Mappa gli utenti nella piattaforma utilizzando Cloud Identity
Questo documento spiega come autenticare e mappare gli utenti con un'identificazione sicura a Google Security Operations.
Gestisci l'accesso degli utenti
Esistono diversi modi per gestire l'accesso degli utenti a diversi aspetti della piattaforma:
- Gruppi di autorizzazioni: imposta i livelli di accesso degli utenti assegnandoli a gruppi di autorizzazioni specifici. Questi gruppi determinano quali moduli e sottomoduli gli utenti possono visualizzare o modificare. Ad esempio, un utente potrebbe avere accesso alle pagine Case e Workdesk, ma non a Playbook e Impostazioni. Per ulteriori informazioni, vedi Utilizzare i gruppi di autorizzazioni.
- Ruoli SOC: definisci il ruolo di un gruppo di utenti. Puoi assegnare i ruoli SOC agli utenti per semplificare la gestione delle attività. Invece di assegnare case, azioni, o playbook a singoli utenti, puoi assegnarli a un ruolo SOC. Gli utenti possono visualizzare i case assegnati a loro, al loro ruolo o a ruoli aggiuntivi. Per ulteriori informazioni, vedi Utilizzare i ruoli.
- Ambienti o gruppi di ambienti: configura ambienti o gruppi di ambienti per segmentare i dati in diverse reti o unità aziendali, di uso comune da parte di aziende e Managed Security Service Provider (MSSP). Gli utenti possono accedere solo ai dati all'interno degli ambienti o dei gruppi assegnati. Per ulteriori informazioni, vedi Utilizzare gli ambienti.
Mappa i gruppi di utenti email
La combinazione di gruppi di autorizzazioni, ruoli SOC e ambienti determina il percorso dell'utente di Google SecOps per ogni gruppo nella piattaforma.
Esistono varie opzioni per la mappatura. Puoi mappare gli utenti con uno o più gruppi di autorizzazioni, ruoli SOC e ambienti. Questa procedura garantisce che i diversi utenti mappati a gruppi diversi ereditino tutti i livelli di autorizzazione necessari.
Per impostazione predefinita, Google SecOps include un gruppo di amministratori predefiniti.
Per mappare i gruppi di email:
- Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi.
- Assicurati di avere a disposizione quanto segue:
- Nomi dei gruppi: il nome che assegni a un gruppo di email, ad esempio
T1 analysts. - Membri del gruppo: la raccolta di email degli utenti che compongono il gruppo.
- Nomi dei gruppi: il nome che assegni a un gruppo di email, ad esempio
- Fai clic su Aggiungi Aggiungi e mappa le email per ogni gruppo. Premi Aggiungi dopo aver aggiunto ogni email.
- Al termine, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Gestione utenti, che si trova in Impostazioni > Organizzazione.
Quando gli utenti tentano di accedere alla piattaforma Google SecOps, ma il loro gruppo di email non è stato mappato, per evitare che questi utenti vengano rifiutati, ti consigliamo di attivare le impostazioni di accesso predefinite e di impostare le autorizzazioni di amministratore in questa pagina. Una volta completata la configurazione iniziale dell'amministratore, ti consigliamo di regolare le autorizzazioni di amministratore a un livello di autorizzazioni più minimo.
Per informazioni su più autorizzazioni nella mappatura dei gruppi, vedi Mappare gli utenti con più parametri di controllo dell'accesso.
Mappa i gruppi ai parametri di controllo dell'accesso
Questa sezione descrive come mappare diversi gruppi di email a uno o più parametri di controllo dell'accesso nella pagina Mappatura dei gruppi. Questo approccio è utile per i clienti che vogliono eseguire l'onboarding e il provisioning dei gruppi di utenti in base a personalizzazioni specifiche, anziché rispettare la standardizzazione della piattaforma Google SecOps. Anche se la mappatura dei gruppi ai parametri potrebbe richiedere la creazione di più gruppi inizialmente, una volta impostata la mappatura, i nuovi utenti possono unirsi a Google SecOps senza dover creare gruppi aggiuntivi.
Elimina un utente
Se elimini i gruppi da qui, assicurati di eliminare i singoli utenti dalla schermata Gestione utenti. Per ulteriori informazioni, vedi Disattivare o eliminare un account utente.Caso d'uso: assegna campi di autorizzazione univoci a ogni gruppo di email
Il seguente caso d'uso illustra come utilizzare questa funzionalità per eseguire l'onboarding e il provisioning degli utenti in base alle esigenze della tua azienda.
