Controle o acesso à plataforma através de autorizações SOAR

Compatível com:

Este documento explica como três mecanismos (funções do SOC, ambientes e grupos de autorizações) funcionam em conjunto para controlar o acesso dos utilizadores a diferentes partes da plataforma. Também descreve como estes mecanismos determinam quem pode ver os registos.

Atribua funções do SOC

Pode atribuir diferentes direitos de acesso às funções do SOC para controlar o âmbito de responsabilidade de cada grupo de utilizadores no Google Security Operations. O Google SecOps inclui funções de SOC predefinidas, mas também pode adicionar funções personalizadas.

As funções de SOC predefinidas são definidas da seguinte forma:

  • Nível 1: realize a triagem básica dos alertas.
  • Nível 2: reveja ameaças de segurança de alta prioridade.
  • Nível 3: lide com incidentes graves.
  • Gestor do SOC: faça a gestão da equipa do SOC.
  • CISO: serve como gestor de nível superior na sua organização.
  • Administrador: aceder a toda a plataforma Google SecOps.

Pode definir uma destas funções do SOC como predefinição, e o sistema atribui-a automaticamente aos registos recebidos. Cada função do SOC também pode ter funções do SOC adicionais anexadas, o que permite aos utilizadores monitorizar todos os registos atribuídos a essas funções. Por exemplo, um analista de Nível 1 pode ver os registos atribuídos à sua função de Nível 1 e a quaisquer funções adicionais.

Depois de criar um registo, pode reatribuí-lo da função de SOC predefinida para uma função de SOC específica ou um utilizador individual, de forma manual ou com uma ação automatizada de um manual de procedimentos. A atribuição de um registo a uma função do SOC garante que um grupo de pessoas tem conhecimento do mesmo. Quando um analista atribui o registo a si próprio, indica que está a tratá-lo.

Ambientes e grupos de ambientes

Pode definir diferentes ambientes e grupos de ambientes para criar uma segregação lógica de dados. Esta separação aplica-se à maioria dos módulos da plataforma, como registos, manuais de procedimentos, carregamento e painéis de controlo. Este processo é útil para empresas e fornecedores de serviços de segurança geridos (MSSPs) que precisam de segmentar as respetivas operações e redes. Cada ambiente ou grupo pode ter os seus próprios processos e definições de automatização únicos. Para MSSPs com muitos clientes diferentes, cada ambiente ou grupo pode representar um cliente separado.

Pode configurar as definições da plataforma para que apenas os analistas associados a um ambiente ou grupo específico possam ver os respetivos registos. Por exemplo, pode configurar o módulo de manuais de soluções para vários ambientes. O sistema usa o ambiente predefinido como base da plataforma quando não definiu nem selecionou outros ambientes. Os administradores da plataforma têm acesso a todos os ambientes atuais e futuros, bem como a todos os grupos de ambientes.

Use grupos de autorizações predefinidos

A plataforma Google SecOps inclui grupos de autorizações predefinidos e pode adicionar grupos de autorizações, conforme necessário. Os grupos predefinidos são os seguintes:

  • Administrador
  • Básico
  • Leitores
  • Apenas visualização
  • Colaboradores
  • Gerido
  • Gerido-Plus

Os grupos de autorizações controlam o nível de acesso que cada grupo tem a diferentes módulos e definições na plataforma. Pode definir autorizações a um nível detalhado.

Por exemplo:
  • Nível superior: ative o acesso ao módulo Relatórios para um grupo de autorizações específico.
  • Nível intermédio: ative o acesso apenas para ver relatórios avançados.
  • Nível detalhado: permite que os utilizadores editem relatórios avançados.

Trabalhe com funções, ambientes e grupos de autorizações do SOC

Esta secção usa um exemplo de um banco de dimensão média com sucursais na Escócia e em Inglaterra para mostrar como as funções, os ambientes e os grupos de autorizações do SOC funcionam em conjunto. O objetivo é permitir que os analistas de Nível 1 triem os registos recebidos e, em seguida, os encaminhem para o Nível 2 para uma investigação mais detalhada quando necessário.

Para configurar diferentes grupos de autorizações, siga estes passos:

  1. Na página Ambientes, crie dois novos ambientes denominados Scotland branch e England branch.
  2. Na página Funções, crie duas novas funções do SOC: Tier 1 Scotland e Tier 2 England.
  3. Na função Tier 2 England, adicione a função Tier 1 Scotland às respetivas funções adicionais e defina Tier 1 como a função predefinida.
  4. Na página Autorizações, crie dois novos grupos de autorizações com os nomes Tier 1 Scotland e Tier 2 England.
  5. Para o grupo Tier 1 Scotland, desative o Serviço de identidade do GKE (IDE) e os playbooks, mas conceda-lhes direitos de edição completos no módulo cases.
  6. Para o grupo Tier 2 England, ative o IDE e os playbooks com direitos de edição completos para ambos os módulos.
  7. Mapeie os utilizadores para as novas funções, ambientes e grupos de autorizações, com base no seu produto:
    • Apenas Google SecOps SOAR: na página Gestão de utilizadores, crie novos utilizadores e atribua o ambiente, a função do SOC e o grupo de autorizações necessários.
    • Google SecOps: na página Mapeamento de IdP, crie dois grupos de fornecedores de identidade (IdPs) e atribua o ambiente, a função de SOC e o grupo de autorizações necessários.
    • Security Command Center Enterprise: na página Funções da IAM, crie duas funções da IAM e atribua o ambiente, a função do SOC e o grupo de autorizações necessários.

Depois de concluir esta configuração, quando é criado um novo registo, os analistas de Tier 1 podem triar o registo e, se necessário, reatribuí-lo a Tier 2 para uma investigação mais detalhada ou uma modificação dos manuais de procedimentos ou das ações.

As funções, os grupos de autorizações e os ambientes da SOC são mapeados para diferentes grupos de IdP ou grupos de utilizadores, consoante o produto.

Para mais informações sobre como mapear utilizadores na plataforma, consulte o documento aplicável a si:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.