Nutzer in der Google SecOps-Plattform zuordnen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie Nutzer mit sicherer Identifizierung für die Google Security Operations-Plattform bereitstellen, authentifizieren und zuordnen. Darin wird der Konfigurationsprozess mit Google Workspace als externem Identitätsanbieter (IdP) beschrieben. Die Schritte sind jedoch für andere IdPs ähnlich. Wenn Sie den Cloud Identity Provider verwenden, sollten Sie den Dienst mit E-Mail-Gruppen anstelle von IdP-Gruppen konfigurieren. Weitere Informationen finden Sie unter Nutzer in der Google SecOps-Plattform mit Cloud Identity zuordnen.

SAML-Attribute für die Bereitstellung einrichten

So richten Sie SAML-Attribute und -Gruppen im externen IdP ein:
  1. Rufen Sie in Google Workspace den Bereich für die Zuordnung von SAML-Attributen auf.
  2. Fügen Sie die folgenden obligatorischen Attribute hinzu:
    • first_name
    • last_name
    • user_email
    • groups
  3. Geben Sie in Google Groups die Namen der IdP-Gruppen ein. Beispiel: Google SecOps administratorsoder Gcp-security-admins. Notieren Sie sich diese Gruppennamen. Sie benötigen sie später für die Zuordnung in der Google SecOps-Plattform. Bei anderen externen Anbietern wie Okta werden diese als IdP-Gruppen bezeichnet.

samlattrributes
Abbildung 1. SAML-Attributzuordnung

IdP-Bereitstellung einrichten

Folgen Sie der Anleitung unter Identitätsanbieter konfigurieren und Workforce Identity-Pool-Anbieter erstellen, um die IdP-Bereitstellung einzurichten.

Das folgende Beispiel zeigt den Befehl zum Erstellen von workforce pool für die in Mitarbeiteridentitätsföderation konfigurieren beschriebene App-Konfiguration: 

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

Nutzerzugriff kontrollieren

Es gibt mehrere Möglichkeiten, den Nutzerzugriff auf verschiedene Aspekte der Plattform zu verwalten:

  • Berechtigungsgruppen: Legen Sie die Zugriffsebenen für Nutzer fest, indem Sie sie bestimmten Berechtigungsgruppen zuweisen. Diese Gruppen legen fest, welche Module und Untermodule Nutzer aufrufen oder bearbeiten können. Ein Nutzer hat beispielsweise Zugriff auf die Seiten Fälle und Workdesk, aber nicht auf Playbooks und Einstellungen. Weitere Informationen finden Sie unter Mit Berechtigungsgruppen arbeiten.
  • SOC-Rollen: Definieren Sie die Rolle einer Nutzergruppe. Sie können Nutzern SOC-Rollen zuweisen, um die Aufgabenverwaltung zu optimieren. Anstatt Fälle, Aktionen oder Playbooks einzelnen Personen zuzuweisen, können sie einer SOC-Rolle zugewiesen werden. Nutzer können die Fälle sehen, die ihnen, ihrer Rolle oder zusätzlichen Rollen zugewiesen sind. Weitere Informationen finden Sie unter Mit Rollen arbeiten.
  • Umgebungen oder Umgebungsgruppen: Konfigurieren Sie Umgebungen oder Umgebungsgruppen, um Daten in verschiedenen Netzwerken oder Geschäftsbereichen zu segmentieren. Dies wird häufig von Unternehmen und Managed Security Service Providers (MSSPs) verwendet. Nutzer können nur auf Daten in den Umgebungen oder Gruppen zugreifen, die ihnen zugewiesen sind. Weitere Informationen finden Sie unter Neue Umgebung hinzufügen.

Nutzer zuordnen und authentifizieren

Die Kombination aus Berechtigungsgruppen, SOC-Rollen und Umgebungen bestimmt den Google SecOps-Nutzerablauf für jede IdP-Gruppe auf der Google SecOps-Plattform.

  • Kunden, die einen Drittanbieter verwenden, müssen jede in den SAML-Einstellungen definierte IdP-Gruppe auf der Seite IdP-Gruppenzuordnung zuordnen.
  • Kunden, die Cloud Identity Provider verwenden, können E-Mail-Gruppen auf der Seite Gruppenzuordnung zuordnen. Weitere Informationen finden Sie unter Nutzer in der Google SecOps-Plattform mit Cloud Identity zuordnen.

Sie können IdP-Gruppen mehreren Berechtigungsgruppen, SOC-Rollen und Umgebungen zuordnen. So wird sichergestellt, dass verschiedene Nutzer, die verschiedenen IdP-Gruppen im SAML-Anbieter zugeordnet sind, alle erforderlichen Berechtigungsstufen übernehmen. Weitere Informationen, einschließlich der Verwaltung durch Google SecOps, finden Sie unter Mehrere Berechtigungen im IdP-Gruppen-Mapping.

Sie können IdP-Gruppen auch einzelnen Parametern für den Zugriffssteuerungszugriff zuordnen. Dies ermöglicht eine detailliertere Zuordnung und kann für große Kunden hilfreich sein. Weitere Informationen finden Sie unter IdP-Gruppen Zugriffskontrollparametern zuordnen.

Die Google SecOps-Plattform enthält standardmäßig eine IdP-Gruppe mit Standardadministratoren.

So ordnen Sie IdP-Gruppen zu:

  1. Gehen Sie in Google SecOps zu Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung.
  2. Die Namen der IdP-Gruppen müssen verfügbar sein.
  3. Klicken Sie auf Hinzufügen Hinzufügen und beginnen Sie mit der Zuordnung der Parameter für jede IdP-Gruppe.
  4. Wenn Sie fertig sind, klicken Sie auf Hinzufügen. Jedes Mal, wenn sich ein Nutzer in der Plattform anmeldet, wird er automatisch auf der Seite Nutzerverwaltung unter Einstellungen > Organisation hinzugefügt.

