter Nutzer auf der Plattform mithilfe von Cloud Identity zuordnen.

  • Informationen für Google SecOps SOAR-Standalone-Kunden finden Sie unter Nutzer verwalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten