Controlar el acceso a la plataforma mediante permisos de SOAR

En este documento se explica cómo funcionan conjuntamente tres mecanismos (roles de SOC, entornos y grupos de permisos) para controlar el acceso de los usuarios a diferentes partes de la plataforma. También se describe cómo determinan estos mecanismos quién puede ver los casos.

Asignar roles de SOC

Puedes asignar diferentes derechos de acceso a los roles de SOC para controlar el ámbito de responsabilidad de cada grupo de usuarios en Google Security Operations. Google SecOps incluye roles de SOC predefinidos, pero también puedes añadir roles personalizados.

Los roles de SOC predefinidos se definen de la siguiente manera:

• Nivel 1: realiza una triaje básico de las alertas.
• Nivel 2: revisa las amenazas de seguridad de alta prioridad.
• Nivel 3: gestiona los incidentes graves.
• Gestor de SOC: gestiona el equipo de SOC.
• CISO actúa como gestor de nivel superior en tu organización.
• Administrador: accede a toda la plataforma de Google SecOps.

Puede definir uno de estos roles de SOC como predeterminado y el sistema lo asignará automáticamente a los casos entrantes. Cada rol de SOC también puede tener roles de SOC adicionales asociados, lo que permite a los usuarios monitorizar todos los casos asignados a esos roles. Por ejemplo, un analista de nivel 1 puede ver los casos asignados a su rol de nivel 1 y a cualquier otro rol.

Una vez creado el caso, puedes reasignarlo del rol de SOC predeterminado a un rol de SOC específico o a un usuario concreto, ya sea de forma manual o con una acción automatizada de una guía. Si asignas un caso a un rol de SOC, te aseguras de que un grupo de personas esté al tanto. Cuando un analista se asigna un caso, indica que se va a encargar de él.

Entornos y grupos del entorno

Puedes definir diferentes entornos y grupos de entornos para crear una segregación lógica de los datos. Esta separación se aplica a la mayoría de los módulos de la plataforma, como los casos, los manuales de procedimientos, la ingesta y los paneles de control. Este proceso es útil para las empresas y los proveedores de servicios de seguridad gestionados (MSSPs) que necesitan segmentar sus operaciones y redes. Cada entorno o grupo puede tener sus propios procesos y ajustes de automatización. En el caso de los proveedores de servicios de seguridad gestionados con muchos clientes diferentes, cada entorno o grupo puede representar a un cliente independiente.

Puede configurar los ajustes de la plataforma para que solo los analistas asociados a un entorno o grupo específico puedan ver sus casos. Por ejemplo, puedes configurar el módulo de guiones para varios entornos. El sistema usa el entorno predeterminado como base de la plataforma cuando no has definido ni seleccionado otros entornos. Los administradores de la plataforma tienen acceso a todos los entornos y grupos de entornos actuales y futuros.

Usar grupos de permisos predefinidos

La plataforma Google SecOps incluye grupos de permisos predefinidos, y puedes añadir grupos de permisos según sea necesario. Los grupos predefinidos son los siguientes:

• Administrador
• Básico
• Readers (Lectores)
• Solo lectura
• Collaborators
• gestionados
• Managed Plus

Los grupos de permisos controlan el nivel de acceso que tiene cada grupo a los diferentes módulos y ajustes de la plataforma. Puedes definir permisos a nivel granular.

• Nivel superior: habilita el acceso al módulo Informes para un grupo de permisos específico.
• Nivel medio: habilita el acceso solo para ver informes avanzados.
• Nivel granular: permite a los usuarios editar informes avanzados.

Trabajar con roles de SOC, entornos y grupos de permisos

En esta sección se usa como ejemplo un banco de tamaño medio con sucursales en Escocia e Inglaterra para mostrar cómo funcionan conjuntamente los roles, los entornos y los grupos de permisos de SOC. El objetivo es que los analistas del nivel 1 clasifiquen los casos entrantes y, si es necesario, los deriven al nivel 2 para que se investiguen más a fondo.

Para configurar diferentes grupos de permisos, sigue estos pasos:

1. En la página Entornos, crea dos entornos llamados Scotland branch y England branch.
2. En la página Roles, crea dos roles de SOC: Tier 1 Scotland y Tier 2 England.
3. En el rol Tier 2 England, añade el rol Tier 1 Scotland a sus roles adicionales y define Tier 1 como rol predeterminado.
4. En la página Permisos, crea dos grupos de permisos llamados Tier 1 Scotland y Tier 2 England.
5. En el grupo Tier 1 Scotland, inhabilita Identity Service for GKE (IDE) y los playbooks, pero concédeles derechos de edición completos en el módulo cases.
6. En el grupo Tier 2 England, habilita el IDE y los cuadernos de estrategias con derechos de edición completos para ambos módulos.
7. Asigna los usuarios a los nuevos roles, entornos y grupos de permisos en función de tu producto:
• Solo Google SecOps SOAR: en la página Gestión de usuarios, crea usuarios y asigna el entorno, el rol de SOC y el grupo de permisos necesarios.
• Google SecOps: en la página Asignación de proveedores de identidades, crea dos grupos de proveedores de identidades y asigna el entorno, el rol de SOC y el grupo de permisos necesarios.
• Security Command Center Enterprise: en la página Roles de gestión de identidades y accesos, crea dos roles de gestión de identidades y accesos y asigna el entorno, el rol de SOC y el grupo de permisos necesarios.

Una vez que hayas completado esta configuración, cuando se cree un nuevo caso, los analistas de Tier 1 podrán clasificarlo y, si es necesario, reasignarlo a Tier 2 para que lo investigue en profundidad o modifique las guías o las acciones.

Los roles de SOC, los grupos de permisos y los entornos se asignan a diferentes grupos de proveedores de identidades o grupos de usuarios, según el producto.

Para obtener más información sobre cómo asignar usuarios en la plataforma, consulta el documento que te corresponda:

• Los clientes de Google SecOps pueden consultar el artículo Mapear usuarios en la plataforma.

• Si eres cliente de SOAR de Google SecOps, consulta Gestionar usuarios.