Asigna usuarios en la plataforma de Google SecOps

Compatible con:

En este documento, se explica cómo aprovisionar, autenticar y asignar usuarios con identificación segura a la plataforma de Google Security Operations. Se describe el proceso de configuración con Google Workspace como el proveedor de identidad (IdP) externo, aunque los pasos son similares para otros IdPs. Cuando usas Cloud Identity, debes configurar el servicio con grupos de correo electrónico en lugar de grupos de IdP. Para obtener más detalles, consulta Asigna usuarios en la plataforma de Google SecOps con Cloud Identity.

Configura los atributos de SAML para el aprovisionamiento

Esta sección solo se aplica antes de la etapa 1 de la migración de SOAR a Google Cloud. Después de completar la etapa 1 de la migración, consulta la Google Cloud Autenticación de identidad externa.

Para configurar los atributos y grupos de SAML en el IdP externo, haz lo siguiente:

  1. En Google Workspace, ve a la sección de asignación de Atributos de SAML.
  2. Agrega los siguientes atributos obligatorios:
    • first_name
    • last_name
    • user_email
    • groups
  3. En Grupos de Google, ingresa los nombres de los grupos de IdP. Por ejemplo, Google SecOps administrators o Gcp-security-admins. Anota estos nombres de grupo, ya que los necesitarás más adelante para la asignación en la plataforma de Google SecOps. (En otros proveedores externos, como Okta, esto se denomina Grupos de IdP).

samlattrributes
Figura 1. Asignación de atributos de SAML

Configura el aprovisionamiento de IdP

Esta sección solo se aplica antes de la etapa 1 de la migración de SOAR a Google Cloud. Después de completar la etapa 1, consulta la Google Cloud Autenticación de identidad externa.

Para configurar el aprovisionamiento de IdP, sigue los pasos que se indican en Configura el IdP y Crea un proveedor de grupo de identidades de personal.

En el siguiente ejemplo, se muestra el comando de creación de workforce pool para la configuración de la app que se describe en Configura la federación de identidades de personal: 

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

Controla el acceso de los usuarios

Existen varias formas de administrar el acceso de los usuarios a diferentes aspectos de la plataforma:

  • Grupos de permisos: Configura los niveles de acceso de los usuarios asignándolos a grupos de permisos específicos. Estos grupos determinan qué módulos y submódulos pueden ver o editar los usuarios. Por ejemplo, un usuario puede tener acceso a las páginas Casos y Workdesk, pero no a Playbooks ni a Settings. Para obtener más información, consulta Trabaja con grupos de permisos.
  • Roles del SOC: Define el rol de un grupo de usuarios. Puedes asignar usuarios a roles del SOC para optimizar la administración de tareas. En lugar de asignar casos, acciones, o playbooks a personas, se pueden asignar a un rol del SOC. Los usuarios pueden ver los casos que se les asignaron, su rol o roles adicionales. Para obtener más información, consulta Trabaja con roles.
  • Entornos o grupos de entornos: Configura entornos o grupos de entornos para segmentar datos en diferentes redes o unidades de negocios, que suelen usar las empresas y los proveedores de servicios de seguridad administrados (MSSPs). Los usuarios solo pueden acceder a los datos dentro de los entornos o grupos que se les asignaron. Para obtener más información, consulta Trabaja con entornos.

Asigna y autentica usuarios

La combinación de grupos de permisos, roles del SOC y entornos determina el recorrido del usuario de Google SecOps para cada grupo de IdP en la plataforma de Google SecOps.

  • Para los clientes que usan un proveedor externo, asigna cada grupo de IdP definido en la configuración de SAML en la página Asignación de grupos.
  • Para los clientes que usan Cloud Identity, asigna grupos de correo electrónico en la página Asignación de grupos. Para obtener más información, consulta Asigna usuarios en la plataforma de Google SecOps con Cloud Identity.

Puedes asignar grupos de IdP a varios grupos de permisos, roles del SOC y entornos. Esto garantiza que los diferentes usuarios asignados a diferentes grupos de IdP en el proveedor de SAML hereden todos los niveles de permisos necesarios. Para obtener más información, incluido cómo Google SecOps administra esto, consulta Varios permisos en la asignación de grupos de IdP.

También puedes asignar grupos de IdP a parámetros de control de acceso individuales. Esto permite un nivel de asignación más detallado y puede ser útil para clientes grandes. Para obtener más información, consulta Asigna grupos de IdP a parámetros de control de acceso.

De forma predeterminada, la plataforma de Google SecOps incluye un grupo de IdP de administradores predeterminados.

Para asignar grupos de IdP, sigue estos pasos:

  1. En Google SecOps, ve a Configuración de SOAR > Avanzada > Asignación de grupos.
  2. Asegúrate de tener disponibles los nombres de los grupos de IdP.
  3. Haz clic en Agregar Agregar y comienza a asignar los parámetros para cada grupo de IdP.
  4. Cuando termines, haz clic en Agregar. Cada vez que un usuario accede a la plataforma, se agrega automáticamente a la página Administración de usuarios, que se encuentra en Configuración > Organización.

Cuando los usuarios intentan acceder a la plataforma de Google SecOps, pero su grupo de IdP no se asignó, para que no se rechacen, te recomendamos que habilites la Configuración de acceso predeterminada y configures los permisos de administrador en esta página. Una vez que se complete la configuración inicial del administrador, te sugerimos que ajustes los permisos del administrador a un nivel más mínimo.

