與「協作者」使用者合作
支援的國家/地區:
Google SecOps
SOAR
本文件說明管理員如何將協作者使用者新增至 Google Security Operations 平台。當您需要授予受控存取權,並將特定範圍的工作指派給內部利害關係人或外部合作夥伴 (例如代管安全服務供應商 (MSSP) 客戶) 時,這類使用者就非常重要。
新增這類使用者的高階步驟與新增一般使用者相同:
- 向帳戶管理員購買授權,以取得所需數量的協作者使用者。
- 建立新的「協作者」權限群組,或使用預先定義的「協作者」群組。
- 建立新使用者。
新增協作者的好處
Google Security Operations 平台中的「協作者」使用者專為外部合作夥伴 (例如受管理的安全服務供應商 [MSSP]) 或內部利害關係人設計,可讓他們取得特定調查的受控存取權。這個角色結合了基本使用者和僅供檢視角色的權限。
這個模型可授予細部、模組專屬的權限 (view-only或 edit),方便您與客戶或使用者共同調查,並即時協作處理案件。
主要權限和功能
SOC 管理員可以為協作者使用者指派下列平台模組的 view-only 或 edit 存取權:
- 案件管理:存取特定案件,並查看為協作者角色自訂的快訊檢視畫面。
- 應對手冊執行:直接參與自動化工作流程:
- 您可以將手動操作 (或整個應對手冊區塊) 指派給協作者。
- 指派的工作會顯示在協作者的「工作區」和「待處理動作」小工具中。
- Playbook 動作支援直接傳送訊息給協作者。
- 資料可視性:存取平台全方位的營運和安全資料:
- 資訊主頁:協作者可以查看與安全營運相關的指標、趨勢和主要成效指標 (KPI)。這樣一來,他們就能監控環境的整體健康狀態,但無法修改基礎資料或設定。
- 搜尋:協作者可以執行查詢來調查安全性事件、查看記錄,以及找出入侵指標 (IoC)。這項工具支援威脅搜尋,並收集現有事件的資料。
- 案件:具有案件存取權的協作者會看到專為其角色設計的快訊畫面。如要瞭解如何定義自訂快訊檢視畫面,請參閱「透過應對手冊設計工具定義自訂快訊檢視畫面」。
- 實體探索工具:協作者可以查看詳細的實體資訊 (使用者、端點、IP 位址、檔案),包括實體的時間軸、相關聯的快訊,以及與其他物件的關係。這項資訊對於判斷事件範圍和識別橫向移動至關重要。
- 報表:協作者可以查看預先產生的安全漏洞掃描、法規遵循稽核和事件摘要報表。
- 指令中心:存取權會顯示所有安全作業的整合式即時總覽。這份總覽包含即時快訊動態消息、未結案件摘要和主要指標資訊主頁。
- 服務水準協議 (SLA):協作者可透過服務水準協議 (SLA) 檢視畫面,根據定義的回覆和解決目標追蹤安全團隊的績效。這項資訊可讓您瞭解作業效率,並確認安全事件是否按照既定協議及時處理。
- Workdesk:SOC 管理員可以將手動動作或整個 Playbook 區塊指派給協作者,並在動作中加入目標訊息。協作者會在「工作台」和「待處理動作」小工具中,查看指派的工作和訊息。如要進一步瞭解如何將動作指派給協作者,請參閱「指派動作和劇本區塊」。
如要進一步瞭解如何將動作指派給協作者,請參閱「指派動作和劇本區塊」。 - Workdesk:我的要求:協作者可存取「我的要求」,提交預先定義的服務要求。
如要瞭解如何為協作者使用者定義要求,請參閱「為使用者定義要求」。
如要瞭解如何選擇特定要求做為協作者使用者,請參閱「填寫要求」。
查看授權詳細資料
如要查看授權詳細資料,請按照下列步驟操作:
- 為必要數量的協作者使用者安排授權。
- 依序前往「設定」>「機構」>「授權管理」,即可查看詳細資料。
設定權限群組
如要設定權限群組,定義協作者使用者可存取的平台模組,請按照下列步驟操作:
- 依序前往「設定」>「機構」>「權限」。
- 按一下預先定義的「協作者」權限群組,或建立新的群組。
- 從清單中選取「到達網頁」類型。
- 選取群組需要存取的模組。
- 按一下 [儲存]。
建立協作者使用者 (僅限 SOAR 獨立平台版客戶)
如要建立協作者使用者,請按照下列步驟操作:
- 依序前往「設定」>「機構」>「使用者管理」。
- 按一下「新增」。
- 在「新增使用者」對話方塊中,選取下列項目:
- 在「授權類型」欄位中,選取「協作者」。
- 在「權限群組」清單中,選取「共同編輯者」或您為共同編輯者使用者建立的任何新群組。
- 按一下「新增」。
系統會自動傳送 Google SecOps SOAR 的加入邀請給協作者。在對方接受邀請並建立密碼前,狀態會維持「待處理」。
後續步驟
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。