使用 SOAR 權限控管平台存取權
本文說明 SOC 角色、環境和權限群組這三種機制如何共同運作,控管使用者對平台不同部分的存取權。 並說明這些機制如何決定誰可以查看案件。
指派資安營運中心 (SOC) 角色
您可以為 SOC 角色指派不同的存取權,控管 Google Security Operations 中每個使用者群組的責任範圍。Google SecOps 內含預先定義的 SOC 角色,但您也可以新增自訂角色。
預先定義的 SOC 角色如下:
- 第 1 層:對快訊執行基本分類。
- 第 2 層:檢查高優先順序的安全威脅。
- 第 3 層:處理重大事件。
- 資安營運中心經理:管理資安營運中心團隊。
- CISO:擔任貴機構的頂層管理員。
- 管理員:存取整個 Google SecOps 平台。
您可以將其中一個 SOC 角色設為預設角色,系統就會自動指派給新案件。每個 SOC 角色也可以附加其他 SOC 角色,讓使用者監控指派給這些角色的所有案件。舉例來說,第 1 層分析師可以查看指派給第 1 層角色和任何其他角色的案件。
建立案件後,您可以將案件從預設 SOC 角色重新指派給特定 SOC 角色或個別使用者,方法是手動指派,或是使用應對手冊的自動化動作。將案件指派給 SOC 角色,確保一群人瞭解案件。分析人員自行指派案件時,表示他們正在處理該案件。
環境和環境群組
您可以定義不同的環境和環境群組,建立邏輯資料區隔。這項區隔適用於大多數平台模組,例如案件、劇本、擷取和資訊主頁。如果企業和受管理安全服務供應商 (MSSP) 需要區隔作業和網路,這個程序就非常實用。每個環境或群組都可以有專屬的自動化程序和設定。對於擁有許多不同客戶的 MSSP 而言,每個環境或群組可以代表不同的客戶。
您可以設定平台,只允許與特定環境或群組相關聯的分析師查看案件。舉例來說,您可以為多個環境設定劇本模組。如果您未定義或選取其他環境,系統會使用預設環境做為平台基準。平台管理員可以存取目前和未來的所有環境和環境群組。
使用預先定義的權限群組
Google SecOps 平台包含預先定義的權限群組,您也可以視需要新增權限群組。預先定義的群組如下:
- 管理員
- 基本
- 讀取者
- 僅供檢視
- 協作者
- 受管理
- 進階受管理
權限群組可控管每個群組在平台中對不同模組和設定的存取層級。您可以設定精細層級的權限。
例如:- 頂層:為特定權限群組啟用報表模組的存取權。
- 中等層級:僅啟用進階報表的檢視權限。
- 精細層級:允許使用者編輯進階報表。
使用 SOC 角色、環境和權限群組
本節以在蘇格蘭和英格蘭設有分行的中型銀行為例,說明 SOC 角色、環境和權限群組如何協同運作。目標是讓第 1 層分析師分類處理收到的案件,然後視需要提報給第 2 層進行深入調查。
如要設定不同的權限群組,請按照下列步驟操作:
- 在「Environments」頁面中,建立兩個名為
Scotland branch和England branch的新環境。 - 在「角色」頁面中,建立兩個新的 SOC 角色:
Tier 1 Scotland和Tier 2 England。 - 在
Tier 2 England角色中,將Tier 1 Scotland角色新增至其他角色,並將Tier 1設為預設角色。 - 在「權限」頁面中,建立兩個名為
Tier 1 Scotland和Tier 2 England的新權限群組。 - 針對
Tier 1 Scotland群組,停用 GKE Identity Service (IDE) 和劇本,但授予cases模組的完整編輯權限。 - 針對
Tier 2 England群組,請為這兩個模組啟用 IDE 和劇本,並授予完整編輯權限。 - 根據產品將使用者對應至新角色、環境和權限群組:
- 僅限 Google SecOps SOAR:在「使用者管理」頁面中,建立新使用者,並指派所需環境、SOC 角色和權限群組。
- Google SecOps:在「IdP Mapping」頁面中,建立兩個身分識別提供者 (IdP) 群組,並指派必要的環境、SOC 角色和權限群組。
- Security Command Center Enterprise:在「IAM roles」(IAM 角色) 頁面上,建立兩個 IAM 角色,並指派必要的環境、SOC 角色和權限群組。
完成這項設定後,每當建立新案件,Tier 1 分析師就能對案件進行分類,並視需要將案件重新指派給 Tier 2,以便深入調查或修改劇本/動作。
視產品而定,SOC 角色、權限群組和環境會對應至不同的 IdP 群組或使用者群組。
如要進一步瞭解如何在平台建立使用者對應關係,請參閱下列適用文件:
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。