Travailler avec un utilisateur collaborateur

Compatible avec :

Ce document décrit la procédure à suivre par un administrateur pour ajouter des utilisateurs collaborateurs à la plate-forme Google Security Operations. Ce type d'utilisateur est essentiel lorsque vous devez accorder un accès contrôlé et attribuer des tâches spécifiques et limitées à une partie prenante interne ou à un partenaire externe, tel qu'un client fournisseur de services de sécurité gérés (MSSP).

Les grandes étapes à suivre pour ajouter ces utilisateurs sont les mêmes que pour ajouter des utilisateurs standards :

  1. Achetez la licence pour le nombre requis d'utilisateurs Collaborateur auprès de vos responsables de compte.
  2. Créez un groupe d'autorisations Collaborateur ou utilisez le groupe prédéfini Collaborateur.
  3. Créez un utilisateur.

Avantages de l'ajout d'un utilisateur collaborateur

Le rôle d'utilisateur "Collaborateur" dans la plate-forme Google Security Operations est conçu pour les partenaires externes (comme un fournisseur de services de sécurité gérés [MSSP]) ou les parties prenantes internes qui ont besoin d'un accès spécifique et contrôlé aux investigations. Il combine les autorisations d'un utilisateur de base et d'un rôle en lecture seule.

Ce modèle facilite les investigations conjointes et la collaboration en temps réel sur les demandes avec les clients ou les utilisateurs finaux en accordant des autorisations spécifiques aux modules (view-only ou edit).

Autorisations et fonctionnalités clés

Le responsable SOC peut attribuer un accès view-only ou edit à l'utilisateur collaborateur dans les modules de plate-forme suivants :

  • Gestion des demandes : accès à des demandes spécifiques avec une vue des alertes personnalisée pour le rôle de collaborateur.
  • Exécution de playbooks : participation directe aux workflows automatisés :
    • Des actions manuelles (ou des blocs entiers de playbook) peuvent être attribuées au collaborateur.
    • Les tâches attribuées s'affichent dans l'espace de travail du collaborateur et dans le widget Actions en attente.
    • L'action Playbook permet d'envoyer des messages directs et ciblés au collaborateur.
  • Visibilité des données : accès aux données opérationnelles et de sécurité à l'échelle de la plate-forme :
    • Tableaux de bord : les collaborateurs peuvent consulter les métriques, les tendances et les indicateurs clés de performances (KPI) liés aux opérations de sécurité. Ces informations leur permettent de surveiller l'état général de l'environnement sans pouvoir modifier les données ni les paramètres sous-jacents.
    • Rechercher : les collaborateurs peuvent exécuter des requêtes pour examiner les événements de sécurité, consulter les journaux et identifier les indicateurs de compromission (IoC). Cet outil permet de détecter les menaces et de collecter des données pour les incidents actifs.
    • Demandes : les collaborateurs ayant accès aux demandes voient un écran d'alerte spécialement adapté à leur rôle. Pour savoir comment définir des alertes personnalisées, consultez Définir des vues d'alerte personnalisées à partir du concepteur de playbooks.
  • Explorateur d'entités : les collaborateurs peuvent afficher des informations détaillées sur les entités (utilisateurs, points de terminaison, adresses IP, fichiers), y compris la chronologie de l'entité, les alertes associées et les relations avec d'autres objets. Ces informations sont essentielles pour évaluer l'étendue d'un incident et identifier les déplacements latéraux.
  • Rapports : les collaborateurs peuvent consulter les rapports pré-générés sur les analyses des failles, les audits de conformité et les récapitulatifs des incidents.
  • Command Center : l'accès affiche une vue d'ensemble consolidée et en temps réel de toutes les opérations de sécurité. Cette vue d'ensemble inclut un flux d'alertes en direct, un récapitulatif des cas actifs et des tableaux de bord de métriques clés.
  • SLA : la vue "Contrat de niveau de service" (SLA, Service Level Agreement) permet aux collaborateurs de suivre les performances de l'équipe de sécurité par rapport aux objectifs de réponse et de résolution définis. Ces informations permettent de mieux comprendre l'efficacité opérationnelle et de confirmer que les événements de sécurité sont traités en temps voulu, conformément aux accords établis.
  • Workdesk : les responsables SOC peuvent attribuer une action manuelle ou un bloc entier de playbook à un collaborateur, ainsi qu'un message ciblé dans l'action. Le collaborateur voit la tâche et le message qui lui sont attribués dans son espace de travail et dans le widget Actions en attente.Pour savoir comment attribuer une action à un collaborateur, consultez Attribuer des actions et des blocs de playbook.
    Pour savoir comment attribuer une action à un collaborateur, consultez Attribuer des actions et des blocs de playbook.
  • Workdesk : Mes demandes : les collaborateurs accèdent à Mes demandes pour envoyer des demandes de service prédéfinies.
    Pour savoir comment définir des demandes pour les utilisateurs collaborateurs, consultez Définir des demandes pour les utilisateurs.
    Pour savoir comment choisir une demande spécifique en tant qu'utilisateur collaborateur, consultez Remplir une demande.

Afficher les détails de la licence

Pour afficher les détails d'une licence, procédez comme suit :

  1. Souscrivez une licence pour le nombre requis d'utilisateurs collaborateurs.
  2. Pour afficher les détails, accédez à Paramètres> Organisations> Gestion des licences.

Configurer un groupe d'autorisations

Pour configurer un groupe d'autorisations afin de définir les modules de la plate-forme auxquels un utilisateur collaborateur peut accéder, procédez comme suit :

  1. Accédez à Paramètres> Organisation> Autorisations.
  2. Cliquez sur le groupe d'autorisations prédéfini Collaborateurs ou créez-en un.
  3. Sélectionnez le type Page de destination dans la liste.
  4. Sélectionnez les modules auxquels le groupe doit avoir accès.
  5. Cliquez sur Enregistrer.

Créer un utilisateur collaborateur (clients SOAR autonomes uniquement)

Pour créer un utilisateur collaborateur, procédez comme suit :

  1. Accédez à Paramètres > Organisation > Gestion des utilisateurs.
  2. Cliquez sur Ajouter.
  3. Dans la boîte de dialogue Ajouter un utilisateur, sélectionnez les éléments suivants :
    1. Dans le champ Type de licence, sélectionnez Collaborateur.
    2. Dans la liste Groupe d'autorisations, sélectionnez Collaborateur ou tout nouveau groupe que vous avez créé pour les utilisateurs collaborateurs.
  4. Cliquez sur Ajouter.

Une invitation à rejoindre Google SecOps SOAR est automatiquement envoyée à l'utilisateur collaborateur. Son état reste En attente jusqu'à ce qu'il accepte l'invitation et crée un mot de passe.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.