Wenn Nutzer versuchen, sich in der Google SecOps-Plattform anzumelden, ihre IdP-Gruppe aber nicht zugeordnet wurde, empfehlen wir, die Standardeinstellungen für den Zugriff zu aktivieren und auf dieser Seite Administratorberechtigungen festzulegen, damit Nutzer nicht abgelehnt werden. Nachdem die Ersteinrichtung des Administrators abgeschlossen ist, empfehlen wir, die Administratorberechtigungen auf ein minimales Niveau zu reduzieren.

IdP-Gruppen Zugriffsparametern zuordnen

In diesem Abschnitt wird beschrieben, wie Sie verschiedene IdP-Gruppen auf der Seite IdP Group Mapping (IdP-Gruppenzuordnung) einem oder mehreren Parametern für die Zugriffssteuerung zuordnen. Dieser Ansatz ist für Kunden von Vorteil, die Nutzergruppen auf der Grundlage bestimmter Anpassungen einrichten und bereitstellen möchten, anstatt sich an die Standardisierung der Google SecOps SOAR-Plattform zu halten. Das Zuordnen von Gruppen zu Parametern erfordert möglicherweise, dass Sie anfangs mehr Gruppen erstellen. Sobald die Zuordnung jedoch eingerichtet ist, können neue Nutzer Google SecOps beitreten, ohne dass zusätzliche Gruppen erstellt werden müssen.

Informationen zu mehreren Berechtigungen bei der Gruppenzuordnung finden Sie unter Nutzer mit mehreren Parametern für den kontrollierten Zugriff zuordnen.

Nutzer löschen

Wenn Sie Gruppen hier löschen, müssen Sie die einzelnen Nutzer auf dem Bildschirm Nutzerverwaltung löschen. Weitere Informationen finden Sie unter Google SecOps SOAR-Nutzer löschen.

Anwendungsfall: Eindeutige Berechtigungsfelder für jede IdP-Gruppe zuweisen

Das folgende Beispiel veranschaulicht, wie Sie diese Funktion verwenden können, um Nutzer entsprechend den Anforderungen Ihres Unternehmens zu registrieren und bereitzustellen.

Ihr Unternehmen hat drei verschiedene Personas:

  • Sicherheitsanalysten (mit den Gruppenmitgliedern Sasha und Tal)
  • SOC-Techniker (mit den Gruppenmitgliedern Quinn und Noam)
  • NOC-Techniker (mit den Gruppenmitgliedern Kim und Kai)
Sicherheitsanalysten und SOC-Techniker haben dieselben Google SecOps-Berechtigungsgruppen (Analyst) und SOC-Rollen (Tier 1). Während die Sicherheitsanalysten Berechtigungen für die Londoner Umgebung haben, haben die SOC-Techniker Berechtigungen für die Manchester-Umgebung. NOC-Techniker haben Berechtigungen für die London-Umgebung, sind aber der Berechtigungsgruppe Basic und der SOC-Rolle Tier 2 zugewiesen.

Dieses Szenario wird in der folgenden Tabelle veranschaulicht:

Persona Berechtigungsgruppe SOC-Rolle Umgebung
Sicherheitsanalysten Analyst Preisstufe 1 London
SOC-Techniker Analyst Preisstufe 1 Manchester
NOC-Techniker Einfach Preisstufe 2 London

In diesem Beispiel wird davon ausgegangen, dass Sie die erforderlichen Berechtigungsgruppen, SOC-Rollen und Umgebungen in Google SecOps bereits eingerichtet haben.

So richten Sie die IdP-Gruppen im SAML-Anbieter und in der Google SecOps-Plattform ein:

  1. Erstellen Sie in Ihrem SAML-Anbieter die folgenden Nutzergruppen:
    • Sicherheitsanalysten (Sasha und Tal)
    • SOC-Techniker (Quinn und Noam)
    • NOC-Techniker (mit Kim und Kai)
    • London (mit Sasha, Tal, Kim und Kai)
    • Manchester (mit Quinn und Noam)
  2. Gehen Sie zu Einstellungen> SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung.
  3. Klicken Sie auf IdP-Gruppe hinzufügen.
  4. Geben Sie im Dialogfeld die folgenden Informationen ein:
    • IdP-Gruppe: Security analysts
    • Berechtigungsgruppe: Analyst
    • SOC-Rolle: Tier 1
    • Umgebung: Leer lassen
  5. Geben Sie im nächsten Dialogfeld die folgenden Informationen ein:
    • IdP-Gruppe: SOC engineers
    • Berechtigungsgruppe: Analyst
    • SOC-Rolle: Tier 1
    • Umgebung: Leer lassen
  6. Geben Sie im nächsten Dialogfeld die folgenden Informationen ein:
    • IdP-Gruppe: NOC engineers
    • Berechtigungsgruppe: Basic
    • SOC-Rolle: Tier 2
    • Umgebung: Leer lassen
  7. Geben Sie im nächsten Dialogfeld die folgenden Informationen ein:
    • IdP-Gruppe: London
    • Berechtigungsgruppe: leer lassen
    • SOC-Rolle: leer lassen
    • Umgebung: London
  8. Geben Sie im nächsten Dialogfeld die folgenden Informationen ein:
    • IdP-Gruppe: Manchester
    • Berechtigungsgruppe: leer lassen
    • SOC-Rolle: leer lassen
    • Umgebung: Manchester

Kunden, die die Funktion „Case Federation“ verwenden, finden weitere Informationen unter Föderierten Fallzugriff für Google SecOps einrichten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten