Memetakan pengguna di platform Google SecOps

Dokumen ini menjelaskan cara menyediakan, mengautentikasi, dan memetakan pengguna dengan identifikasi yang aman ke platform Google Security Operations. Dokumen ini menguraikan proses konfigurasi dengan Google Workspace sebagai Penyedia Identitas (IdP) eksternal, meskipun langkah-langkahnya serupa untuk IdP lain. Saat menggunakan Penyedia Identitas Cloud, Anda harus mengonfigurasi layanan dengan grup email, bukan grup IdP. Untuk mengetahui detailnya, lihat Memetakan pengguna di platform Google SecOps menggunakan Cloud Identity.

Menyiapkan atribut SAML untuk penyediaan

1. Di Google Workspace, buka bagian pemetaan Atribut SAML.
2. Tambahkan atribut wajib berikut:
• first_name
• last_name
• user_email
• groups
3. Di Google Grup, masukkan nama grup IdP. Misalnya, Google SecOps administrators atau Gcp-security-admins. Catat nama grup ini; Anda akan memerlukannya nanti untuk pemetaan di platform Google SecOps. (Di penyedia eksternal lainnya, seperti Okta, opsi ini disebut sebagai Grup IdP).

Menyiapkan penyediaan IdP

Untuk menyiapkan penyediaan IdP, ikuti langkah-langkah di Mengonfigurasi IdP dan Membuat penyedia pool workforce identity.

Contoh berikut adalah perintah pembuatan workforce pool untuk konfigurasi aplikasi yang dijelaskan dalam Mengonfigurasi Workforce Identity Federation:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

Kontrol akses pengguna

Ada beberapa cara untuk mengelola akses pengguna ke berbagai aspek platform:

• Grup izin: Tetapkan tingkat akses pengguna dengan menetapkannya ke grup izin tertentu. Grup ini menentukan modul dan submodul yang dapat dilihat atau diedit pengguna. Misalnya, pengguna mungkin memiliki akses ke halaman Kasus dan Workdesk, tetapi dibatasi dari Playbook dan Setelan. Untuk mengetahui informasi selengkapnya, lihat Bekerja dengan grup izin.
• Peran SOC: Menentukan peran sekelompok pengguna. Anda dapat menetapkan pengguna ke peran SOC untuk menyederhanakan pengelolaan tugas. Alih-alih menetapkan kasus, tindakan, atau playbook kepada individu, kasus, tindakan, atau playbook tersebut dapat ditetapkan ke peran SOC. Pengguna dapat melihat kasus yang ditetapkan kepada mereka, peran mereka, atau peran tambahan. Untuk mengetahui informasi selengkapnya, lihat Menggunakan peran.
• Lingkungan atau grup lingkungan: Konfigurasi lingkungan atau grup lingkungan untuk menyegmentasikan data di berbagai jaringan atau unit bisnis, yang umumnya digunakan oleh bisnis dan Penyedia Layanan Keamanan Terkelola (MSSP). Pengguna hanya dapat mengakses data dalam lingkungan atau grup yang ditetapkan untuk mereka. Untuk mengetahui informasi selengkapnya, lihat Menambahkan lingkungan baru.

Memetakan dan mengautentikasi pengguna

Kombinasi grup izin, peran SOC, dan lingkungan menentukan perjalanan pengguna Google SecOps untuk setiap grup IdP di platform Google SecOps.

• Untuk pelanggan yang menggunakan penyedia pihak ketiga, petakan setiap grup IdP yang ditentukan dalam setelan SAML di halaman Pemetaan Grup IdP.
• Untuk pelanggan yang menggunakan Penyedia Identitas Cloud, petakan grup email di halaman Pemetaan Grup. Untuk mengetahui informasi selengkapnya, lihat Memetakan pengguna di platform Google SecOps menggunakan Cloud Identity.

Anda dapat memetakan grup IdP dengan beberapa grup izin, peran SOC, dan lingkungan. Hal ini memastikan bahwa pengguna yang berbeda yang dipetakan ke grup IdP yang berbeda di penyedia SAML mewarisi semua tingkat izin yang diperlukan. Untuk mengetahui informasi selengkapnya, termasuk cara Google SecOps mengelola hal ini, lihat Beberapa izin dalam pemetaan grup IdP.

Anda juga dapat memilih untuk memetakan grup IdP ke parameter akses kontrol individual. Hal ini memungkinkan pemetaan tingkat yang lebih terperinci dan dapat bermanfaat bagi pelanggan besar. Untuk mengetahui informasi selengkapnya, lihat Memetakan grup IdP ke parameter kontrol akses.

