Mapper les utilisateurs dans la plate-forme Google SecOps
Ce document explique comment provisionner, authentifier et mapper des utilisateurs avec une identification sécurisée sur la plate-forme Google Security Operations. Il décrit le processus de configuration avec Google Workspace comme fournisseur d'identité externe, bien que les étapes soient similaires pour les autres fournisseurs d'identité. Lorsque vous utilisez Cloud Identity, vous devez configurer le service avec des groupes de messagerie au lieu de groupes IdP. Pour en savoir plus, consultez Mapper les utilisateurs de la plate-forme Google SecOps à l'aide de Cloud Identity.
Configurer les attributs SAML pour le provisionnement
Cette section ne s'applique qu'avant l'étape 1 de la migration SOAR vers Google Cloud. Une fois l'étape 1 de la migration terminée, consultez la section Google Cloud Authentification des identités tierces.
Pour configurer les attributs et les groupes SAML dans le fournisseur d'identité externe, procédez comme suit :
- Dans Google Workspace, accédez à la section de mappage Attributs SAML.
- Ajoutez les attributs obligatoires suivants :
first_namelast_nameuser_emailgroups- Dans Google Groupes, saisissez les noms des groupes de fournisseurs d'identité. Par exemple,
Google SecOps administratorsouGcp-security-admins. Notez ces noms de groupe, car vous en aurez besoin ultérieurement pour le mappage dans la plate-forme Google SecOps. (Dans d'autres fournisseurs externes, tels qu'Okta, on parle de groupes de fournisseurs d'identité).
Configurer le provisionnement du fournisseur d'identité
Cette section ne s'applique qu'avant l'étape 1 de la migration SOAR vers Google Cloud. Une fois l'étape 1 terminée, consultez la section Google Cloud Authentification des identités tierces.
Pour configurer le provisionnement du fournisseur d'identité, suivez les étapes décrites dans Configurer le fournisseur d'identité et Créer un fournisseur de pool d'identités de personnel.
L'exemple suivant correspond à la commande de création workforce pool pour la configuration de l'application
décrite dans
Configurer la fédération des identités des employés :
gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \ --workforce-pool=WORKFORCE_POOL_ID \ --location="global" \ --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \ --description=WORKFORCE_PROVIDER_DESCRIPTION \ --idp-metadata-path=PATH_TO_METADATA_XML \ --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"
Contrôler l'accès des utilisateurs
Il existe plusieurs façons de gérer l'accès des utilisateurs aux différents aspects de la plate-forme :
- Groupes d'autorisations : définissez les niveaux d'accès des utilisateurs en les attribuant à des groupes d'autorisations spécifiques. Ces groupes déterminent les modules et sous-modules que les utilisateurs peuvent afficher ou modifier. Par exemple, un utilisateur peut avoir accès aux pages Cas et Workdesk, mais pas aux pages Playbooks et Paramètres. Pour en savoir plus, consultez la section Utiliser des groupes d'autorisations.
- Rôles dans le SOC : définissez le rôle d'un groupe d'utilisateurs. Vous pouvez attribuer des utilisateurs à des rôles dans le SOC pour simplifier la gestion des tâches. Au lieu d'attribuer des cas, des actions, ou des playbooks à des personnes, vous pouvez les attribuer à un rôle dans le SOC. Les utilisateurs peuvent voir les cas qui leur sont attribués, leur rôle ou des rôles supplémentaires. Pour en savoir plus, consultez la section Utiliser des rôles.
- Environnements ou groupes d'environnements : configurez des environnements ou des groupes d'environnements pour segmenter les données sur différents réseaux ou unités commerciales. Cette méthode est couramment utilisée par les entreprises et les fournisseurs de services de sécurité gérés (MSSP). Les utilisateurs ne peuvent accéder qu'aux données des environnements ou des groupes qui leur sont attribués. Pour en savoir plus, consultez la section Utiliser des environnements.
