SOAR 권한을 사용하여 플랫폼 액세스 제어

다음에서 지원:

이 문서에서는 SOC 역할, 환경, 권한 그룹이라는 세 가지 메커니즘이 플랫폼의 여러 부분에 대한 사용자 액세스를 제어하기 위해 어떻게 함께 작동하는지 설명합니다. 또한 이러한 메커니즘이 케이스를 볼 수 있는 사용자를 결정하는 방법도 설명합니다.

SOC 역할 할당

SOC 역할에 서로 다른 액세스 권한을 할당하여 Google Security Operations의 각 사용자 그룹의 책임 범위를 관리할 수 있습니다. Google SecOps에는 사전 정의된 SOC 역할이 포함되어 있지만 맞춤 역할을 추가할 수도 있습니다.

사전 정의된 SOC 역할은 다음과 같이 정의됩니다.

  • Tier 1: 알림에 대한 기본 트리아지를 실행합니다.
  • Tier 2: 우선순위가 높은 보안 위협을 검토합니다.
  • Tier 3: 주요 인시던트 처리
  • SOC 관리자: SOC 팀을 관리합니다.
  • CISO: 조직 내 최고 관리자 역할을 합니다.
  • 관리자: 전체 Google SecOps 플랫폼에 액세스합니다.

이러한 SOC 역할 중 하나를 기본값으로 설정하면 시스템에서 수신되는 케이스에 자동으로 할당합니다. 각 SOC 역할에는 추가 SOC 역할이 연결될 수도 있으므로 사용자는 해당 역할에 할당된 모든 케이스를 모니터링할 수 있습니다. 예를 들어 Tier 1 분석가는 Tier 1 역할과 추가 역할에 할당된 케이스를 볼 수 있습니다.

케이스가 생성된 후 기본 SOC 역할에서 특정 SOC 역할 또는 개별 사용자에게 케이스를 재할당할 수 있습니다(수동으로 또는 플레이북 자동 작업을 통해). SOC 역할에 케이스를 할당하면 여러 사용자가 케이스를 인식할 수 있습니다. 분석사가 케이스를 자체 할당하면 케이스를 처리하고 있음을 나타냅니다.

환경 및 환경 그룹

다양한 환경과 환경 그룹을 정의하여 논리적 데이터 분리를 만들 수 있습니다. 이 분리는 케이스, 플레이북, 인제스트, 대시보드와 같은 대부분의 플랫폼 모듈에 적용됩니다. 이 프로세스는 운영 및 네트워크를 세분화해야 하는 비즈니스 및 관리 보안 서비스 제공업체(MSSP)에 유용합니다. 각 환경 또는 그룹에는 고유한 자동화 프로세스와 설정이 있을 수 있습니다. 다양한 고객을 보유한 MSSP의 경우 각 환경 또는 그룹이 별도의 고객을 나타낼 수 있습니다.

특정 환경 또는 그룹과 연결된 분석가만 케이스를 볼 수 있도록 플랫폼 설정을 구성할 수 있습니다. 예를 들어 여러 환경에 대해 플레이북 모듈을 구성할 수 있습니다. 다른 환경을 정의하거나 선택하지 않은 경우 시스템은 기본 환경을 플랫폼 기준선으로 사용합니다. 플랫폼 관리자는 현재 및 향후 환경과 환경 그룹에 모두 액세스할 수 있습니다.

사전 정의된 권한 그룹 사용

Google SecOps 플랫폼에는 사전 정의된 권한 그룹이 포함되어 있으며 필요에 따라 권한 그룹을 추가할 수 있습니다. 사전 정의된 그룹은 다음과 같습니다.

  • 관리자
  • 기본
  • 리더
  • 보기만 가능
  • 공동작업자
  • 관리됨
  • 관리 플러스

권한 그룹은 각 그룹이 플랫폼의 다양한 모듈 및 설정에 액세스할 수 있는 수준을 제어합니다. 세부적인 수준에서 권한을 설정할 수 있습니다.

예를 들면 다음과 같습니다.
  • 최상위 수준: 특정 권한 그룹에 대해 보고서 모듈에 대한 액세스를 사용 설정합니다.
  • 중간 수준: 고급 보고서를 볼 수 있는 액세스 권한만 사용 설정합니다.
  • 세부 수준: 사용자가 고급 보고서를 수정할 수 있습니다.

SOC 역할, 환경, 권한 그룹 작업

이 섹션에서는 스코틀랜드와 잉글랜드에 지점이 있는 중형 은행의 예를 사용하여 SOC 역할, 환경, 권한 그룹이 함께 작동하는 방식을 보여줍니다. 목표는 Tier 1 분석가가 수신되는 케이스를 분류한 다음 필요한 경우 Tier 2로 에스컬레이션하여 심층 조사를 진행할 수 있도록 하는 것입니다.

다른 권한 그룹을 설정하려면 다음 단계를 따르세요.

  1. 환경 페이지에서 Scotland branchEngland branch라는 새 환경 두 개를 만듭니다.
  2. 역할 페이지에서 Tier 1 ScotlandTier 2 England의 두 가지 새로운 SOC 역할을 만듭니다.
  3. Tier 2 England 역할에서 Tier 1 Scotland 역할을 추가 역할에 추가하고 Tier 1을 기본 역할로 설정합니다.
  4. 권한 페이지에서 Tier 1 ScotlandTier 2 England라는 두 개의 새 권한 그룹을 만듭니다.
  5. Tier 1 Scotland 그룹의 경우 GKE Identity Service (IDE) 및 플레이북을 사용 중지하되 cases 모듈에 대한 전체 수정 권한을 부여합니다.
  6. Tier 2 England 그룹의 경우 두 모듈 모두에 대한 전체 수정 권한으로 IDE와 플레이북을 사용 설정합니다.
  7. 제품에 따라 사용자를 새 역할, 환경, 권한 그룹에 매핑합니다.
    • Google SecOps SOAR만 해당: 사용자 관리 페이지에서 새 사용자를 만들고 필요한 환경, SOC 역할, 권한 그룹을 할당합니다.
    • Google SecOps: IdP 매핑 페이지에서 ID 공급업체 (IdP) 그룹을 두 개 만들고 필요한 환경, SOC 역할, 권한 그룹을 할당합니다.
    • Security Command Center Enterprise: IAM 역할 페이지에서 IAM 역할을 두 개 만들고 필요한 환경, SOC 역할, 권한 그룹을 할당합니다.

이 설정을 완료하면 새 케이스가 생성될 때 Tier 1 분석가가 케이스를 분류하고 필요한 경우 Tier 2에 재할당하여 심층적인 조사를 진행하거나 플레이북 또는 작업을 수정할 수 있습니다.

SOC 역할, 권한 그룹, 환경은 제품에 따라 다른 IdP 그룹 또는 사용자 그룹에 매핑됩니다.

플랫폼에서 사용자를 매핑하는 방법에 관한 자세한 내용은 다음 문서를 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.