Mengontrol akses ke platform menggunakan izin SOAR

Didukung di:

Dokumen ini menjelaskan cara kerja tiga mekanisme—peran SOC, lingkungan, dan grup izin—bersama-sama untuk mengontrol akses pengguna ke berbagai bagian platform. Bagian ini juga menjelaskan cara mekanisme ini menentukan siapa yang dapat melihat kasus.

Menetapkan peran SOC

Anda dapat menetapkan hak akses yang berbeda ke peran SOC untuk mengontrol cakupan tanggung jawab setiap grup pengguna di Google Security Operations. Google SecOps menyertakan peran SOC yang telah ditentukan, tetapi Anda juga dapat menambahkan peran kustom.

Peran SOC standar ditentukan sebagai berikut:

  • Tingkat 1: Lakukan triase dasar pada pemberitahuan.
  • Tingkat 2: Tinjau ancaman keamanan prioritas tinggi.
  • Tingkat 3: Menangani insiden berat.
  • SOC Manager: Mengelola tim SOC.
  • CISO: Berfungsi sebagai pengelola tingkat teratas dalam organisasi Anda.
  • Administrator: Mengakses seluruh platform Google SecOps.

Anda dapat menetapkan salah satu peran SOC ini sebagai default, dan sistem akan otomatis menetapkannya ke kasus yang masuk. Setiap peran SOC juga dapat memiliki peran SOC tambahan yang dilampirkan, sehingga pengguna dapat memantau semua kasus yang ditetapkan ke peran tersebut. Misalnya, analis Tingkat 1 dapat melihat kasus yang ditetapkan ke peran Tingkat 1 dan peran tambahan lainnya.

Setelah kasus dibuat, Anda dapat menetapkannya kembali dari peran SOC default ke peran SOC tertentu atau pengguna individual—secara manual atau dengan tindakan otomatis playbook. Menetapkan kasus ke peran SOC memastikan bahwa sekelompok orang mengetahuinya. Saat analis menetapkan sendiri kasus, mereka menunjukkan bahwa mereka sedang menanganinya.

Lingkungan dan grup lingkungan

Anda dapat menentukan berbagai lingkungan dan grup lingkungan untuk membuat pemisahan data yang logis. Pemisahan ini berlaku untuk sebagian besar modul platform, seperti kasus, playbook, penyerapan, dan dasbor. Proses ini berguna bagi bisnis dan Penyedia Layanan Keamanan Terkelola (MSSP) yang perlu menyegmentasikan operasi dan jaringan mereka. Setiap lingkungan atau grup dapat memiliki proses dan setelan otomatisasi yang unik. Untuk MSSP dengan banyak pelanggan yang berbeda, setiap lingkungan atau grup dapat mewakili pelanggan yang terpisah.

Anda dapat mengonfigurasi setelan platform sehingga hanya analis yang terkait dengan lingkungan atau grup tertentu yang dapat melihat kasusnya. Misalnya, Anda dapat mengonfigurasi modul playbook untuk beberapa lingkungan. Sistem menggunakan lingkungan default sebagai dasar platform jika Anda belum menentukan atau memilih lingkungan lain. Administrator platform memiliki akses ke semua lingkungan dan grup lingkungan saat ini dan di masa mendatang.

Menggunakan grup izin standar

Platform Google SecOps menyertakan grup izin bawaan, dan Anda dapat menambahkan grup izin sesuai kebutuhan. Grup standar adalah sebagai berikut:

  • Admin
  • Dasar
  • Pembaca
  • Hanya Lihat
  • Kolaborator
  • Terkelola
  • Terkelola Plus

Grup izin mengontrol tingkat akses setiap grup ke berbagai modul dan setelan di platform. Anda dapat menetapkan izin di tingkat terperinci.

Contoh:
  • Tingkat teratas: Aktifkan akses ke modul Laporan untuk grup izin tertentu.
  • Tingkat menengah: Mengaktifkan akses hanya untuk melihat laporan lanjutan.
  • Tingkat terperinci: Memungkinkan pengguna mengedit laporan lanjutan.

Bekerja dengan peran SOC, lingkungan, dan grup izin

Bagian ini menggunakan contoh bank berukuran sedang dengan cabang di Skotlandia dan Inggris untuk menunjukkan cara kerja peran SOC, lingkungan, dan grup izin secara bersamaan. Tujuannya adalah agar analis Tingkat 1 dapat menyeleksi kasus yang masuk, lalu mengeskalasinya ke Tingkat 2 untuk penyelidikan lebih lanjut jika diperlukan.

Untuk menyiapkan grup izin yang berbeda, ikuti langkah-langkah berikut:

  1. Di halaman Environments, buat dua lingkungan baru bernama Scotland branch dan England branch.
  2. Di halaman Roles, buat dua peran SOC baru: Tier 1 Scotland dan Tier 2 England.
  3. Dalam peran Tier 2 England, tambahkan peran Tier 1 Scotland ke peran tambahan, dan tetapkan Tier 1 sebagai peran default.
  4. Di halaman Permissions, buat dua grup izin baru yang bernama Tier 1 Scotland dan Tier 2 England.
  5. Untuk grup Tier 1 Scotland, nonaktifkan GKE Identity Service (IDE) dan playbook, tetapi berikan hak pengeditan penuh pada modul cases.
  6. Untuk grup Tier 2 England, aktifkan IDE dan playbook dengan hak pengeditan penuh untuk kedua modul.
  7. Petakan pengguna ke peran, lingkungan, dan grup izin baru, berdasarkan produk Anda:
    • Khusus Google SecOps SOAR: Di halaman Pengelolaan Pengguna, buat pengguna baru dan tetapkan lingkungan, peran SOC, dan grup izin yang diperlukan.
    • Google SecOps: Di halaman Pemetaan IdP, buat dua grup Penyedia Identitas (IdP) dan tetapkan lingkungan, peran SOC, dan grup izin yang diperlukan.
    • Security Command Center Enterprise: Di halaman IAM roles, buat dua peran IAM dan tetapkan lingkungan, peran SOC, dan grup izin yang diperlukan.

Setelah Anda menyelesaikan penyiapan ini, saat kasus baru dibuat, analis Tier 1 dapat memilah kasus tersebut dan, jika perlu, menetapkannya kembali ke Tier 2 untuk penyelidikan lebih lanjut atau modifikasi playbook atau tindakan.

Peran SOC, grup izin, dan lingkungan dipetakan ke grup IdP, atau grup pengguna yang berbeda, bergantung pada produknya.

Untuk mengetahui informasi selengkapnya tentang cara memetakan pengguna di platform, lihat dokumen yang berlaku untuk Anda:

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.