Mapper et authentifier les utilisateurs
La combinaison de groupes d'autorisations, de rôles dans le SOC et d'environnements détermine le parcours utilisateur Google SecOps pour chaque groupe de fournisseurs d'identité dans la plate-forme Google SecOps.
- Pour les clients qui utilisent un fournisseur tiers, mappez chaque groupe de fournisseurs d'identité défini dans les paramètres SAML sur la page Mappage de groupe.
- Pour les clients qui utilisent Cloud Identity, mappez les groupes de messagerie sur la page Mappage de groupe. Pour en savoir plus, consultez Mapper les utilisateurs de la plate-forme Google SecOps à l'aide de Cloud Identity.
Vous pouvez mapper des groupes de fournisseurs d'identité avec plusieurs groupes d'autorisations, rôles dans le SOC et environnements. Ainsi, les différents utilisateurs mappés à différents groupes de fournisseurs d'identité dans le fournisseur SAML héritent de tous les niveaux d'autorisation requis. Pour en savoir plus, y compris sur la façon dont Google SecOps gère cela, consultez la section Plusieurs autorisations dans le mappage de groupes de fournisseurs d'identité.
Vous pouvez également choisir de mapper des groupes de fournisseurs d'identité à des paramètres de contrôle d'accès individuels. Cela permet un niveau de mappage plus précis et peut être utile pour les grands clients. Pour en savoir plus, consultez la section Mapper des groupes de fournisseurs d'identité à des paramètres de contrôle des accès.
Par défaut, la plate-forme Google SecOps inclut un groupe de fournisseurs d'identité d'administrateurs par défaut.
Pour mapper des groupes de fournisseurs d'identité, procédez comme suit :
- Dans Google SecOps, accédez à Paramètres SOAR > Paramètres avancés > Mappage de groupe.
- Assurez-vous d'avoir les noms des groupes de fournisseurs d'identité à portée de main.
- Cliquez sur Ajouter Ajouter et commencez à mapper les paramètres de chaque groupe de fournisseurs d'identité.
- Une fois que vous avez terminé, cliquez sur Ajouter. Chaque fois qu'un utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Gestion des utilisateurs, qui se trouve sous Paramètres > Organisation.
Lorsque des utilisateurs tentent de se connecter à la plate-forme Google SecOps, mais que leur groupe de fournisseurs d'identité n'a pas été mappé, nous vous recommandons d'activer les paramètres d'accès par défaut et de définir des autorisations d'administrateur sur cette page pour éviter que les utilisateurs ne soient refusés. Une fois la configuration initiale de l'administrateur terminée, nous vous suggérons de réduire les autorisations d'administrateur à un niveau plus minimal.
Mapper des groupes de fournisseurs d'identité à des paramètres de contrôle des accès
Cette section explique comment mapper différents groupes de fournisseurs d'identité à un ou plusieurs paramètres de contrôle d'accès sur la page Mappage de groupes de fournisseurs d'identité. Cette approche est avantageuse pour les clients qui souhaitent intégrer et provisionner des groupes d'utilisateurs en fonction de personnalisations spécifiques, plutôt que d'adhérer à la standardisation de la plate-forme Google SecOps SOAR. Bien que le mappage de groupes à des paramètres puisse nécessiter la création de plusieurs groupes au départ, une fois le mappage défini, les nouveaux utilisateurs peuvent rejoindre Google SecOps sans avoir à créer de groupes supplémentaires.
Pour en savoir plus sur les autorisations multiples dans le mappage de groupes, consultez la section Mapper des utilisateurs avec plusieurs paramètres de contrôle d'accès.
Supprimer des comptes utilisateur
Si vous supprimez des groupes à partir de cet emplacement, veillez à supprimer les utilisateurs individuels de l'écran Gestion des utilisateurs. Pour en savoir plus, consultez la section Supprimer des utilisateurs Google SecOps.Cas d'utilisation : attribuer des champs d'autorisation uniques à chaque groupe de fournisseurs d'identité
L'exemple suivant illustre comment utiliser cette fonctionnalité pour faciliter l'intégration et le provisionnement des utilisateurs en fonction des besoins de votre entreprise.
