Contrôler l'accès à la plate-forme à l'aide des autorisations SOAR

Compatible avec :

Ce document explique comment trois mécanismes (rôles SOC, environnements et groupes d'autorisations) fonctionnent ensemble pour contrôler l'accès des utilisateurs aux différentes parties de la plate-forme. Il décrit également comment ces mécanismes déterminent qui peut consulter les demandes.

Attribuer des rôles SOC

Vous pouvez attribuer différents droits d'accès aux rôles SOC pour contrôler l'étendue des responsabilités de chaque groupe d'utilisateurs dans Google Security Operations. Google SecOps inclut des rôles SOC prédéfinis, mais vous pouvez également ajouter des rôles personnalisés.

Les rôles SOC prédéfinis sont définis comme suit :

  • Niveau 1 : effectuez un tri de base des alertes.
  • Niveau 2 : examinez les menaces de sécurité à haute priorité.
  • Niveau 3 : Gérer les incidents majeurs.
  • Responsable SOC : gère l'équipe SOC.
  • CISO : agissez en tant que responsable de premier niveau au sein de votre organisation.
  • Administrateur : accédez à l'intégralité de la plate-forme Google SecOps.

Vous pouvez définir l'un de ces rôles SOC comme rôle par défaut. Le système l'attribue automatiquement aux nouvelles demandes. Chaque rôle SOC peut également être associé à d'autres rôles SOC, ce qui permet aux utilisateurs de surveiller toutes les demandes attribuées à ces rôles. Par exemple, un analyste de niveau 1 peut voir les demandes attribuées à son rôle de niveau 1 et à tout autre rôle.

Une fois une demande créée, vous pouvez la réattribuer du rôle SOC par défaut à un rôle SOC spécifique ou à un utilisateur individuel, manuellement ou à l'aide d'une action automatisée de playbook. Attribuer une demande à un rôle SOC permet de s'assurer qu'un groupe de personnes en est informé. Lorsqu'un analyste s'attribue lui-même la demande, il indique qu'il s'en occupe.

Environnements et groupes d'environnements

Vous pouvez définir différents environnements et groupes d'environnements pour créer une ségrégation logique des données. Cette séparation s'applique à la plupart des modules de la plate-forme, tels que les requêtes, les playbooks, l'ingestion et les tableaux de bord. Ce processus est utile pour les entreprises et les fournisseurs de services de sécurité gérés (MSSP) qui doivent segmenter leurs opérations et leurs réseaux. Chaque environnement ou groupe peut avoir ses propres processus et paramètres d'automatisation. Pour les MSSP ayant de nombreux clients différents, chaque environnement ou groupe peut représenter un client distinct.

Vous pouvez configurer les paramètres de la plate-forme de sorte que seuls les analystes associés à un environnement ou un groupe spécifique puissent voir ses demandes. Par exemple, vous pouvez configurer le module "Playbooks" pour plusieurs environnements. Le système utilise l'environnement par défaut comme référence de plate-forme lorsque vous n'avez pas défini ni sélectionné d'autres environnements. Les administrateurs de plate-forme ont accès à tous les environnements et groupes d'environnements actuels et futurs.

Utiliser des groupes d'autorisations prédéfinis

La plate-forme Google SecOps inclut des groupes d'autorisations prédéfinis. Vous pouvez ajouter des groupes d'autorisations selon vos besoins. Voici les groupes prédéfinis :

  • Administrateur
  • De base
  • Lecteurs
  • Lecture seule
  • Collaborateurs
  • Géré
  • Managed-Plus

Les groupes d'autorisations contrôlent le niveau d'accès de chaque groupe aux différents modules et paramètres de la plate-forme. Vous pouvez définir des autorisations précises.

Exemple :
  • Niveau supérieur : permet d'accéder au module "Rapports" pour un groupe d'autorisations spécifique.
  • Niveau intermédiaire : permet d'accéder uniquement aux rapports avancés.
  • Niveau précis : permet aux utilisateurs de modifier les rapports avancés.

Utiliser les rôles SOC, les environnements et les groupes d'autorisations

Cette section utilise l'exemple d'une banque de taille moyenne avec des agences en Écosse et en Angleterre pour montrer comment les rôles SOC, les environnements et les groupes d'autorisations fonctionnent ensemble. L'objectif est de permettre aux analystes de niveau 1 de trier les demandes entrantes, puis de les escalader au niveau 2 pour une enquête plus approfondie si nécessaire.

Pour configurer différents groupes d'autorisations, procédez comme suit :

  1. Sur la page Environnements, créez deux environnements nommés Scotland branch et England branch.
  2. Sur la page Rôles, créez deux rôles SOC : Tier 1 Scotland et Tier 2 England.
  3. Dans le rôle Tier 2 England, ajoutez le rôle Tier 1 Scotland à ses rôles supplémentaires et définissez Tier 1 comme rôle par défaut.
  4. Sur la page Autorisations, créez deux groupes d'autorisations nommés Tier 1 Scotland et Tier 2 England.
  5. Pour le groupe Tier 1 Scotland, désactivez GKE Identity Service (IDE) et les playbooks, mais accordez-leur des droits d'édition complets sur le module cases.
  6. Pour le groupe Tier 2 England, activez l'IDE et les playbooks avec des droits de modification complets pour les deux modules.
  7. Mappez les utilisateurs aux nouveaux rôles, environnements et groupes d'autorisations, en fonction de votre produit :
    • Google SecOps SOAR uniquement : sur la page Gestion des utilisateurs, créez des utilisateurs et attribuez-leur l'environnement, le rôle SOC et le groupe d'autorisations requis.
    • Google SecOps : sur la page Mappage IdP, créez deux groupes de fournisseurs d'identité (IdP) et attribuez-leur l'environnement, le rôle SOC et le groupe d'autorisations requis.
    • Security Command Center Enterprise : sur la page Rôles IAM, créez deux rôles IAM et attribuez-leur l'environnement, le rôle SOC et le groupe d'autorisations requis.

Une fois cette configuration terminée, lorsqu'une nouvelle demande est créée, les analystes Tier 1 peuvent la trier et, si nécessaire, la réattribuer à Tier 2 pour une analyse plus approfondie ou pour modifier des playbooks ou des actions.

Les rôles, les groupes d'autorisations et les environnements SOC sont mappés à différents groupes IdP ou groupes d'utilisateurs, selon le produit.

Pour savoir comment mapper les utilisateurs dans la plate-forme, consultez le document qui vous concerne :

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.