Le niveau Security Command Center Enterprise inclut certaines fonctionnalités disponibles dans Google Security Operations. Vous examinez et corrigez les failles, les erreurs de configuration et les menaces à l'aide des pages de la consoleGoogle Cloud et de la console Security Operations.
Les utilisateurs de Security Command Center Enterprise ont besoin d'autorisations IAM pour accéder aux fonctionnalités de Security Command Center des pages de la console Google Cloud et de la console Security Operations.
Google Security Operations propose un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités liées à la gestion des informations et des événements de sécurité (SIEM, security information and event management) et aux fonctionnalités liées à l'orchestration de la sécurité, l'automatisation et la réponse (SOAR, security orchestration, automation, and response) sur les pages de la console Security Operations. Vous pouvez attribuer les rôles Google Security Operations au niveau du projet.
Security Command Center dispose d'un ensemble de rôles IAM prédéfinis qui vous permettent d'accéder aux fonctionnalités des pages de la console Security Operations propres au niveau Security Command Center Enterprise. En voici quelques-unes :
- Lecteur éditeur et administrateur du centre de sécurité (
roles/securitycenter.adminEditor) - Lecteur administrateur du centre de sécurité (
roles/securitycenter.adminViewer)
Pour afficher les fonctionnalités Security Command Center disponibles sur les pages de la console Security Operations, les utilisateurs doivent disposer au moins du rôle Lecteur administrateur du centre de sécurité (roles/securitycenter.adminViewer). Attribuez les rôles Security Command Center au niveau de l'organisation.
Lorsque vous planifiez le déploiement, examinez les éléments suivants pour identifier les utilisateurs qui ont besoin d'accéder aux fonctionnalités :
Pour accorder aux utilisateurs l'accès aux fonctionnalités et aux résultats dans la console Google Cloud , consultez Contrôle des accès avec IAM.
Pour accorder aux utilisateurs l'accès aux fonctionnalités de détection et d'analyse des menaces liées au SIEM sur les pages de la console Security Operations, consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM.
Pour accorder aux utilisateurs l'accès aux fonctionnalités de réponse liées à SOAR sur les pages de la console Security Operations, consultez Mapper les rôles IAM côté SOAR de la console Security Operations. Vous mappez également les rôles IAM liés à SOAR aux rôles SOC, aux groupes d'autorisations et aux environnements sous Paramètres SOAR.
Pour créer des rôles IAM personnalisés à l'aide des autorisations IAM Google SecOps, consultez Créer et attribuer un rôle personnalisé à un groupe.
Pour accéder aux fonctionnalités disponibles avec Security Command Center Enterprise, comme la page Présentation de la posture, accordez aux utilisateurs les rôles IAM requis dans l'organisation où Security Command Center Enterprise est activé.
La procédure à suivre pour accorder l'accès aux fonctionnalités varie en fonction de la configuration du fournisseur d'identité.
Si vous utilisez Google Workspace ou Cloud Identity comme fournisseur d'identité, vous accordez des rôles directement à un utilisateur ou à un groupe. Pour obtenir un exemple, consultez Configurer un fournisseur d'identité Google Cloud .
Si vous utilisez la fédération des identités des employés pour vous connecter à un fournisseur d'identité tiers (tel qu'Okta ou Azure AD), vous accordez des rôles aux identités d'un pool d'identités d'employés ou à un groupe au sein du pool d'identités d'employés.
Consultez Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM pour obtenir des exemples de la façon d'accorder des fonctionnalités liées au SIEM et à SOAR à un pool d'identités d'employés.
Assurez-vous que les pools d'employés incluent les autorisations permettant d'accéder aux fonctionnalités spécifiques à Security Command Center sur les pages de la console Security Operations. Voici des exemples :
Pour attribuer le rôle Lecteur administrateur du centre de sécurité à tous les utilisateurs d'un pool d'identités d'employés, exécutez la commande suivante :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition NoneRemplacez les éléments suivants :
ORGANIZATION_ID: ID numérique d'organisation.WORKFORCE_POOL_ID: valeur que vous avez définie pour l'ID du pool d'identités d'employés.
Pour attribuer les rôles de lecteur administrateur du centre de sécurité à un groupe spécifique, exécutez les commandes suivantes :
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneRemplacez
GROUP_IDpar le groupe de la revendicationgoogle.groupsmappée