Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf die Plattform mit SOAR-Berechtigungen steuern

Unterstützt in:

Google SecOps SOAR

In diesem Dokument wird beschrieben, wie drei Mechanismen – SOC-Rollen, Umgebungen und Berechtigungsgruppen – zusammenarbeiten, um den Nutzerzugriff auf verschiedene Teile der Plattform zu steuern. Außerdem wird beschrieben, wie diese Mechanismen festlegen, wer Supportanfragen sehen kann.

SOC-Rollen zuweisen

Sie können SOC-Rollen unterschiedliche Zugriffsrechte zuweisen, um den Verantwortungsbereich für jede Nutzergruppe in Google Security Operations zu steuern. Google SecOps umfasst vordefinierte SOC-Rollen, Sie können aber auch benutzerdefinierte Rollen hinzufügen.

Die vordefinierten SOC-Rollen sind so definiert:

Tier 1: Führen Sie eine grundlegende Triage der Benachrichtigungen durch.
Tier 2: Sicherheitsbedrohungen mit hoher Priorität überprüfen.
Tier 3: Schwere Vorfälle bearbeiten.
SOC-Manager: Verwalten Sie das SOC-Team.
CISO: Fungieren Sie als Manager auf höchster Ebene in Ihrer Organisation.
Administrator: Zugriff auf die gesamte Google SecOps-Plattform.

Sie können eine dieser SOC-Rollen als Standard festlegen. Das System weist sie dann automatisch eingehenden Fällen zu. Jeder SOC-Rolle können auch zusätzliche SOC-Rollen zugewiesen werden, sodass Nutzer alle Fälle im Blick behalten können, die diesen Rollen zugewiesen sind. Ein Analyst von Tier 1 kann beispielsweise Fälle sehen, die seiner Tier 1-Rolle und allen zusätzlichen Rollen zugewiesen sind.

Nachdem ein Fall erstellt wurde, können Sie ihn manuell oder mit einer automatisierten Playbook-Aktion von der Standard-SOC-Rolle einer bestimmten SOC-Rolle oder einem einzelnen Nutzer zuweisen. Wenn Sie einem Fall eine SOC-Rolle zuweisen, wird eine Gruppe von Personen darüber informiert. Wenn ein Analyst sich den Fall selbst zuweist, gibt er an, dass er ihn bearbeitet.

Umgebungen und Umgebungsgruppen

Sie können verschiedene Umgebungen und Umgebungsgruppen definieren, um eine logische Datentrennung zu erreichen. Diese Trennung gilt für die meisten Plattformmodule, z. B. für Fälle, Playbooks, die Aufnahme und Dashboards. Dieser Prozess ist nützlich für Unternehmen und Managed Security Service Providers (MSSPs), die ihre Abläufe und Netzwerke segmentieren müssen. Jede Umgebung oder Gruppe kann eigene Automatisierungsprozesse und ‑einstellungen haben. Bei MSSPs mit vielen verschiedenen Kunden kann jede Umgebung oder Gruppe einen separaten Kunden darstellen.

Sie können Plattform-Einstellungen so konfigurieren, dass nur Analysten, die einer bestimmten Umgebung oder Gruppe zugeordnet sind, die zugehörigen Anfragen sehen können. Sie können das Playbooks-Modul beispielsweise für mehrere Umgebungen konfigurieren. Das System verwendet die Standardumgebung als Plattform-Baseline, wenn Sie keine anderen Umgebungen definiert oder ausgewählt haben. Plattformadministratoren haben Zugriff auf alle aktuellen und zukünftigen Umgebungen und Umgebungsgruppen.