Secara default, platform Google SecOps menyertakan grup IdP administrator default.

Untuk memetakan grup IdP, ikuti langkah-langkah berikut:

1. Di Google SecOps, buka Setelan > Setelan SOAR > Lanjutan > Pemetaan Grup IdP.
2. Pastikan Anda memiliki nama grup IdP yang tersedia.
3. Klik Tambahkan Tambahkan dan mulai petakan parameter untuk setiap grup IdP.
4. Setelah selesai, klik Tambahkan. Setiap kali pengguna login ke platform, mereka akan otomatis ditambahkan ke halaman Pengelolaan Pengguna, yang dapat ditemukan di bagian Setelan > Organisasi.

Saat pengguna mencoba login ke platform SecOps Google, tetapi grup IdP mereka belum dipetakan, agar pengguna tidak ditolak, sebaiknya aktifkan Setelan Akses Default dan tetapkan izin administrator di halaman ini. Setelah penyiapan administrator awal selesai, sebaiknya sesuaikan izin administrator ke tingkat yang lebih minimal.

Memetakan grup IdP ke parameter kontrol akses

Bagian ini menjelaskan cara memetakan berbagai grup IdP ke satu atau beberapa parameter kontrol akses dalam halaman Pemetaan Grup IdP. Pendekatan ini bermanfaat bagi pelanggan yang ingin mengaktifkan dan menyediakan grup pengguna berdasarkan penyesuaian tertentu, daripada mematuhi standarisasi platform SOAR SecOps Google. Meskipun pemetaan grup ke parameter mungkin mengharuskan Anda membuat lebih banyak grup pada awalnya, setelah pemetaan ditetapkan, pengguna baru dapat bergabung ke Google SecOps tanpa perlu membuat grup tambahan.

Untuk mengetahui informasi tentang beberapa izin dalam pemetaan grup, lihat Memetakan pengguna dengan beberapa parameter akses kontrol.

Menghapus pengguna

Kasus Penggunaan: Menetapkan kolom izin unik ke setiap grup IdP

Contoh berikut mengilustrasikan cara menggunakan fitur ini untuk membantu mengaktifkan dan menyediakan pengguna sesuai dengan kebutuhan perusahaan Anda.

Perusahaan Anda memiliki tiga persona yang berbeda:

• Analis keamanan (berisi anggota grup Sasha dan Tal)
• Engineer SOC (berisi anggota grup Quinn dan Noam)
• Engineer NOC (berisi anggota grup Kim dan Kai)

Skenario ini diilustrasikan dalam tabel berikut:

Untuk contoh ini, asumsikan bahwa Anda telah menyiapkan grup izin, peran SOC, dan lingkungan yang diperlukan di Google SecOps.

Berikut cara menyiapkan grup IdP di penyedia SAML dan di platform Google SecOps:

1. Di penyedia SAML Anda, buat grup pengguna berikut:
   • Analis keamanan (berisi Sasha dan Tal)
   • Engineer SOC (berisi Quinn dan Noam)
   • Engineer NOC (berisi Kim dan Kai)
   • London (berisi Sasha, Tal, Kim, dan Kai)
   • Manchester (berisi Quinn dan Noam)
2. Buka Setelan > SOAR Settings > Advanced > IdP Group Mapping.
3. Klik Tambahkan Grup IdP.
4. Masukkan detail berikut dalam dialog:
• Grup IdP: Security analysts
• Grup Izin: Analyst
• Peran SOC: Tier 1
• Lingkungan: biarkan kosong
5. Masukkan detail berikut dalam dialog berikutnya:
• Grup IdP: SOC engineers
• Grup Izin: Analyst
• Peran SOC: Tier 1
• Lingkungan: biarkan kosong
6. Masukkan detail berikut dalam dialog berikutnya:
• Grup IdP: NOC engineers
• Grup Izin: Basic
• Peran SOC: Tier 2
• Lingkungan: biarkan kosong
7. Masukkan detail berikut dalam dialog berikutnya:
• Grup IdP: London
• Grup Izin: kosongkan
• Peran SOC: biarkan kosong
• Lingkungan: London
8. Masukkan detail berikut dalam dialog berikutnya:
• Grup IdP: Manchester
• Grup Izin: kosongkan
• Peran SOC: biarkan kosong
• Lingkungan: Manchester

Untuk pelanggan yang menggunakan fitur Federasi Kasus, lihat Menyiapkan akses kasus federasi untuk Google SecOps.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.