Google SecOps プラットフォームでユーザーをマッピングする

以下でサポートされています。

このドキュメントでは、安全な 識別を使用してユーザーをプロビジョニング、認証、マッピングして Google Security Operations プラットフォームに登録する方法について説明します。外部 ID プロバイダ(IdP)として Google Workspace を使用した構成 プロセスについて説明しますが、他の IdP の場合も手順は同様です。 Cloud Identity Provider を使用する場合は、IdP グループではなくメールグループでサービスを構成する必要があります。詳細については、Cloud Identity を使用して Google SecOps プラットフォームでユーザーをマッピングするをご覧ください。

プロビジョニング用の SAML 属性を設定する

このセクションは、SOAR から への移行のステージ 1 の前にのみ適用されます Google Cloud。移行のステージ 1 が完了したら、Google Cloud サードパーティ ID 認証をご覧ください。

外部 IdP で SAML 属性とグループを設定するには、次の操作を行います。

  1. Google Workspace で、[SAML 属性] マッピング セクションに移動します。
  2. 次の必須属性を追加します。
    • first_name
    • last_name
    • user_email
    • groups
  3. [Google グループ] に IdP グループ名を入力します。例: Google SecOps administratorsGcp-security-admins。これらのグループ名をメモしておきます。Google SecOps プラットフォームでのマッピングで後で使用します。(Okta などの他の外部プロバイダでは、 これは IdP グループ と呼ばれます)。

samlattrributes
図 1.SAML 属性マッピング

IdP プロビジョニングを設定する

このセクションは、SOAR から への移行のステージ 1 の前にのみ適用されます Google Cloud。ステージ 1 が完了したら、Google Cloud サードパーティ ID 認証をご覧ください。

IdP プロビジョニングを設定するには、 IdP を構成するの手順と、Workforce Identity プール プロバイダを作成するの手順に沿って操作します。

次の例は、 Configure Workforce Identity Federationで説明されているアプリ構成の workforce pool 作成コマンドです。

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
  --workforce-pool=WORKFORCE_POOL_ID \
  --location="global" \
  --display-name=WORKFORCE_PROVIDER_DISPLAY_NAME \
  --description=WORKFORCE_PROVIDER_DESCRIPTION \
  --idp-metadata-path=PATH_TO_METADATA_XML \
  --attribute-mapping="google.subject=assertion.subject,attribute.first_name=assertion.attributes.first_name[0],attribute.last_name=assertion.attributes.last_name[0],attribute.user_email=assertion.attributes.user_email[0],google.groups=assertion.attributes.groups"

ユーザー アクセスを制御する

プラットフォームのさまざまな側面へのユーザー アクセスを管理する方法は複数あります。

  • 権限グループ: 特定の権限グループに割り当てることで、ユーザーのアクセスレベルを設定します。これらのグループによって、ユーザーが表示または編集できるモジュールとサブモジュールが決まります。たとえば、ユーザーは [**ケース**] ページと [**ワークデスク**] ページにアクセスできますが、[**ハンドブック**] と [**設定**] は制限される場合があります。 詳細については、権限グループを操作するをご覧ください。
  • SOC ロール: ユーザー グループのロールを定義します。ユーザーを SOC ロールに割り当てて、タスク管理を効率化できます。ケース、アクション、 またはハンドブックを個人に割り当てるのではなく、SOC ロールに割り当てることができます。ユーザーは、自分に、自分のロールに、または追加ロールの 1 つに割り当てられた ケースを確認できます。 詳細については、 ロールを操作するをご覧ください。
  • 環境または環境グループ: 環境または環境グループを構成して、さまざまなネットワークまたはビジネス ユニット間でデータを分割します。これは、企業やマネージド セキュリティ サービス プロバイダ(MSSP)でよく使用されます。ユーザーは、割り当てられた環境またはグループ内の データにのみアクセスできます。詳細については、 環境を操作するをご覧ください。

ユーザーをマッピングして認証する

権限グループ、SOC ロール、環境の組み合わせによって、 Google SecOps プラットフォームの各 IdP グループの Google SecOps ユーザー ジャーニーが決まります。

IdP グループを複数の権限グループ、SOC ロール、環境にマッピングできます。これにより、SAML プロバイダの異なる IdP グループにマッピングされたさまざまな ユーザーが、必要な権限レベルをすべて継承できます。Google SecOps での管理方法など、詳細については、IdP グループ マッピングでの複数の権限をご覧ください。

IdP グループを個々のアクセス制御パラメータにマッピングすることもできます。これにより、より詳細なレベルのマッピングが可能になり、大規模なお客様に役立ちます。詳細については、IdP グループをアクセス制御パラメータにマッピングするをご覧ください。

デフォルトでは、Google SecOps プラットフォームにはデフォルト管理者の IdP グループが含まれています。

IdP グループをマッピングする手順は次のとおりです。

  1. Google SecOps で、[SOAR 設定] > [詳細] > [グループ マッピング] に移動します。
  2. IdP グループの名前が使用可能であることを確認します。
  3. [Add] [Add] をクリックして、各 IdP グループのパラメータのマッピングを開始します。
  4. 完了したら、[追加] をクリックします。ユーザーがプラットフォームにログインするたびに、 [ユーザー管理] ページ( [設定 > 組織] にあります)に自動的に追加されます。

