מיפוי ואימות משתמשים כדי להפעיל תכונות שקשורות ל-SOAR

במאמר הזה מוסבר איך להעניק הרשאות למשתמשים ולמפות אותם באמצעות ניהול זהויות והרשאות גישה (IAM) עם זיהוי מאובטח בתכונות שקשורות ל-SOAR בדפים של מסוף Security Operations.

לפני שמתחילים

חשוב לוודא שהגדרתם את המשתמשים ומיפיתם אותם באמצעות IAM לתכונות שקשורות ל-SIEM בדפים של מסוף Security Operations. מידע נוסף זמין במאמר שליטה בגישה לפיצ'רים באמצעות IAM.

הקצאת תפקידי IAM במסוף Google Cloud

שלושה תפקידים מוגדרים מראש ב-IAM נוספו לפרויקט Security Command Center Enterprise במסוף Google Cloud .

  • אדמין של Chronicle SOAR (roles/chronicle.soarAdmin)
  • Chronicle SOAR Threat Manager (roles/chronicle.soarThreatManager)
  • Chronicle SOAR Vulnerability Manager (roles/chronicle.soarVulnerabilityManager)

בקטע הבא מוסבר איך להקצות תפקידים ב-IAM למשתמשים במסוף Google Cloud .

  1. פותחים את המסוף ובוחרים את Security Command Center.
  2. לוחצים על IAM & Admin.
  3. בתפריט הניווט, בוחרים באפשרות IAM ואז באפשרות Grant Access (מתן גישה).
  4. בתיבת הדו-שיח Grant Access, עוברים לשדה Add Principals ומזינים את כתובות האימייל של המשתמשים או של קבוצות המשתמשים לאחד משלושת תפקידי ה-IAM.
  5. בשדה Select a role, מחפשים את התפקיד הנדרש: Chronicle SOAR Admin, Chronicle SOAR Threat Manager, or Chronicle SOAR Vulnerability Manager.
  6. חוזרים על התהליך הזה לכל שלושת התפקידים או לפי הצורך.
  7. לוחצים על Save.

שליטה בגישת המשתמשים

בניווט במסוף Google Cloud , עוברים אל הגדרות > הגדרות SOAR. בדף הגדרות SOAR במסוף Security Operations, יש כמה דרכים שונות לקבוע לאילו משתמשים יש גישה לאילו היבטים של הפלטפורמה.

  • קבוצות הרשאות: הגדרת קבוצות הרשאות לסוגי משתמשים, שקובעות אילו מודולים ותתי-מודולים יהיו גלויים למשתמשים או ניתנים לעריכה על ידם. לדוגמה, אפשר להגדיר הרשאות כך שהמשתמש יוכל לראות את הפניות ואת מרכז העבודה, אבל לא תהיה לו גישה לתוכניות הפעולה ולהגדרות. מידע נוסף זמין במאמר עבודה עם קבוצות הרשאות במסמכי Google SecOps.
  • תפקידים ב-SOC: הגדרת התפקיד של קבוצת משתמשים. אתם יכולים להגדיר תפקיד SOC למקרים, לפעולות או לתוכניות פעולה במקום למשתמש ספציפי. המשתמשים רואים את הבקשות שהוקצו להם באופן אישי, לתפקיד שלהם או לאחד מהתפקידים הנוספים. מידע נוסף זמין במאמר עבודה עם תפקידים במסמכי התיעוד של Google SecOps.
  • סביבות: הגדרה של סביבות שארגונים יכולים להשתמש בהן כדי לנהל רשתות או יחידות עסקיות שונות באותו ארגון. המשתמשים רואים רק את הנתונים של הסביבות שיש להם גישה אליהן. מידע נוסף זמין במאמר הוספת סביבה חדשה במאמרי העזרה של Google SecOps.

מיפוי תפקידי IAM באמצעות ההגדרות של SOAR בדף Security Operations Console

  1. במסוף Google Cloud , עוברים אל Settings > SOAR settings > Advanced > IAM Role mapping.
  2. משתמשים בשם התצוגה (למשל, Chronicle SOAR Admin) כדי להקצות כל תפקיד IAM לתפקיד SOC המתאים (Threat Manager,‏ Vulnerability Manager או Admin), לקבוצות הרשאות (בוחרים בקבוצת ההרשאות Admins) ולסביבות (בוחרים בסביבת ברירת המחדל). אפשר גם להוסיף כתובת אימייל במקום תפקיד IAM.
  3. לוחצים על Save.
כשכל משתמש מתחבר לפלטפורמה, הוא מתווסף אוטומטית אל דף ניהול המשתמשים (שנמצא בהגדרות SOAR > ארגון ).

לפעמים משתמשים מנסים לגשת לתכונות של מסוף Security Operations, אבל תפקיד ה-IAM שלהם לא מופה בפלטפורמה. כדי שהמשתמשים האלה לא יידחו, מומלץ להפעיל ולהגדיר את הגדרות הגישה שמוגדרות כברירת מחדל בדף הזה.