Votre entreprise compte trois personas différents :
- Analystes de sécurité (membres du groupe : Sasha et Tal)
- Ingénieurs SOC (membres du groupe : Quinn et Noam)
- Ingénieurs NOC (membres du groupe : Kim et Kai)
Ce scénario est illustré dans le tableau suivant :
| Persona | Groupe d'autorisations | Rôle dans le SOC | Environnement |
|---|---|---|---|
| Analystes de sécurité | Analyst | Niveau 1 | Londres |
| Ingénieurs SOC | Analyst | Niveau 1 | Manchester |
| Ingénieurs NOC | De base | Niveau 2 | Londres |
Pour cet exemple, supposons que vous ayez déjà configuré les groupes d'autorisations, les rôles dans le SOC et les environnements nécessaires dans Google SecOps.
Voici comment configurer les groupes de fournisseurs d'identité dans le fournisseur SAML et dans la plate-forme Google SecOps :
-
Dans votre fournisseur SAML, créez les groupes d'utilisateurs suivants :
- Analystes de sécurité (Sasha et Tal)
- Ingénieurs SOC (Quinn et Noam)
- Ingénieurs NOC (Kim et Kai)
- Londres (Sasha, Tal, Kim et Kai)
- Manchester (Quinn et Noam)
- Accédez à Paramètres > Paramètres SOAR > Paramètres avancés > Mappage de groupe.
- Cliquez sur Ajouter Ajouter.
- Saisissez les informations suivantes dans la boîte de dialogue :
- Fournisseur d'identité / Groupe d'utilisateurs :
Security analysts - Groupe d'autorisations :
Analyst - Rôle dans le SOC :
Tier 1 - Environnement : laissez le champ vide
- Saisissez les informations suivantes dans la boîte de dialogue suivante :
- Groupe de fournisseurs d'identité :
SOC engineers - Groupe d'autorisations :
Analyst - Rôle dans le SOC :
Tier 1 - Environnement : laissez le champ vide
- Saisissez les informations suivantes dans la boîte de dialogue suivante :
- Groupe de fournisseurs d'identité :
NOC engineers - Groupe d'autorisations :
Basic - Rôle dans le SOC :
Tier 2 - Environnement : laissez le champ vide
- Saisissez les informations suivantes dans la boîte de dialogue suivante :
- Groupe de fournisseurs d'identité :
London - Groupe d'autorisations : laissez le champ vide
- Rôle dans le SOC : laissez le champ vide
- Environnement :
London - Saisissez les informations suivantes dans la boîte de dialogue suivante :
- Groupe de fournisseurs d'identité :
Manchester - Groupe d'autorisations : laissez le champ vide
- Rôle dans le SOC : laissez le champ vide
- Environnement :
Manchester
Pour les clients qui utilisent la fonctionnalité de fédération de cas, consultez la section Configurer l'accès fédéré aux cas pour Google SecOps.
Mapper des comptes de service pour l'accès à l'API
Pour accorder à un compte de service un accès ou un accès à la fédération d'identité de charge de travail à Google SecOps, vous devez mapper son adresse e-mail aux paramètres de contrôle des accès de la plate-forme. Il s'agit d'une étape obligatoire pour fournir à l'identité l'accès nécessaire aux rôles dans le SOC et aux environnements requis pour effectuer des tâches automatisées ou des opérations d'API.
- Dans Google SecOps, accédez à Paramètres SOAR > Paramètres avancés > Mappage de groupe.
- Cliquez sur ajouter Ajouter.
- Dans la boîte de dialogue Ajouter un rôle, saisissez l'adresse e-mail complète de votre compte de service ou la chaîne de compte principal Workload Identity dans le champ Rôle IAM / Groupe de fournisseurs d'identité.
- Sélectionnez les rôles dans le SOC et les environnements appropriés.
- Cliquez sur Ajouter.
Pour en savoir plus sur la configuration des comptes de service, consultez le guide de migration de l'API.
Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.