このページは Cloud Translation API によって翻訳されました。

SOAR 権限を使用してプラットフォームへのアクセスを制御する

以下でサポートされています。

Google SecOps SOAR

このドキュメントでは、SOC ロール、環境、権限グループという 3 つのメカニズムが連携して、プラットフォームのさまざまな部分に対するユーザーアクセスを制御する方法について説明します。また、これらのメカニズムによってケースを表示できるユーザーがどのように決定されるかについても説明します。

SOC ロールを割り当てる

SOC ロールにさまざまなアクセス権を割り当てて、Google Security Operations の各ユーザーグループの責任範囲を制御できます。Google SecOps には事前定義された SOC ロールが含まれていますが、カスタムロールを追加することもできます。

事前定義の SOC ロールは次のように定義されています。

Tier 1: アラートの基本的なトリアージを行います。
Tier 2: 優先度の高いセキュリティ上の脅威を確認します。
Tier 3: 重大なインシデントに対応します。
SOC マネージャー: SOC チームを管理します。
CISO: 組織内の最上位の管理者として機能します。
管理者: Google SecOps プラットフォーム全体にアクセスできます。

これらの SOC ロールのいずれかをデフォルトとして設定すると、システムが受信したケースに自動的に割り当てられます。各 SOC ロールに他の SOC ロールを関連付けることもできます。これにより、ユーザーはこれらのロールに割り当てられたすべてのケースをモニタリングできます。たとえば、Tier 1 アナリストは、Tier 1 ロールと追加ロールに割り当てられたケースを確認できます。

ケースを作成した後、デフォルトの SOC ロールから特定の SOC ロールまたは個々のユーザーに、手動またはハンドブックの自動アクションで再割り当てできます。ケースを SOC ロールに割り当てると、そのグループのメンバーにケースが通知されます。アナリストがケースを自己割り当てすると、そのアナリストがケースを処理していることが示されます。

環境と環境グループ

さまざまな環境と環境グループを定義して、論理的なデータ分離を作成できます。この分離は、ケース、プレイブック、取り込み、ダッシュボードなど、ほとんどのプラットフォームモジュールに適用されます。このプロセスは、オペレーションとネットワークをセグメント化する必要がある企業やマネージドセキュリティサービスプロバイダ（MSSP）に役立ちます。各環境またはグループには、独自の自動化プロセスと設定を設定できます。さまざまな顧客を抱える MSSP の場合、環境またはグループごとに個別の顧客を表すことができます。

特定の環境またはグループに関連付けられたアナリストのみがケースを表示できるように、プラットフォーム設定を構成できます。たとえば、複数の環境に対してプレイブックモジュールを構成できます。他の環境を定義または選択していない場合、システムはデフォルトの環境をプラットフォームのベースラインとして使用します。プラットフォーム管理者は、現在および将来のすべての環境と環境グループにアクセスできます。

事前定義された権限グループを使用する

Google SecOps プラットフォームには事前定義された権限グループが含まれており、必要に応じて権限グループを追加できます。事前定義されたグループは次のとおりです。

管理者
基本
リーダー
閲覧専用
共同編集者
管理対象
管理対象プラス

権限グループは、プラットフォームのさまざまなモジュールや設定に対する各グループのアクセスレベルを制御します。権限をきめ細かいレベルで設定できます。

例:

最上位: 特定の権限グループに対してレポートモジュールへのアクセスを有効にします。
中レベル: 詳細レポートの閲覧のみを許可します。
詳細レベル: ユーザーが高度なレポートを編集できるようにします。

SOC ロール、環境、権限グループを操作する

このセクションでは、スコットランドとイングランドに支店を持つ中規模の銀行の例を使用して、SOC のロール、環境、権限グループが連携して機能する仕組みについて説明します。目標は、Tier 1 アナリストが受信したケースをトリアージし、必要に応じて Tier 2 にエスカレーションして詳細な調査を行うことです。

異なる権限グループを設定する手順は次のとおりです。

[環境] ページで、Scotland branch と England branch という名前の 2 つの新しい環境を作成します。
[ロール] ページで、Tier 1 Scotland と Tier 2 England の 2 つの新しい SOC ロールを作成します。
Tier 2 England ロールで、Tier 1 Scotland ロールを追加ロールに追加し、Tier 1 をデフォルトのロールとして設定します。
[権限] ページで、Tier 1 Scotland と Tier 2 England という名前の 2 つの新しい権限グループを作成します。
Tier 1 Scotland グループでは、GKE Identity Service（IDE）とプレイブックを無効にしますが、cases モジュールの完全な編集権限を付与します。
Tier 2 England グループでは、両方のモジュールの完全な編集権限を持つ IDE とプレイブックを有効にします。
プロダクトに応じて、ユーザーを新しいロール、環境、権限グループにマッピングします。

Google SecOps SOAR のみ: [ユーザー管理] ページで、新しいユーザーを作成し、必要な環境、SOC ロール、権限グループを割り当てます。
Google SecOps: [IdP Mapping] ページで、2 つの ID プロバイダ（IdP）グループを作成し、必要な環境、SOC ロール、権限グループを割り当てます。
Security Command Center Enterprise: [IAM ロール] ページで、2 つの IAM ロールを作成し、必要な環境、SOC ロール、権限グループを割り当てます。

この設定が完了すると、新しいケースが作成されたときに、Tier 1 アナリストがケースをトリアージし、必要に応じて Tier 2 に再割り当てして、より詳細な調査やプレイブックまたはアクションの変更を行うことができます。

SOC ロール、権限グループ、環境は、プロダクトに応じて異なる IdP グループまたはユーザーグループにマッピングされます。

プラットフォームでユーザーをマッピングする方法について詳しくは、該当するドキュメントをご覧ください。

Google SecOps のお客様は、プラットフォームでユーザーをマッピングするをご覧ください。
Google SecOps SOAR のお客様は、ユーザーを管理するをご覧ください。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。