ユーザーが Google SecOps プラットフォームにログインしようとしたときに、IdP グループがマッピングされていない場合、ユーザーが拒否されないようにするには、 このページで [デフォルトのアクセス設定]を有効にして管理者権限を設定することをおすすめします。最初の管理者設定が完了したら、管理者権限を最小限のレベルに調整することをおすすめします。

IdP グループをアクセス制御パラメータにマッピングする

このセクションでは、[IdP グループ マッピング] ページで、さまざまな IdP グループを 1 つ以上のアクセス制御パラメータにマッピングする方法について説明します。この方法は、Google SecOps SOAR プラットフォームの標準化に準拠するのではなく、特定のカスタマイズに基づいてユーザー グループをオンボーディングしてプロビジョニングする場合に便利です。 グループをパラメータにマッピングするには、最初にグループをさらに作成する必要がありますが、 マッピングを設定すると、新しいユーザーは追加のグループを作成しなくても Google SecOps に参加できます。

グループ マッピングでの複数の権限については、 複数のアクセス制御パラメータを使用してユーザーをマッピングするをご覧ください。

ユーザーを削除

ここからグループを削除する場合は、 [ ユーザー管理] 画面から個々のユーザーを削除してください。詳細については、Google SecOps ユーザーを削除するをご覧ください。

ユースケース: 各 IdP グループに一意の権限フィールドを割り当てる

次の例では、この機能を使用して、会社のニーズに応じて ユーザーをオンボーディングしてプロビジョニングする方法を示します。

貴社には次の 3 つのペルソナがあります。

  • セキュリティ アナリスト(グループ メンバー: Sasha、Tal)
  • SOC エンジニア(グループ メンバー: Quinn、Noam)
  • NOC エンジニア(グループ メンバー: Kim、Kai)
セキュリティ アナリストと SOC エンジニアは、同じ Google SecOps 権限グループ(アナリスト)と SOC ロール(Tier 1)を持っていますが、セキュリティ アナリストにはロンドン環境の 権限があり、SOC エンジニアにはマンチェスター環境の権限が あります。一方、NOC エンジニアには ロンドン 環境の権限がありますが、基本 権限グループと Tier 2 SOC ロールが割り当てられています。

このシナリオを次の表に示します。

ペルソナ 権限グループ SOC ロール 環境
セキュリティ アナリスト アナリスト Tier 1 ロンドン
SOC エンジニア アナリスト Tier 1 マンチェスター
NOC エンジニア 基本 Tier 2 ロンドン

この例では、必要な権限グループ、 SOC ロール、環境が Google SecOps で設定されていることを前提としています。

SAML プロバイダと Google SecOps プラットフォームで IdP グループを設定する方法は次のとおりです。

  1. SAML プロバイダで、次のユーザー グループを作成します。
    • セキュリティ アナリスト(Sasha、Tal)
    • SOC エンジニア(Quinn、Noam)
    • NOC エンジニア(Kim、Kai)
    • ロンドン(Sasha、Tal、Kim、Kai)
    • マンチェスター(Quinn、Noam)
  2. [設定]> [SOAR 設定] [詳細]> [グループ マッピング]> に移動します。
  3. [Add] [Add] をクリックします。
  4. ダイアログに次の詳細を入力します。
    • IdP / ユーザー グループ: Security analysts
    • 権限グループ: Analyst
    • SOC ロール: Tier 1
    • 環境: 空白のままにします。
  5. 次のダイアログに次の詳細を入力します。
    • IdP グループ: SOC engineers
    • 権限グループ: Analyst
    • SOC ロール: Tier 1
    • 環境: 空白のままにします。
  6. 次のダイアログに次の詳細を入力します。
    • IdP グループ: NOC engineers
    • 権限グループ: Basic
    • SOC ロール: Tier 2
    • 環境: 空白のままにします。
  7. 次のダイアログに次の詳細を入力します。
    • IdP グループ: London
    • 権限グループ: 空白のままにします。
    • SOC ロール: 空白のままにします。
    • 環境: London
  8. 次のダイアログに次の詳細を入力します。
    • IdP グループ: Manchester
    • 権限グループ: 空白のままにします。
    • SOC ロール: 空白のままにします。
    • 環境: Manchester

ケース連携機能を使用しているお客様の場合は、 Google SecOps の連携ケース アクセスを設定するをご覧ください。

API アクセス用のサービス アカウントをマッピングする

サービス アカウントに Google SecOps へのアクセス権または Workload Identity 連携アクセス権を付与するには、そのメールアドレスをプラットフォームの アクセス制御パラメータにマッピングする必要があります。これは、自動タスクまたは API オペレーションの実行に必要な SOC ロール環境 へのアクセス権を ID に付与するために必須の手順です。

  1. Google SecOps で、[SOAR 設定] > [詳細] > [グループ マッピング] に移動します。
  2. [add] [Add] をクリックします。
  3. [ロールを追加] ダイアログの [IAM ロール / IdP グループ] フィールドに、サービス アカウントの完全なメールアドレスまたは Workload Identity プリンシパル文字列 を入力します。
  4. 適切な SOC ロール環境 を選択します。
  5. [追加] をクリックします。

サービス アカウントの設定の詳細については、 API 移行ガイドをご覧ください。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。