Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

使用 SOAR 权限控制对平台的访问权限

支持：

Google SecOps SOAR

本文档介绍了这些机制（SOC 角色、环境以及权限组或 IAM 角色）如何协同工作来控制用户对平台不同部分的访问权限。它还介绍了这些机制如何确定哪些人可以查看支持请求。

分配 SOC 角色

您可以为 SOC 角色分配不同的访问权限，以控制 Google Security Operations 中每个用户组的职责范围。 Google SecOps 包含预定义的 SOC 角色，但您也可以添加自定义角色。

预定义的 SOC 角色定义如下：

第 1 级：对提醒执行基本分类。
第 2 级：审核高优先级的安全威胁。
第 3 级：处理重大事件。
SOC 经理：管理 SOC 团队。
CISO：担任组织内的最高级别经理。
管理员：访问整个 Google SecOps 平台。

您可以将其中一个 SOC 角色设置为默认角色，系统会自动将其分配给新收到的支持请求。每个 SOC 角色还可以附加其他 SOC 角色，让用户监控分配给这些角色的所有支持请求。例如，第 1 级分析师可以查看分配给其第 1 级角色和任何其他角色的支持请求。

创建支持请求后，您可以手动或使用 playbook 自动化操作将其从默认 SOC 角色重新分配给特定 SOC 角色或个人用户。将支持请求分配给 SOC 角色可确保一组人员了解该支持请求。当分析师自行分配支持请求时，他们表示自己正在处理该支持请求。

如需详细了解 SOC 角色，请参阅管理 SOC 角色。

环境和环境组

您可以定义不同的环境和环境组，以创建逻辑数据隔离。这种隔离适用于大多数平台模块，例如支持请求、playbook、提取和信息中心。此过程对于需要细分运营和网络的企业和托管安全服务提供商 (MSSP) 非常有用。每个环境或组都可以有自己独特的自动化流程和设置。对于拥有许多不同客户的 MSSP，每个环境或组都可以代表一个单独的客户。

您可以配置平台设置，以便只有与特定环境或组关联的分析师才能看到其支持请求。例如，您可以为多个环境配置 playbook 模块。当您未定义或选择其他环境时，系统会将默认环境用作平台基准。平台管理员有权访问所有当前和未来的环境和环境组。

如需详细了解环境组，请参阅使用环境。

权限组或 IAM 角色

Google SecOps 允许您创建用户组，并为各个模块分配不同的权限级别。在将 SOAR 迁移到 Google Cloud 之前，这些权限由 SOAR 设置中的权限组控制。将 SOAR 迁移到 Google Cloud后，这些权限由 IAM 角色控制。

权限组（迁移前）

Google SecOps 平台包含预定义的权限组，您可以根据需要添加权限组。预定义的组如下：

管理员
基本版
读取者
只能查看
协作者
受管理
受管理 - Plus

权限组控制每个组对平台中不同模块和设置的访问权限级别。您可以精细地设置权限。

例如：

最高级别：为特定权限组启用对“报告”模块的访问权限。
中级别：仅启用查看高级报告的权限。
粒度级别：允许用户修改高级报告。

如需详细了解权限组，请参阅管理权限组

Identity and Access Management 角色（迁移后）

将 SOAR 迁移到 Google Cloud后，权限组会迁移到 IAM 角色中。如需详细了解如何将权限组迁移到 IAM 角色，请参阅将 SOAR 权限迁移到 Google Cloud IAM。 Google SecOps 平台支持预定义的 IAM 角色以及自定义角色，您可以根据需要添加自定义角色。预定义的 IAM SOAR 角色如下：

IAM 中的预定义角色	标题	说明
`roles/chronicle.admin`	Chronicle API Admin	拥有对 Google SecOps 应用和 API 服务（包括全局设置）的完整访问权限。
`roles/chronicle.editor`	Chronicle API Editor	可以修改对 Google SecOps 应用和 API 资源的访问权限。
`roles/chronicle.viewer`	Chronicle API Viewer	拥有对 Google SecOps 应用和 API 资源的只读权限。
`roles/chronicle.limitedViewer`	Chronicle API Limited Viewer	授予对 Google SecOps 应用和 API 资源（不包括检测引擎规则和 Retrohunt）的只读权限。
`roles/chronicle.soarAdmin`	Chronicle SOAR Admin	拥有对 SOAR 设置和管理的完整管理权限。

限制操作

每个权限组都包含一个部分，管理员可以在其中选择针对该特定权限组限制的操作。如需应用受限操作，必须在分配给用户组的所有权限组中选择该操作。也就是说，如果用户组映射到多个权限组，但仅在其中一个组中分配了受限操作，则不会强制执行该限制。

映射用户

根据您是否已迁移到 Google Cloud，有不同的用户映射方式：

SOAR 迁移之前 - SOC 角色、权限组和环境映射到不同的 IdP 组或用户电子邮件组，具体取决于您向产品进行身份验证的方式。
SOAR 迁移之后 - SOC 角色和环境映射到不同的 IAM 角色。

如需详细了解如何在平台中映射用户，请参阅适用于您的文档：

如果您已使用员工身份联合设置身份验证，并且尚未迁移，请将 IdP 组映射到权限组、SOC 角色和环境。请参阅在 Google SecOps 平台中映射用户。
如果您已使用 Cloud Identity 设置身份验证，并且尚未迁移，请将用户电子邮件组映射到权限组、SOC 角色和环境。请参阅使用 Cloud Identity 在平台中映射用户。
如果您已使用 Cloud Identity 设置身份验证，并且已迁移，请将 IAM 角色映射到 SOC 角色和环境。请参阅使用 Cloud Identity 在平台中映射用户。
Google SecOps SOAR 独立客户，请参阅管理用户。