Controla el acceso a la plataforma con permisos de SOAR

En este documento, se explica cómo tres mecanismos (roles de SOC, entornos y grupos de permisos) funcionan en conjunto para controlar el acceso de los usuarios a diferentes partes de la plataforma. También se describe cómo estos mecanismos determinan quién puede ver los casos.

Asigna roles del SOC

Puedes asignar diferentes derechos de acceso a los roles de SOC para controlar el alcance de la responsabilidad de cada grupo de usuarios en Google Security Operations. Google SecOps incluye roles de SOC predefinidos, pero también puedes agregar roles personalizados.

Los roles de SOC predefinidos se definen de la siguiente manera:

• Nivel 1: Realiza una evaluación básica de las alertas.
• Nivel 2: Revisar las amenazas de seguridad de alta prioridad
• Nivel 3: Se encarga de los incidentes graves.
• Administrador del SOC: Administra el equipo del SOC.
• CISO: Actúa como administrador de nivel superior dentro de tu organización.
• Administrador: Accede a toda la plataforma de Google SecOps.

Puedes establecer uno de estos roles del SOC como predeterminado, y el sistema lo asignará automáticamente a los casos entrantes. Cada rol del SOC también puede tener roles adicionales adjuntos, lo que permite a los usuarios supervisar todos los casos asignados a esos roles. Por ejemplo, un analista de nivel 1 puede ver los casos asignados a su rol de nivel 1 y a cualquier otro rol adicional.

Después de crear un caso, puedes reasignarlo del rol de SOC predeterminado a un rol de SOC específico o a un usuario individual, ya sea de forma manual o con una acción automatizada de la guía. Asignar un caso a un rol del SOC garantiza que un grupo de personas esté al tanto de él. Cuando un analista se asigna el caso, indica que se encargará de él.

Entornos y grupos de entornos

Puedes definir diferentes entornos y grupos de entornos para crear una segregación lógica de los datos. Esta separación se aplica a la mayoría de los módulos de la plataforma, como los casos, los manuales, la transferencia y los paneles. Este proceso es útil para las empresas y los proveedores de servicios de seguridad administrados (MSSP) que necesitan segmentar sus operaciones y redes. Cada entorno o grupo puede tener sus propios procesos y parámetros de configuración de automatización únicos. En el caso de los MSSP con muchos clientes diferentes, cada entorno o grupo puede representar a un cliente independiente.

Puedes configurar los parámetros de la plataforma para que solo los analistas asociados con un entorno o grupo específico puedan ver sus casos. Por ejemplo, puedes configurar el módulo de Playbooks para varios entornos. El sistema usa el entorno predeterminado como referencia de la plataforma cuando no definiste ni seleccionaste otros entornos. Los administradores de la plataforma tienen acceso a todos los entornos y grupos de entornos actuales y futuros.

Usa grupos de permisos predefinidos

La plataforma de SecOps de Google incluye grupos de permisos predefinidos, y puedes agregar grupos de permisos según sea necesario. Los grupos predefinidos son los siguientes:

• Administrador
• Básico
• Lectores
• Solo lectura
• Colaboradores
• Administrado
• Administrado Plus

Los grupos de permisos controlan el nivel de acceso que tiene cada grupo a los diferentes módulos y parámetros de configuración de la plataforma. Puedes establecer permisos a un nivel detallado.

• Nivel superior: Habilita el acceso al módulo Informes para un grupo de permisos específico.
• Nivel medio: Habilita el acceso solo para ver informes avanzados.
• Nivel detallado: Permite a los usuarios editar informes avanzados.

Trabaja con roles, entornos y grupos de permisos del SOC

En esta sección, se usa el ejemplo de un banco de tamaño mediano con sucursales en Escocia e Inglaterra para mostrar cómo funcionan en conjunto los roles, los entornos y los grupos de permisos del SOC. El objetivo es permitir que los analistas de nivel 1 clasifiquen los casos entrantes y, luego, los deriven al nivel 2 para una investigación más profunda cuando sea necesario.

Para configurar diferentes grupos de permisos, sigue estos pasos:

1. En la página Entornos, crea dos entornos nuevos llamados Scotland branch y England branch.
2. En la página Roles, crea dos roles nuevos de SOC: Tier 1 Scotland y Tier 2 England.
3. En el rol Tier 2 England, agrega el rol Tier 1 Scotland a sus roles adicionales y establece Tier 1 como el rol predeterminado.
4. En la página Permissions, crea dos grupos de permisos nuevos llamados Tier 1 Scotland y Tier 2 England.
5. Para el grupo Tier 1 Scotland, inhabilita Identity Service para GKE (IDE) y los playbooks, pero otórgales derechos de edición completos en el módulo cases.
6. Para el grupo Tier 2 England, habilita el IDE y los libros de jugadas con derechos de edición completos para ambos módulos.
7. Asigna usuarios a los nuevos roles, entornos y grupos de permisos según tu producto:
• Solo para Google SecOps SOAR: En la página Administración de usuarios, crea usuarios nuevos y asígnales el entorno, el rol de SOC y el grupo de permisos requeridos.
• Google SecOps: En la página IdP Mapping, crea dos grupos de proveedores de identidad (IdP) y asigna el entorno, el rol de SOC y el grupo de permisos requeridos.
• Security Command Center Enterprise: En la página Roles de IAM, crea dos roles de IAM y asigna el entorno, el rol de SOC y el grupo de permisos requeridos.

Después de completar esta configuración, cuando se cree un caso nuevo, los analistas de Tier 1 podrán priorizarlo y, si es necesario, reasignarlo a Tier 2 para que se realice una investigación más profunda o se modifiquen los manuales o las acciones.

Los roles, los grupos de permisos y los entornos de SOC se asignan a diferentes grupos de IdP o grupos de usuarios, según el producto.

Para obtener más información sobre cómo asignar usuarios en la plataforma, consulta el documento que se aplica a tu caso:

• Si eres cliente de SecOps de Google, consulta Cómo asignar usuarios en la plataforma.

• Si eres cliente de SOAR de Google SecOps, consulta Administra usuarios.