Vordefinierte Berechtigungsgruppen verwenden

Die Google SecOps-Plattform umfasst vordefinierte Berechtigungsgruppen. Sie können bei Bedarf weitere Berechtigungsgruppen hinzufügen. Die vordefinierten Gruppen sind:

Admin
Einfach
Leser
Nur lesen
Mitbearbeiterinnen und Mitbearbeiter
Verwaltet
Verwaltet mit erweitertem Zugriff

Mit Berechtigungsgruppen wird der Zugriff der einzelnen Gruppen auf verschiedene Module und Einstellungen auf der Plattform gesteuert. Sie können Berechtigungen auf detaillierter Ebene festlegen.

Beispiel:

Oberste Ebene: Ermöglichen Sie den Zugriff auf das Modul „Berichte“ für eine bestimmte Berechtigungsgruppe.
Mittlere Ebene: Ermöglicht den Zugriff nur zum Aufrufen erweiterter Berichte.
Detaillierte Ebene: Nutzer können erweiterte Berichte bearbeiten.

Mit SOC-Rollen, ‑Umgebungen und ‑Berechtigungsgruppen arbeiten

In diesem Abschnitt wird anhand eines Beispiels einer mittelgroßen Bank mit Filialen in Schottland und England gezeigt, wie SOC-Rollen, Umgebungen und Berechtigungsgruppen zusammenarbeiten. Ziel ist es, dass Tier 1-Analysten eingehende Fälle priorisieren und sie bei Bedarf an Tier 2 eskalieren, damit sie dort genauer untersucht werden können.

So richten Sie verschiedene Berechtigungsgruppen ein:

Erstellen Sie auf der Seite Umgebungen zwei neue Umgebungen mit den Namen Scotland branch und England branch.
Erstellen Sie auf der Seite Rollen zwei neue SOC-Rollen: Tier 1 Scotland und Tier 2 England.
Fügen Sie der Rolle Tier 2 England die Rolle Tier 1 Scotland als zusätzliche Rolle hinzu und legen Sie Tier 1 als Standardrolle fest.
Erstellen Sie auf der Seite Berechtigungen zwei neue Berechtigungsgruppen mit den Namen Tier 1 Scotland und Tier 2 England.
Deaktivieren Sie für die Gruppe Tier 1 Scotland GKE Identity Service (IDE) und Playbooks, gewähren Sie ihr aber vollständige Bearbeitungsrechte für das Modul cases.
Aktivieren Sie für die Gruppe Tier 2 England IDE und Playbooks mit vollständigen Bearbeitungsrechten für beide Module.
Weisen Sie Nutzer den neuen Rollen, Umgebungen und Berechtigungsgruppen zu. Das hängt von Ihrem Produkt ab:

Nur Google SecOps SOAR: Erstellen Sie auf der Seite Nutzerverwaltung neue Nutzer und weisen Sie ihnen die erforderliche Umgebung, SOC-Rolle und Berechtigungsgruppe zu.
Google SecOps: Erstellen Sie auf der Seite IdP Mapping (IdP-Zuordnung) zwei Identitätsanbietergruppen (IdPs) und weisen Sie die erforderliche Umgebung, SOC-Rolle und Berechtigungsgruppe zu.
Security Command Center Enterprise: Erstellen Sie auf der Seite IAM-Rollen zwei IAM-Rollen und weisen Sie die erforderliche Umgebung, SOC-Rolle und Berechtigungsgruppe zu.

Nachdem Sie diese Einrichtung abgeschlossen haben, können Tier 1-Analysten neu erstellte Fälle priorisieren und sie bei Bedarf zur weiteren Untersuchung oder zur Änderung von Playbooks oder Aktionen an Tier 2 weiterleiten.

SOC-Rollen, Berechtigungsgruppen und Umgebungen werden je nach Produkt unterschiedlichen IdP-Gruppen oder Nutzergruppen zugeordnet.

Weitere Informationen zum Zuordnen von Nutzern in der Plattform finden Sie im entsprechenden Dokument:

Google SecOps-Kunden finden weitere Informationen unter Nutzer in der Plattform zuordnen.
Google SecOps SOAR-Kunden finden weitere Informationen unter Nutzer verwalten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten