Lavorare con un utente Collaboratore

Questo documento descrive la procedura per un amministratore per aggiungere utenti Collaboratore alla piattaforma Google Security Operations. Questo tipo di utente è essenziale quando devi concedere l'accesso controllato e assegnare attività specifiche e con ambito a una parte interessata interna o a un partner esterno, ad esempio un cliente di un fornitore di servizi di sicurezza gestiti (MSSP).

I passaggi generali per aggiungere questi utenti sono gli stessi per aggiungere utenti normali:

1. Acquista la licenza per il numero richiesto di utenti Collaboratore con i tuoi Account Manager.
2. Crea un nuovo gruppo di autorizzazioni Collaboratore o utilizza il gruppo Collaboratore predefinito.
3. Crea un nuovo utente.

Vantaggi dell'aggiunta di un utente Collaboratore

L'utente Collaboratore nella piattaforma Google Security Operations è progettato per partner esterni (come un fornitore di servizi di sicurezza gestiti [MSSP]) o stakeholder interni che necessitano di un accesso specifico e controllato alle indagini. Combina le autorizzazioni di un utente di base e di un ruolo di sola visualizzazione.

Questo modello facilita le indagini congiunte e la collaborazione in tempo reale sui casi con clienti o utenti finali concedendo autorizzazioni granulari specifiche per il modulo (view-only o edit).

Autorizzazioni e funzionalità principali

Il responsabile del SOC può assegnare l'accesso view-only o edit all'utente Collaboratore nei seguenti moduli della piattaforma:

• Gestione delle richieste: accesso a richieste specifiche con una visualizzazione degli avvisi personalizzata per il ruolo del collaboratore.
• Esecuzione del playbook: partecipazione diretta ai flussi di lavoro automatizzati:
• Le azioni manuali (o interi blocchi del playbook) possono essere assegnate al collaboratore.
• Le attività assegnate vengono visualizzate nell'Area di lavoro del collaboratore e nel widget Azioni in attesa.
• L'azione Playbook supporta la messaggistica diretta e mirata al collaboratore.
• Visibilità dei dati: accesso ai dati operativi e di sicurezza a livello di piattaforma:
• Dashboard: i collaboratori possono visualizzare metriche, tendenze e indicatori chiave di prestazione (KPI) relativi alle operazioni di sicurezza. Queste informazioni consentono di monitorare l'integrità complessiva dell'ambiente senza la possibilità di modificare i dati o le impostazioni sottostanti.
• Ricerca: i collaboratori possono eseguire query per analizzare gli eventi di sicurezza, esaminare i log e identificare gli indicatori di compromissione. Questo strumento supporta la ricerca delle minacce e la raccolta di dati per gli incidenti attivi.
• Casi:i collaboratori con accesso ai casi visualizzano una schermata di avviso appositamente pensata per il loro ruolo. Per informazioni su come definire avvisi personalizzati, vedi Definire visualizzazioni di avvisi personalizzate dal designer del playbook.
• Esplora entità: i collaboratori possono visualizzare informazioni dettagliate sulle entità (utenti, endpoint, indirizzi IP, file), inclusa la cronologia dell'entità, gli avvisi associati e le relazioni con altri oggetti. Queste informazioni sono fondamentali per definire l'ambito di un incidente e identificare il movimento laterale.
• Report: i collaboratori possono visualizzare report pregenerati su scansioni delle vulnerabilità, audit di conformità e riepiloghi degli incidenti.
• Command Center: l'accesso mostra una panoramica consolidata in tempo reale di tutte le operazioni di sicurezza. Questa panoramica include un feed in tempo reale degli avvisi, un riepilogo dei casi attivi e dashboard delle metriche chiave.
• SLA: la visualizzazione dell'accordo sul livello del servizio (SLA) consente ai collaboratori di monitorare le prestazioni del team di sicurezza rispetto agli obiettivi di risposta e risoluzione definiti. Queste informazioni forniscono visibilità sull'efficienza operativa e confermano la gestione tempestiva degli eventi di sicurezza in base agli accordi stabiliti.
• Workdesk:i responsabili del SOC possono assegnare un'azione manuale o un intero blocco del playbook a un collaboratore, insieme a un messaggio mirato nell'azione. Il collaboratore visualizza l'attività e il messaggio assegnati nel Workdesk e nel widget Azioni in attesa.Per ulteriori informazioni su come assegnare un'azione a un collaboratore, vedi Assegnare azioni e blocchi del playbook.
  Per ulteriori informazioni su come assegnare un'azione a un collaboratore, vedi Assegnare azioni e blocchi del playbook.
• Workdesk: Le mie richieste: i collaboratori accedono a Le mie richieste per inviare richieste di servizio predefinite.
  Per maggiori dettagli su come definire le richieste per gli utenti collaboratori, vedi Definire le richieste per gli utenti.
  Per informazioni dettagliate su come scegliere una richiesta specifica come utente collaboratore, vedi Compilare una richiesta.
  

Visualizza i dettagli della licenza

Per visualizzare i dettagli della licenza:

1. Organizza una licenza per il numero richiesto di utenti collaboratori.
2. Vai a Impostazioni > Organizzazioni > Gestione licenze per visualizzare i dettagli.

Configurare un gruppo di autorizzazioni

Per configurare un gruppo di autorizzazioni per definire i moduli della piattaforma a cui può accedere un utente collaboratore:

1. Vai a Impostazioni > Organizzazione > Autorizzazioni.
2. Fai clic sul gruppo di autorizzazioni predefinito Collaboratori o creane uno nuovo.
3. Seleziona il tipo Pagina di destinazione dall'elenco.
4. Seleziona i moduli richiesti a cui il gruppo deve accedere.
5. Fai clic su Salva.

Creare un utente collaboratore (solo clienti SOAR standalone)

Per creare un utente collaboratore:

1. Vai a Impostazioni > Organizzazione > Gestione utenti.
2. Fai clic su add Aggiungi.
3. Nella finestra di dialogo Aggiungi utente, seleziona quanto segue:
1. Nel campo Tipo di licenza, seleziona Collaboratore.
2. Nell'elenco Gruppo di autorizzazioni, seleziona Collaboratore o qualsiasi nuovo gruppo creato per gli utenti collaboratori.
4. Fai clic su Aggiungi.

Un invito a partecipare a Google SecOps SOAR viene inviato automaticamente all'utente collaboratore. Il suo stato rimane In attesa finché non accetta l'invito e crea una password.

Passaggi successivi

• Per assegnare attività, consulta Assegnare azioni e blocchi del playbook.
• Per configurare il modulo delle richieste, vedi Creare richieste degli utenti.