מיפוי ואימות משתמשים כדי להפעיל תכונות שקשורות ל-SOAR

במאמר הזה מוסבר איך להעניק הרשאה למשתמשים ולמפות אותם באמצעות ניהול זהויות והרשאות גישה (IAM) עם זיהוי מאובטח בתכונות שקשורות ל-SOAR בדפים של מסוף Security Operations.

לפני שמתחילים

מוודאים שהגדרתם ומיפיתם משתמשים באמצעות IAM לתכונות שקשורות ל-SIEM בדפים של מסוף Security Operations. מידע נוסף זמין במאמר שליטה בגישה לפיצ'רים באמצעות IAM.

הקצאת תפקידי IAM במסוף Google Cloud

שלושה תפקידים מוגדרים מראש ב-IAM נוספו לפרויקט Security Command Center Enterprise במסוף Google Cloud .

  • אדמין של Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

בקטע הבא מוסבר איך לתת למשתמשים תפקידים ב-IAM במסוף Google Cloud .

  1. פותחים את המסוף ובוחרים את Security Command Center.
  2. לוחצים על IAM & Admin.
  3. בתפריט הניווט, בוחרים באפשרות IAM ואז באפשרות Grant Access (מתן גישה).
  4. בתיבת הדו-שיח Grant Access (מתן גישה), עוברים לשדה Add Principals (הוספת ישויות) ומזינים את כתובות האימייל של המשתמשים או קבוצות המשתמשים לאחד משלושת תפקידי ה-IAM.
  5. בשדה Select a role (בחירת תפקיד), מחפשים את התפקיד הנדרש: Chronicle SOAR Admin (אדמין של Chronicle SOAR), Chronicle SOAR Threat Manager (מנהל איומים של Chronicle SOAR) או Chronicle SOAR Vulnerability Manager (מנהל פגיעויות של Chronicle SOAR).
  6. חוזרים על התהליך הזה לכל שלושת התפקידים או לפי הצורך.
  7. לוחצים על Save.

שליטה בגישת המשתמשים

בניווט במסוף Google Cloud , עוברים אל הגדרות > הגדרות SOAR. בדף הגדרות SOAR במסוף Security Operations, יש כמה דרכים שונות לקבוע לאילו משתמשים יש גישה לאילו היבטים של הפלטפורמה.

  • קבוצות הרשאות: הגדרת קבוצות הרשאות לסוגי משתמשים, כדי לקבוע אילו מודולים ותתי-מודולים יהיו גלויים למשתמשים או ניתנים לעריכה על ידם. לדוגמה, אפשר להגדיר הרשאות כך שהמשתמש יוכל לראות את הפניות ואת מרכז העבודה, אבל לא תהיה לו גישה לתוכניות הפעולה ולהגדרות. מידע נוסף זמין במאמר עבודה עם קבוצות הרשאות במסמכי Google SecOps.
  • תפקידים ב-SOC: הגדרת התפקיד של קבוצת משתמשים. אתם יכולים להגדיר תפקיד SOC למקרים, לפעולות או לתוכניות פעולה במקום למשתמש ספציפי. המשתמשים יכולים לראות בקשות לתמיכה שהוקצו להם באופן אישי, לתפקיד שלהם או לאחד מהתפקידים הנוספים. מידע נוסף זמין במאמר עבודה עם תפקידים במאמרי העזרה של Google SecOps.
  • סביבות: הגדרה של סביבות שארגונים יכולים להשתמש בהן כדי לנהל רשתות שונות או יחידות עסקיות שונות באותו ארגון. המשתמשים רואים רק את הנתונים של הסביבות שיש להם גישה אליהן. מידע נוסף זמין במאמר הוספת סביבה חדשה במאמרי העזרה של Google SecOps.

מיפוי תפקידי IAM באמצעות ההגדרות של SOAR בדף Security Operations Console

  1. במסוף Google Cloud , עוברים אל Settings > SOAR settings > Advanced > IAM Role mapping.
  2. משתמשים בשם התצוגה (למשל, Chronicle SOAR Admin) כדי להקצות כל תפקיד IAM לתפקידי ה-SOC המתאימים (Threat Manager,‏ Vulnerability Manager או Admin), לקבוצות ההרשאות (בוחרים בקבוצת ההרשאות Admins) ולסביבות (בוחרים בסביבת ברירת המחדל). אפשר גם להוסיף כתובת אימייל במקום תפקיד IAM.
  3. לוחצים על Save.
כשכל משתמש מתחבר לפלטפורמה, הוא מתווסף אוטומטית אל הדף 'ניהול משתמשים' (שנמצא בהגדרות SOAR > ארגון ).

לפעמים משתמשים מנסים לגשת לתכונות של מסוף Security Operations, אבל תפקיד ה-IAM שלהם לא מופה בפלטפורמה. כדי שהמשתמשים האלה לא יידחו, מומלץ להפעיל את הגדרות הגישה שמוגדרות כברירת מחדל בדף הזה.