La tua azienda ha tre persone diverse:
- Analisti della sicurezza (che contengono i membri del gruppo Sasha e Tal)
- Ingegneri SOC (che contengono i membri del gruppo Quinn e Noam)
- Ingegneri NOC (che contengono i membri del gruppo Kim e Kai)
Gli analisti della sicurezza e gli ingegneri SOC hanno gli stessi gruppi di autorizzazioni di Google SecOps (analista) e ruoli SOC (livello 1). Mentre gli analisti della sicurezza hanno le autorizzazioni per l'ambiente di Londra, gli ingegneri SOC hanno le autorizzazioni per l'ambiente di Manchester. Nel frattempo, gli ingegneri NOC hanno le autorizzazioni per l'ambiente di Londra, ma sono assegnati al gruppo di autorizzazioni Di base e al ruolo SOC Livello 2.
Questo scenario è illustrato nella tabella seguente:
| Gruppo | Gruppo di autorizzazioni | Ruolo SOC | Ambiente | Membri del gruppo |
|---|---|---|---|---|
| Analisti della sicurezza | Analista | Livello 1 | Londra | sasha@company.com, tal@company.com |
| Ingegneri SOC | Analista | Livello 1 | Manchester | quinn@company.com, noam@company.com |
| Ingegneri NOC | Di base | Livello 2 | Londra | kim@company.com, kai@company.com |
Configura i gruppi di email
Per configurare i gruppi di email in Google SecOps:
-
Crea i seguenti gruppi di email:
- Analisti della sicurezza (che contengono Sasha e Tal)
- Ingegneri SOC (che contengono Quinn e Noam)
- Ingegneri NOC (che contengono Kim e Kai)
- Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi.
- Fai clic su Aggiungi gruppo.
- Inserisci i seguenti dettagli nella finestra di dialogo:
- Gruppo:
Security analysts - Gruppo di autorizzazioni:
Analyst - Ruolo SOC:
Tier 1 - Ambiente: lascia vuoto
- Membri del gruppo:
sasha@company.com, tal@company.com - Inserisci i seguenti dettagli nella finestra di dialogo successiva:
- Gruppo:
SOC engineers - Gruppo di autorizzazioni:
Analyst - Ruolo SOC:
Tier 1 - Ambiente: lascia vuoto
- Membri del gruppo:
quinn@company.com, noam@company.com - Inserisci i seguenti dettagli nella finestra di dialogo successiva:
- Gruppo:
NOC engineers - Gruppo di autorizzazioni:
Basic - Ruolo SOC:
Tier 2 - Ambiente: lascia vuoto
- Membri del gruppo:
kim@company.com,kai@company.com - Inserisci i seguenti dettagli nella finestra di dialogo successiva:
- Gruppo:
London - Gruppo di autorizzazioni: lascia vuoto
- Ruolo SOC: lascia vuoto
- Membri del gruppo: lascia vuoto
- Ambiente:
London - Inserisci i seguenti dettagli nella finestra di dialogo successiva:
- Gruppo:
Manchester - Gruppo di autorizzazioni: lascia vuoto
- Ruolo SOC: lascia vuoto
- Membri del gruppo: lascia vuoto
- Ambiente:
Manchester
Per i clienti che utilizzano la funzionalità Case Federation, vedi Configurare l'accesso ai case federati per Google SecOps.
Mappa i service account per l'accesso API
Per concedere a un account di servizio o a una federazione delle identità per i workload l'accesso a Google SecOps, devi mappare l'identità ai parametri di controllo dell'accesso della piattaforma. Sebbene IAM gestisca l'autenticazione, questa mappatura è necessaria per fornire all'identità l'accesso necessario a Ruoli SOC e Ambienti necessari per eseguire attività automatizzate o operazioni API.
- Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi.
- Fai clic su Aggiungi Aggiungi.
- Nella finestra di dialogo Aggiungi ruolo, inserisci l' indirizzo email account di servizio account o la stringa dell'entità Workload Identity nel campo IDP / Gruppo di utenti.
- Seleziona i ruoli SOC e gli ambienti appropriati.
- Fai clic su Aggiungi.
Per ulteriori informazioni sulla configurazione dei service account, consulta la guida alla migrazione delle API.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.