Security Command Center のエンタープライズ ティアには、Google Security Operations で利用可能な特定の機能が含まれています。脆弱性、構成ミス、脅威の調査と修正には、Google Cloud コンソールと Security Operations コンソールの両方のページを使用します。
Security Command Center Enterprise ユーザーは、 Google Cloud コンソールとセキュリティ運用コンソールの両方のページで Security Command Center の機能にアクセスするための IAM 権限が必要です。
Google Security Operations では、セキュリティ運用コンソールのページで SIEM 関連の機能と SOAR 関連の機能にアクセスできる IAM ロールが事前に定義されています。Google Security Operations のロールは、プロジェクト レベルで付与できます。
Security Command Center には、Security Command Center Enterprise ティアに固有のセキュリティ運用コンソール ページの機能にアクセスできる IAM ロールが事前に定義されています。次のようなものがあります。
- セキュリティ センター管理編集閲覧者(
roles/securitycenter.adminEditor) - セキュリティ センター管理閲覧者(
roles/securitycenter.adminViewer)
Security Operations コンソール ページで使用可能な Security Command Center の機能を表示するには、セキュリティ センター管理閲覧者(roles/securitycenter.adminViewer)以上のロールが必要です。組織レベルで Security Command Center のロールを付与します。
デプロイを計画する際は、次の点を確認して、どのユーザーが機能にアクセスする必要があるかを特定します。
Google Cloud コンソールの機能と検出結果へのユーザー アクセス権を付与するには、IAM によるアクセス制御をご覧ください。
セキュリティ運用コンソールのページで SIEM 関連の脅威検出と調査機能へのユーザー アクセスを許可するには、IAM を使用して機能のアクセス制御を構成するをご覧ください。
セキュリティ運用コンソールのページで SOAR 関連のレスポンス機能へのアクセス権をユーザーに付与するには、セキュリティ運用コンソールの SOAR 側で IAM ロールをマッピングするをご覧ください。また、[SOAR settings] で SOAR 関連の IAM ロールを SOC ロール、権限グループ、環境にマッピングします。
Google SecOps IAM 権限を使用してカスタム IAM ロールを作成するには、カスタムロールを作成してグループに割り当てるをご覧ください。
ポスチャーの概要ページなど、Security Command Center Enterprise で利用可能な機能にアクセスするには、Security Command Center Enterprise が有効になっている組織で必要な IAM ロールをユーザーに付与します。
機能へのアクセス権を付与する手順は、ID プロバイダの構成によって異なります。
ID プロバイダとして Google Workspace または Cloud Identity を使用する場合は、ユーザーまたはグループにロールを直接付与します。これを行う方法の例については、 Google Cloud ID プロバイダを構成するをご覧ください。
Workforce Identity 連携を使用してサードパーティの ID プロバイダ(Okta や Azure AD など)に接続する場合は、Workforce Identity プールの ID または Workforce Identity プール内のグループにロールを付与します。
Workforce Identity プールに SIEM 関連の機能と SOAR 関連の機能を付与する方法の例については、IAM を使用して機能アクセス制御を構成するをご覧ください。
Workforce プールに、セキュリティ運用コンソール ページで Security Command Center 固有の機能にアクセスするための権限が含まれていることを確認します。次に例を示します。
Workforce ID プールのすべてのユーザーにセキュリティ センター管理閲覧者ロールを付与するには、次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/*" \ --condition None次のように置き換えます。
ORGANIZATION_ID: 数値の組織 IDWORKFORCE_POOL_ID: Workforce Identity プール ID 用に定義した値。
特定のグループに Security Center 管理閲覧者のロールを付与するには、次のコマンドを実行します。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --role roles/securitycenter.adminViewer \ --member "principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID" \ --condition NoneGROUP_ID: マッピングされたgoogle.groupsクレーム内のグループ。