使用 SOAR 权限控制对平台的访问权限

支持的平台:

本文档介绍了 SOC 角色、环境和权限组这三种机制如何协同工作,以控制用户对平台不同部分的访问权限。本文还介绍了这些机制如何确定哪些人可以查看支持请求。

分配 SOC 角色

您可以为 SOC 角色分配不同的访问权限,以控制 Google Security Operations 中每个用户群组的职责范围。 Google SecOps 包含预定义的 SOC 角色,但您也可以添加自定义角色。

预定义的 SOC 角色定义如下:

  • 第 1 级:对警报执行基本分类。
  • 第 2 层级:查看高优先级的安全威胁。
  • 第 3 层级:处理重大事件。
  • SOC 经理:管理 SOC 团队。
  • CISO:担任组织中的最高级别经理。
  • 管理员:可访问整个 Google SecOps 平台。

您可以将其中一个 SOC 角色设置为默认角色,系统会自动将其分配给新收到的支持请求。每个 SOC 角色还可以附加其他 SOC 角色,以便用户监控分配给这些角色的所有支持请求。例如,第 1 级分析师可以查看分配给其第 1 级角色和任何其他角色的支持请求。

创建支持请求后,您可以手动或通过 playbook 自动化操作将其从默认 SOC 角色重新分配给特定 SOC 角色或个别用户。将支持请求分配给 SOC 角色可确保一组人员了解该支持请求。当分析师自行分配支持请求时,表示他们正在处理该支持请求。

环境和环境组

您可以定义不同的环境和环境组,以实现逻辑数据隔离。 这种分离适用于大多数平台模块,例如支持请求、剧本、数据提取和信息中心。对于需要细分运营和网络的商家和受管安全服务提供商 (MSSP),此流程非常有用。每个环境或群组都可以有自己独特的自动化流程和设置。对于拥有许多不同客户的 MSSP,每个环境或群组可以代表一个单独的客户。

您可以配置平台设置,以便只有与特定环境或群组相关联的分析师才能查看相应支持请求。例如,您可以为多个环境配置 playbook 模块。如果您未定义或选择其他环境,系统会将默认环境用作平台基准。平台管理员有权访问所有当前和未来的环境以及环境组。

使用预定义的权限组

Google SecOps 平台包含预定义的权限组,您可以根据需要添加权限组。预定义的分组如下:

  • 管理员
  • 基本
  • 读取者
  • 只能查看
  • 协作者
  • 受管理
  • Managed-Plus

权限组用于控制每个群组对平台中不同模块和设置的访问权限级别。您可以设置精细的权限。

例如:
  • 顶级:为特定权限组启用对“报告”模块的访问权限。
  • 中级:仅启用查看高级报告的权限。
  • 精细级别:允许用户修改高级报告。

使用 SOC 角色、环境和权限组

本部分以一家在苏格兰和英格兰设有分行的中型银行为例,展示了 SOC 角色、环境和权限组如何协同工作。目标是让第 1 级分析人员对收到的支持请求进行初步评估,然后在需要时将其上报给第 2 级分析人员进行更深入的调查。

如需设置不同的权限组,请按以下步骤操作:

  1. 环境页面上,创建两个名为 Scotland branchEngland branch 的新环境。
  2. 角色页面上,创建两个新的 SOC 角色:Tier 1 ScotlandTier 2 England
  3. Tier 2 England 角色中,将 Tier 1 Scotland 角色添加到其附加角色,并将 Tier 1 设置为默认角色。
  4. 权限页面上,创建两个名为 Tier 1 ScotlandTier 2 England 的新权限组。
  5. 对于 Tier 1 Scotland 群组,停用 GKE Identity Service (IDE) 和 playbook,但授予他们对 cases 模块的完整编辑权限。
  6. 对于 Tier 2 England 群组,启用 IDE 和剧本,并为这两个模块授予完全修改权限。
  7. 根据您的产品,将用户映射到新的角色、环境和权限组:
    • 仅限 Google SecOps SOAR:在用户管理页面上,创建新用户并分配所需的环境、SOC 角色和权限组。
    • Google SecOps:在 IdP 映射页面上,创建两个身份提供商 (IdP) 群组,并分配所需的环境、SOC 角色和权限组。
    • Security Command Center Enterprise:在 IAM 角色页面上,创建两个 IAM 角色,并分配所需的环境、SOC 角色和权限组。

完成此设置后,当创建新支持请求时,Tier 1 分析师可以对该支持请求进行初步评估,并在必要时将其重新分配给 Tier 2 以进行更深入的调查或修改 playbook 或操作。

SOC 角色、权限组和环境会映射到不同的 IdP 群组或用户群组,具体取决于产品。

如需详细了解如何在平台中映射用户,请参阅以下文档(具体取决于您的情况):

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。