Asigna grupos de IdP a parámetros de control de acceso

En esta sección, se describe cómo asignar diferentes grupos de IdP a uno o más parámetros de control de acceso en la página Asignación de grupos de IdP. Este enfoque es beneficioso para los clientes que desean incorporar y aprovisionar grupos de usuarios en función de personalizaciones específicas, en lugar de adherirse a la estandarización de la plataforma de Google SecOps SOAR. Si bien la asignación de grupos a parámetros puede requerir que crees más grupos inicialmente, una vez que se establece la asignación, los usuarios nuevos pueden unirse a Google SecOps sin necesidad de crear grupos adicionales.

Para obtener información sobre varios permisos en la asignación de grupos, consulta Asigna usuarios con varios parámetros de control de acceso.

Borrar usuarios

Si borras grupos desde aquí, asegúrate de borrar los usuarios individuales de la pantalla Administración de usuarios. Para obtener más información, consulta Borra usuarios de Google SecOps.

Caso de uso: Asigna campos de permisos únicos a cada grupo de IdP

En el siguiente ejemplo, se ilustra cómo usar esta función para incorporar y aprovisionar usuarios según las necesidades de tu empresa.

Tu empresa tiene tres personajes diferentes:

  • Analistas de seguridad (que incluyen a los miembros del grupo Sasha y Tal)
  • Ingenieros del SOC (que incluyen a los miembros del grupo Quinn y Noam)
  • Ingenieros del NOC (que incluyen a los miembros del grupo Kim y Kai)
Los analistas de seguridad y los ingenieros del SOC tienen los mismos grupos de permisos de Google SecOps (Analista) y roles del SOC (Nivel 1), pero, mientras que los analistas de seguridad tienen permisos para el entorno de Londres, los ingenieros del SOC tienen permisos para el entorno de Manchester. Mientras tanto, los ingenieros del NOC tienen permisos para el entorno de Londres, pero se les asigna el grupo de permisos Básico y el rol del SOC Nivel 2.

Esta situación se ilustra en la siguiente tabla:

Personificación Grupo de permisos Rol del SOC Entorno
Analistas de seguridad Analista Nivel 1 Londres
Ingenieros del SOC Analista Nivel 1 Manchester
Ingenieros del NOC Básico Nivel 2 Londres

En este ejemplo, se supone que ya configuraste los grupos de permisos, los roles del SOC y los entornos necesarios en Google SecOps.

A continuación, se muestra cómo configurarías los grupos de IdP en el proveedor de SAML y en la plataforma de Google SecOps:

  1. En tu proveedor de SAML, crea los siguientes grupos de usuarios:
    • Analistas de seguridad (que incluyen a Sasha y Tal)
    • Ingenieros del SOC (que incluyen a Quinn y Noam)
    • Ingenieros del NOC (que incluyen a Kim y Kai)
    • Londres (que incluye a Sasha, Tal, Kim y Kai)
    • Manchester (que incluye a Quinn y Noam)
  2. Ve a Configuración > Configuración de SOAR > Avanzada > Asignación de grupos.
  3. Haz clic en Agregar Agregar.
  4. Ingresa los siguientes detalles en el diálogo:
    • IdP / Grupo de usuarios: Security analysts
    • Grupo de permisos: Analyst
    • Rol del SOC: Tier 1
    • Entorno: dejar en blanco
  5. Ingresa los siguientes detalles en el siguiente diálogo:
    • Grupo de IdP: SOC engineers
    • Grupo de permisos: Analyst
    • Rol del SOC: Tier 1
    • Entorno: dejar en blanco
  6. Ingresa los siguientes detalles en el siguiente diálogo:
    • Grupo de IdP: NOC engineers
    • Grupo de permisos: Basic
    • Rol del SOC: Tier 2
    • Entorno: dejar en blanco
  7. Ingresa los siguientes detalles en el siguiente diálogo:
    • Grupo de IdP: London
    • Grupo de permisos: dejar en blanco
    • Rol del SOC: dejar en blanco
    • Entorno: London
  8. Ingresa los siguientes detalles en el siguiente diálogo:
    • Grupo de IdP: Manchester
    • Grupo de permisos: dejar en blanco
    • Rol del SOC: dejar en blanco
    • Entorno: Manchester

Para los clientes que usan la función de federación de casos, consulta Configura el acceso federado a casos para Google SecOps.

Asigna cuentas de servicio para el acceso a la API

Para otorgar acceso a una cuenta de servicio o acceso a la federación de identidades para cargas de trabajo a Google SecOps, debes asociar su dirección de correo electrónico a los parámetros de control de acceso de la plataforma. Este es un paso obligatorio para proporcionar a la identidad el acceso necesario a los roles del SOC y los entornos necesarios para realizar tareas automatizadas o operaciones de la API.

  1. En Google SecOps, ve a Configuración de SOAR > Avanzada > Asignación de grupos.
  2. Haz clic en agregar Agregar.
  3. En el diálogo Agregar rol, ingresa la dirección de correo electrónico completa de tu cuenta de servicio o la cadena principal de Workload Identity en el campo Rol de IAM / Grupo de IdP.
  4. Selecciona los roles del SOC y los entornos adecuados.
  5. Haz clic en Agregar.

Para obtener más información sobre la configuración de cuentas de servicio, consulta la guía de migración de la API.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.