Mappare gli utenti nella piattaforma Google SecOps

Questo documento spiega come eseguire il provisioning, l'autenticazione e la mappatura degli utenti con un'identificazione sicura alla piattaforma Google Security Operations. Descrive la procedura di configurazione con Google Workspace come provider di identità (IdP) esterno, anche se i passaggi sono simili per altri IdP. Quando utilizzi Cloud Identity, devi configurare il servizio con i gruppi di email anziché con i gruppi di IdP. Per maggiori dettagli, vedi Mappare gli utenti nella piattaforma Google SecOps utilizzando Cloud Identity.

Configurare gli attributi SAML per il provisioning

Questa sezione si applica solo prima della fase 1 della migrazione di SOAR a Google Cloud. Dopo aver completato la fase 1 della migrazione, consulta Google Cloud Autenticazione dell'identità di terze parti.

Per configurare gli attributi e i gruppi SAML nell'IdP esterno:

1. In Google Workspace, vai alla sezione di mappatura degli attributi SAML.
2. Aggiungi i seguenti attributi obbligatori:
• first_name
• last_name
• user_email
• groups
3. In Google Gruppi, inserisci i nomi dei gruppi di IdP. Ad esempio, Google SecOps administrators o Gcp-security-admins. Prendi nota di questi nomi di gruppi, ti serviranno in un secondo momento per la mappatura nella piattaforma Google SecOps. In altri provider esterni, come Okta, questi sono chiamati gruppi di IdP.

Configurare il provisioning dell'IdP

Questa sezione si applica solo prima della fase 1 della migrazione di SOAR a Google Cloud. Dopo aver completato la fase 1, consulta Google Cloud Autenticazione dell'identità di terze parti.

Per configurare il provisioning dell'IdP, segui i passaggi descritti in Configurare l'IdP e Creare un provider di pool di identità della forza lavoro.

L'esempio seguente è il comando di creazione di workforce pool per la configurazione dell'app descritta in Configurare la federazione delle identità per la forza lavoro:

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

Gestisci l'accesso degli utenti

Esistono diversi modi per gestire l'accesso degli utenti a diversi aspetti della piattaforma:

• Gruppi di autorizzazioni: imposta i livelli di accesso degli utenti assegnandoli a gruppi di autorizzazioni specifici. Questi gruppi determinano quali moduli e sottomoduli gli utenti possono visualizzare o modificare. Ad esempio, un utente potrebbe avere accesso alle pagine Case e Workdesk, ma non a Playbook e Impostazioni. Per saperne di più, vedi Utilizzare i gruppi di autorizzazioni.
• Ruoli SOC: definisci il ruolo di un gruppo di utenti. Puoi assegnare ruoli SOC agli utenti per semplificare la gestione delle attività. Anziché assegnare case, azioni, o playbook a singoli utenti, puoi assegnarli a un ruolo SOC. Gli utenti possono visualizzare i case assegnati a loro, al loro ruolo o a ruoli aggiuntivi. Per saperne di più, vedi Utilizzare i ruoli.
• Ambienti o gruppi di ambienti: configura ambienti o gruppi di ambienti per segmentare i dati in diverse reti o unità aziendali, una pratica di uso comune per le aziende e i provider di servizi di sicurezza gestiti (MSSP). Gli utenti possono accedere solo ai dati all'interno degli ambienti o dei gruppi assegnati. Per saperne di più, vedi Utilizzare gli ambienti.

Mappare e autenticare gli utenti

La combinazione di gruppi di autorizzazioni, ruoli SOC e ambienti determina il percorso dell'utente Google SecOps per ogni gruppo di IdP nella piattaforma Google SecOps.

• Per i clienti che utilizzano un provider di terze parti, mappa ogni gruppo di IdP definito nelle impostazioni SAML nella pagina Mappatura gruppi.
• Per i clienti che utilizzano Cloud Identity, mappa i gruppi di email nella pagina Mappatura gruppi. Per saperne di più, vedi Mappare gli utenti nella piattaforma Google SecOps utilizzando Cloud Identity.

Puoi mappare i gruppi di IdP con più gruppi di autorizzazioni, ruoli SOC e ambienti. In questo modo, i diversi utenti mappati a diversi gruppi di IdP nel provider SAML ereditano tutti i livelli di autorizzazione richiesti. Per saperne di più, incluso come Google SecOps gestisce questa operazione, vedi Autorizzazioni multiple nella mappatura dei gruppi di IdP.

Puoi anche scegliere di mappare i gruppi di IdP ai singoli parametri di controllo dell'accesso. In questo modo è possibile ottenere un livello di mappatura più granulare, utile per i clienti di grandi dimensioni. Per saperne di più, vedi Mappare i gruppi di IdP ai parametri di controllo dell'accesso.

Per impostazione predefinita, la piattaforma Google SecOps include un gruppo di IdP di amministratori predefiniti.

