Esta página se ha traducido con Cloud Translation API.

Trabajar con un usuario Colaborador

Disponible en:

SecOps de Google SOAR

En este documento se describe el procedimiento que debe seguir un administrador para añadir usuarios colaboradores a la plataforma Google Security Operations. Este tipo de usuario es esencial cuando necesitas conceder acceso controlado y asignar tareas específicas y acotadas a un interesado interno o a un partner externo, como un cliente de un proveedor de servicios de seguridad gestionados (MSSP).

Los pasos generales para añadir estos usuarios son los mismos que para añadir usuarios normales:

Compra la licencia para el número necesario de usuarios Colaborador con tus gestores de cuentas.
Crea un grupo de permisos de Colaborador o usa el grupo Colaborador predefinido.
Crea un usuario.

Ventajas de añadir un usuario Colaborador

El usuario Colaborador de la plataforma Google Security Operations está diseñado para partners externos (como un proveedor de servicios de seguridad gestionados [MSSP]) o partes interesadas internas que necesiten un acceso específico y controlado a las investigaciones. Combina los permisos de un usuario básico y un rol de solo lectura.

Este modelo facilita las investigaciones conjuntas y la colaboración en tiempo real en casos con clientes o usuarios finales, ya que concede permisos granulares y específicos de cada módulo (view-only o edit).

Permisos y funciones principales

El gestor de SOC puede asignar acceso de view-only o edit al usuario Colaborador en los siguientes módulos de la plataforma:

Gestión de casos: acceso a casos específicos con una vista de alertas personalizada para el rol del colaborador.
Ejecución de guías: participación directa en flujos de trabajo automatizados:

Se pueden asignar acciones manuales (o bloques de Playbook completos) al colaborador.
Las tareas asignadas aparecen en el Escritorio del colaborador y en el widget Acciones pendientes.
La acción del manual de estrategias permite enviar mensajes directos y específicos al colaborador.

Visibilidad de los datos: acceso a datos operativos y de seguridad de toda la plataforma:

Paneles de control: los colaboradores pueden ver métricas, tendencias e indicadores clave de rendimiento (KPI) relacionados con las operaciones de seguridad. Esta información les permite monitorizar el estado general del entorno sin poder modificar los datos ni la configuración subyacentes.
Búsqueda: los colaboradores pueden ejecutar consultas para investigar eventos de seguridad, revisar registros e identificar indicadores de riesgo. Esta herramienta permite buscar amenazas y recopilar datos de incidentes activos.
Casos: los colaboradores con acceso a los casos ven una pantalla de alerta adaptada específicamente a su rol. Para obtener información sobre cómo definir alertas personalizadas, consulta el artículo Definir vistas de alertas personalizadas en el diseñador de guías.

Explorador de entidades: los colaboradores pueden ver información detallada sobre las entidades (usuarios, endpoints, direcciones IP y archivos), incluida la cronología de la entidad, las alertas asociadas y las relaciones con otros objetos. Esta información es fundamental para acotar un incidente e identificar movimientos laterales.
Informes: los colaboradores pueden ver informes pregenerados sobre análisis de vulnerabilidades, auditorías de cumplimiento y resúmenes de incidentes.
Centro de comandos: el acceso muestra una vista general consolidada y en tiempo real de todas las operaciones de seguridad. Este resumen incluye un feed de alertas en tiempo real, un resumen de los casos activos y paneles de control con métricas clave.
Acuerdo de nivel de servicio: la vista de acuerdo de nivel de servicio permite a los colaboradores monitorizar el rendimiento del equipo de seguridad en comparación con los objetivos de respuesta y resolución definidos. Esta información ofrece visibilidad sobre la eficiencia operativa y confirma que los eventos de seguridad se gestionan a tiempo según los acuerdos establecidos.
Espacio de trabajo: los gestores de SOC pueden asignar una acción manual o un bloque de Playbook completo a un colaborador, junto con un mensaje específico en la acción. El colaborador ve la tarea y el mensaje asignados en su espacio de trabajo y en el widget Acciones pendientes.Para obtener más información sobre cómo asignar una acción a un colaborador, consulta Asignar acciones y bloques de manual de estrategias.
Para obtener más información sobre cómo asignar una acción a un colaborador, consulta Asignar acciones y bloques de manual de estrategias.
Workdesk: Mis solicitudes: los colaboradores acceden a Mis solicitudes para enviar solicitudes de servicio predefinidas.
Para obtener información sobre cómo definir solicitudes para usuarios colaboradores, consulta Definir solicitudes para usuarios.
Para obtener información sobre cómo elegir una solicitud específica como usuario colaborador, consulta Rellenar una solicitud.

Ver los detalles de la licencia

Para ver los detalles de una licencia, sigue estos pasos:

Consigue una licencia para el número de usuarios colaboradores que necesites.
Ve a Configuración > Organizaciones > Gestión de licencias para ver los detalles.

Configurar un grupo de permisos

Para configurar un grupo de permisos que defina los módulos de la plataforma a los que puede acceder un usuario colaborador, sigue estos pasos:

Ve a Configuración > Organización > Permisos.
Haga clic en el grupo de permisos predefinido Colaboradores o cree uno.
Seleccione el tipo Página de destino en la lista.
Nota: La página de destino predeterminada de los colaboradores es Página principal > Acciones pendientes. El administrador puede definir cualquier otro módulo permitido como página de destino del colaborador.
Selecciona los módulos a los que debe tener acceso el grupo.
Haz clic en Guardar.

Crear un usuario colaborador (solo para clientes de SOAR independiente)

Para crear un usuario colaborador, sigue estos pasos:

Ve a Configuración > Organización > Gestión de usuarios.
Haz clic en Añadir.
En el cuadro de diálogo Añadir usuario, selecciona lo siguiente:

En el campo Tipo de licencia, selecciona Colaborador.
En la lista Grupo de permisos, selecciona Colaborador o cualquier grupo nuevo que hayas creado para usuarios colaboradores.

Haz clic en Añadir.

Se envía automáticamente una invitación para unirse a Google SecOps SOAR al usuario colaborador. Su estado será Pendiente hasta que acepte la invitación y cree una contraseña.

Siguientes pasos

Para asignar tareas, consulta Asignar acciones y bloques de manual de procedimientos.
Para configurar el formulario de solicitudes, consulta Crear solicitudes de usuarios.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.