Controlar o acesso à plataforma usando permissões de SOAR

Compatível com:

Este documento explica como três mecanismos (papéis de SOC, ambientes e grupos de permissões) funcionam juntos para controlar o acesso do usuário a diferentes partes da plataforma. Ele também descreve como esses mecanismos determinam quem pode ver os casos.

Atribuir funções do SOC

É possível atribuir direitos de acesso diferentes às funções do SOC para controlar o escopo de responsabilidade de cada grupo de usuários no Google Security Operations. O Google SecOps inclui papéis predefinidos do SOC, mas também é possível adicionar papéis personalizados.

As funções predefinidas do SOC são definidas da seguinte maneira:

  • Nível 1: faça uma triagem básica dos alertas.
  • Nível 2: analise ameaças de segurança de alta prioridade.
  • Nível 3: como lidar com incidentes graves.
  • Gerente de SOC: gerencia a equipe de SOC.
  • CISO: atua como gerente de nível superior na sua organização.
  • Administrador: acesso a toda a plataforma do Google SecOps.

Você pode definir uma dessas funções como padrão, e o sistema a atribui automaticamente aos casos recebidos. Cada função do SOC também pode ter outras funções anexadas, permitindo que os usuários monitorem todos os casos atribuídos a elas. Por exemplo, um analista de nível 1 pode ver casos atribuídos à função de nível 1 e a outras funções.

Depois que um caso é criado, é possível reatribuí-lo da função padrão do SOC para uma função específica do SOC ou um usuário individual, de forma manual ou com uma ação automatizada de playbook. Ao atribuir um caso a uma função do SOC, você garante que um grupo de pessoas esteja ciente dele. Quando um analista se atribui o caso, ele indica que está cuidando dele.

Ambientes e grupos de ambiente

É possível definir diferentes ambientes e grupos de ambientes para criar uma segregação lógica de dados. Essa separação se aplica à maioria dos módulos da plataforma, como casos, playbooks, ingestão e painéis. Esse processo é útil para empresas e provedores de serviços de segurança gerenciados (MSSPs, na sigla em inglês) que precisam segmentar as operações e redes. Cada ambiente ou grupo pode ter processos e configurações de automação exclusivos. Para MSSPs com muitos clientes diferentes, cada ambiente ou grupo pode representar um cliente separado.

É possível configurar as opções da plataforma para que apenas os analistas associados a um ambiente ou grupo específico possam ver os casos dele. Por exemplo, é possível configurar o módulo de playbooks para vários ambientes. O sistema usa o ambiente padrão como a base da plataforma quando você não definiu nem selecionou outros ambientes. Os administradores da plataforma têm acesso a todos os ambientes e grupos de ambientes atuais e futuros.

Usar grupos de permissões predefinidos

A plataforma Google SecOps inclui grupos de permissões predefinidos, e você pode adicionar outros conforme necessário. Os grupos predefinidos são os seguintes:

  • Administrador
  • Básico
  • Leitores
  • Somente leitura
  • Colaboradores
  • Gerenciado
  • Managed-Plus

Os grupos de permissões controlam o nível de acesso de cada grupo a diferentes módulos e configurações na plataforma. É possível definir permissões em um nível granular.

Por exemplo:
  • Nível superior: permite o acesso ao módulo "Relatórios" para um grupo de permissões específico.
  • Nível intermediário: permite acesso apenas para visualizar relatórios avançados.
  • Nível granular: permite que os usuários editem relatórios avançados.

Trabalhar com papéis, ambientes e grupos de permissões da SOC

Esta seção usa um exemplo de um banco de médio porte com agências na Escócia e na Inglaterra para mostrar como as funções, os ambientes e os grupos de permissões do SOC funcionam juntos. O objetivo é permitir que os analistas de nível 1 triem os casos recebidos e os encaminhem para o nível 2 para uma investigação mais detalhada, quando necessário.

Para configurar diferentes grupos de permissões, siga estas etapas:

  1. Na página Ambientes, crie dois novos ambientes chamados Scotland branch e England branch.
  2. Na página Funções, crie duas novas funções de SOC: Tier 1 Scotland e Tier 2 England.
  3. No papel Tier 2 England, adicione o papel Tier 1 Scotland aos papéis adicionais e defina Tier 1 como o papel padrão.
  4. Na página Permissões, crie dois novos grupos de permissões chamados Tier 1 Scotland e Tier 2 England.
  5. Para o grupo Tier 1 Scotland, desative o serviço de identidade do GKE (IDE) e os playbooks, mas conceda direitos de edição completos no módulo cases.
  6. Para o grupo Tier 2 England, ative o IDE e os playbooks com direitos de edição completos para os dois módulos.
  7. Mapeie os usuários para as novas funções, ambientes e grupos de permissões com base no seu produto:
    • Somente o Google SecOps SOAR: na página Gerenciamento de usuários, crie usuários e atribua o ambiente, a função do SOC e o grupo de permissões necessários.
    • Google SecOps: na página Mapeamento de IdP, crie dois grupos de provedores de identidade (IdPs) e atribua o ambiente, a função do SOC e o grupo de permissões necessários.
    • Security Command Center Enterprise: na página Papéis do IAM, crie dois papéis do IAM e atribua o ambiente, a função do SOC e o grupo de permissões necessários.

Depois de concluir essa configuração, quando um novo caso for criado, os analistas do Tier 1 poderão triar o caso e, se necessário, reatribuí-lo ao Tier 2 para uma investigação mais profunda ou modificação de playbooks ou ações.

As funções, os grupos de permissões e os ambientes do SOC são mapeados para diferentes grupos de IdP ou de usuários, dependendo do produto.

Para mais informações sobre como mapear usuários na plataforma, consulte o documento aplicável a você:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.