Per mappare i gruppi di IdP:

1. In Google SecOps, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi.
2. Assicurati di avere a disposizione i nomi dei gruppi di IdP.
3. Fai clic su Aggiungi Aggiungi e inizia a mappare i parametri per ogni gruppo di IdP.
4. Al termine, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Gestione utenti, che si trova in Impostazioni > Organizzazione.

Quando gli utenti tentano di accedere alla piattaforma Google SecOps, ma il loro gruppo di IdP non è stato mappato, per evitare che vengano rifiutati, ti consigliamo di attivare le impostazioni di accesso predefinite e di impostare le autorizzazioni di amministratore in questa pagina. Una volta completata la configurazione iniziale dell'amministratore, ti suggeriamo di impostare le autorizzazioni di amministratore a un livello più minimo.

Mappare i gruppi di IdP ai parametri di controllo dell'accesso

Questa sezione descrive come mappare diversi gruppi di IdP a uno o più parametri di controllo dell'accesso nella pagina Mappatura gruppi di IdP. Questo approccio è utile per i clienti che vogliono eseguire l'onboarding e il provisioning dei gruppi di utenti in base a personalizzazioni specifiche, anziché aderire alla standardizzazione della piattaforma Google SecOps SOAR. Anche se la mappatura dei gruppi ai parametri potrebbe richiedere la creazione di più gruppi inizialmente, una volta impostata la mappatura, i nuovi utenti possono unirsi a Google SecOps senza dover creare gruppi aggiuntivi.

Per informazioni sulle autorizzazioni multiple nella mappatura dei gruppi, vedi Mappare gli utenti con più parametri di controllo dell'accesso.

Eliminare utenti

Caso d'uso: assegnare campi di autorizzazione univoci a ogni gruppo di IdP

L'esempio seguente illustra come utilizzare questa funzionalità per eseguire l'onboarding e il provisioning degli utenti in base alle esigenze della tua azienda.

La tua azienda ha tre utenti tipo diversi:

• Analisti della sicurezza (con i membri del gruppo Sasha e Tal)
• Ingegneri SOC (con i membri del gruppo Quinn e Noam)
• Ingegneri NOC (con i membri del gruppo Kim e Kai)

Questo scenario è illustrato nella tabella seguente:

Per questo esempio, supponiamo che tu abbia già configurato i gruppi di autorizzazioni, i ruoli SOC e gli ambienti necessari in Google SecOps.

Ecco come configurare i gruppi di IdP nel provider SAML e nella piattaforma Google SecOps:

1. Nel provider SAML, crea i seguenti gruppi di utenti:
   • Analisti della sicurezza (con Sasha e Tal)
   • Ingegneri SOC (con Quinn e Noam)
   • Ingegneri NOC (con Kim e Kai)
   • Londra (con Sasha, Tal, Kim e Kai)
   • Manchester (con Quinn e Noam)
2. Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura gruppi.
3. Fai clic su Aggiungi Aggiungi.
4. Inserisci i seguenti dettagli nella finestra di dialogo:
• Gruppo di IdP / utenti: Security analysts
• Gruppo di autorizzazioni: Analyst
• Ruolo SOC: Tier 1
• Ambiente: lascia vuoto
5. Inserisci i seguenti dettagli nella finestra di dialogo successiva:
• Gruppo di IdP: SOC engineers
• Gruppo di autorizzazioni: Analyst
• Ruolo SOC: Tier 1
• Ambiente: lascia vuoto
6. Inserisci i seguenti dettagli nella finestra di dialogo successiva:
• Gruppo di IdP: NOC engineers
• Gruppo di autorizzazioni: Basic
• Ruolo SOC: Tier 2
• Ambiente: lascia vuoto
7. Inserisci i seguenti dettagli nella finestra di dialogo successiva:
• Gruppo di IdP: London
• Gruppo di autorizzazioni: lascia vuoto
• Ruolo SOC: lascia vuoto
• Ambiente: London
8. Inserisci i seguenti dettagli nella finestra di dialogo successiva:
• Gruppo di IdP: Manchester
• Gruppo di autorizzazioni: lascia vuoto
• Ruolo SOC: lascia vuoto
• Ambiente: Manchester

Per i clienti che utilizzano la funzionalità di federazione dei case, vedi Configurare l'accesso ai case federati per Google SecOps.

Mappare i service account per l'accesso API

Per concedere a un account di servizio l'accesso o l'accesso alla federazione delle identità per i workload a Google SecOps, devi mappare il suo indirizzo email ai parametri di controllo dell'accesso della piattaforma. Questo è un passaggio obbligatorio per fornire all'identità l'accesso necessario a Ruoli SOC e Ambienti richiesti per eseguire attività automatizzate o operazioni API.

1. In Google SecOps, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi.
2. Fai clic su Aggiungi Aggiungi.
3. Nella finestra di dialogo Aggiungi ruolo, inserisci l'indirizzo email completo del tuo service account o la stringa principale di Workload Identity nel campo Ruolo IAM / gruppo di IdP.
4. Seleziona i ruoli SOC e gli ambienti appropriati.
5. Fai clic su Aggiungi.

Per saperne di più sulla configurazione dei service account, consulta la guida alla migrazione delle API.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.