Controllare l'accesso alla piattaforma utilizzando le autorizzazioni SOAR

Supportato in:

Questo documento spiega come tre meccanismi (ruoli SOC, ambienti e gruppi di autorizzazioni) funzionano insieme per controllare l'accesso degli utenti a diverse parti della piattaforma. Descrive inoltre in che modo questi meccanismi determinano chi può visualizzare le richieste.

Assegnare i ruoli del SOC

Puoi assegnare diritti di accesso diversi ai ruoli SOC per controllare l'ambito di responsabilità per ogni gruppo di utenti in Google Security Operations. Google SecOps include ruoli SOC predefiniti, ma puoi anche aggiungere ruoli personalizzati.

I ruoli SOC predefiniti sono definiti come segue:

  • Livello 1: esegui il triage di base degli avvisi.
  • Livello 2: esamina le minacce alla sicurezza ad alta priorità.
  • Livello 3: gestione di incidenti gravi.
  • Responsabile SOC: gestisci il team SOC.
  • CISO: funge da responsabile di primo livello all'interno dell'organizzazione.
  • Amministratore: accede all'intera piattaforma Google SecOps.

Puoi impostare uno di questi ruoli SOC come predefinito e il sistema lo assegna automaticamente alle richieste in arrivo. A ogni ruolo SOC possono essere associati anche altri ruoli SOC, consentendo agli utenti di monitorare tutti i casi assegnati a questi ruoli. Ad esempio, un analista di Livello 1 può visualizzare le richieste assegnate al suo ruolo di Livello 1 e a eventuali altri ruoli.

Una volta creato un caso, puoi riassegnarlo dal ruolo SOC predefinito a un ruolo SOC specifico o a un singolo utente, manualmente o con un'azione automatica del playbook. L'assegnazione di una richiesta a un ruolo SOC garantisce che un gruppo di persone ne sia a conoscenza. Quando un analista si autoassegna la richiesta, indica che se ne sta occupando.

Ambienti e gruppi di ambienti

Puoi definire ambienti e gruppi di ambienti diversi per creare una separazione logica dei dati. Questa separazione si applica alla maggior parte dei moduli della piattaforma, come casi, playbook, importazione e dashboard. Questo processo è utile per le aziende e i Managed Security Service Provider (MSSP) che devono segmentare le proprie operazioni e reti. Ogni ambiente o gruppo può avere processi e impostazioni di automazione unici. Per i MSSP con molti clienti diversi, ogni ambiente o gruppo può rappresentare un cliente separato.

Puoi configurare le impostazioni della piattaforma in modo che solo gli analisti associati a un ambiente o gruppo specifico possano visualizzare le relative richieste. Ad esempio, puoi configurare il modulo dei playbook per più ambienti. Il sistema utilizza l'ambiente predefinito come base di riferimento della piattaforma quando non hai definito o selezionato altri ambienti. Gli amministratori della piattaforma hanno accesso a tutti gli ambienti e i gruppi di ambienti attuali e futuri.

Utilizzare i gruppi di autorizzazioni predefiniti

La piattaforma Google SecOps include gruppi di autorizzazioni predefiniti e puoi aggiungere gruppi di autorizzazioni in base alle esigenze. I gruppi predefiniti sono i seguenti:

  • Amministratore
  • Di base
  • Lettori
  • Solo visualizzazione
  • Collaborators
  • Gestito
  • Managed-Plus

I gruppi di autorizzazioni controllano il livello di accesso di ciascun gruppo a diversi moduli e impostazioni della piattaforma. Puoi impostare le autorizzazioni a un livello granulare.

Ad esempio:
  • Livello superiore: consente l'accesso al modulo Report per un gruppo di autorizzazioni specifico.
  • Livello intermedio: consente l'accesso solo alla visualizzazione dei report avanzati.
  • Livello granulare: consente agli utenti di modificare i report avanzati.

Utilizzare ruoli SOC, ambienti e gruppi di autorizzazioni

Questa sezione utilizza l'esempio di una banca di medie dimensioni con filiali in Scozia e Inghilterra per mostrare come funzionano insieme ruoli, ambienti e gruppi di autorizzazioni SOC. L'obiettivo è consentire agli analisti di livello 1 di valutare le richieste in arrivo e riassegnarle al livello 2 per ulteriori indagini, se necessario.

Per configurare diversi gruppi di autorizzazioni:

  1. Nella pagina Ambienti, crea due nuovi ambienti denominati Scotland branch e England branch.
  2. Nella pagina Ruoli, crea due nuovi ruoli SOC: Tier 1 Scotland e Tier 2 England.
  3. Nel ruolo Tier 2 England, aggiungi il ruolo Tier 1 Scotland ai ruoli aggiuntivi e imposta Tier 1 come ruolo predefinito.
  4. Nella pagina Autorizzazioni, crea due nuovi gruppi di autorizzazioni denominati Tier 1 Scotland e Tier 2 England.
  5. Per il gruppo Tier 1 Scotland, disabilita GKE Identity Service (IDE) e i playbook, ma concedi diritti di modifica completi sul modulo cases.
  6. Per il gruppo Tier 2 England, attiva IDE e playbook con diritti di modifica completi per entrambi i moduli.
  7. Mappa gli utenti ai nuovi ruoli, ambienti e gruppi di autorizzazioni in base al tuo prodotto:
    • Solo Google SecOps SOAR: nella pagina Gestione utenti, crea nuovi utenti e assegna l'ambiente, il ruolo SOC e il gruppo di autorizzazioni richiesti.
    • Google SecOps: nella pagina Mapping IdP, crea due gruppi di provider di identità (IdP) e assegna l'ambiente, il ruolo SOC e il gruppo di autorizzazioni richiesti.
    • Security Command Center Enterprise: nella pagina Ruoli IAM, crea due ruoli IAM e assegna l'ambiente, il ruolo SOC e il gruppo di autorizzazioni richiesti.

Una volta completata questa configurazione, quando viene creato un nuovo caso, gli analisti di Tier 1 possono assegnare la priorità al caso e, se necessario, riassegnarlo a Tier 2 per un'analisi più approfondita o per la modifica di playbook o azioni.

I ruoli SOC, i gruppi di autorizzazioni e gli ambienti vengono mappati a diversi gruppi IdP o gruppi di utenti, a seconda del prodotto.

Per saperne di più su come mappare gli utenti nella piattaforma, consulta il documento che ti riguarda:

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.