Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Utilizzare un utente Collaboratore

Supportato in:

Google secops SOAR

Questo documento descrive la procedura che un amministratore deve seguire per aggiungere utenti Collaboratore alla piattaforma Google Security Operations. Questo tipo di utente è essenziale quando devi concedere l'accesso controllato e assegnare attività specifiche e con ambito a uno stakeholder interno o a un partner esterno, ad esempio un cliente di un fornitore di servizi di sicurezza gestiti (MSSP).

I passaggi di alto livello per aggiungere questi utenti sono gli stessi per gli utenti normali:

Acquista la licenza per il numero richiesto di utenti Collaboratore con i tuoi Account Manager.
Crea un nuovo gruppo di autorizzazioni Collaboratore o utilizza il gruppo Collaboratore predefinito.
Crea un nuovo utente.

Vantaggi dell'aggiunta di un utente Collaboratore

L'utente Collaboratore nella piattaforma Google Security Operations è progettato per partner esterni (come un fornitore di servizi di sicurezza gestiti [MSSP]) o parti interessate interne che necessitano di un accesso specifico e controllato alle indagini. Combina le autorizzazioni di un utente di base e un ruolo di sola visualizzazione.

Questo modello facilita le indagini congiunte e la collaborazione in tempo reale sui casi con clienti o utenti finali concedendo autorizzazioni granulari e specifiche per modulo (view-only o edit).

Autorizzazioni e funzionalità principali

Il responsabile del SOC può assegnare l'accesso view-only o edit all'utente Collaboratore nei seguenti moduli della piattaforma:

Gestione dei casi: accesso a casi specifici con una visualizzazione degli avvisi personalizzata per il ruolo del Collaboratore.
Esecuzione del playbook: partecipazione diretta ai flussi di lavoro automatizzati:

Le azioni manuali (o interi blocchi di playbook) possono essere assegnate al Collaboratore.
Le attività assegnate vengono visualizzate nella scrivania del Collaboratore e nel widget Azioni in attesa.
L'azione del playbook supporta la messaggistica diretta e mirata al Collaboratore.

Visibilità dei dati: accesso ai dati operativi e di sicurezza a livello di piattaforma:

Dashboard: i collaboratori possono visualizzare metriche, tendenze e indicatori chiave di prestazione (KPI) relativi alle operazioni di sicurezza. Queste informazioni consentono loro di monitorare lo stato generale dell'ambiente senza la possibilità di modificare i dati o le impostazioni sottostanti.
Ricerca: i collaboratori possono eseguire query per analizzare gli eventi di sicurezza, esaminare i log e identificare gli indicatori di compromissione (IoC). Questo strumento supporta la ricerca delle minacce e la raccolta di dati per gli incidenti attivi.
Casi: i collaboratori con accesso ai casi visualizzano una schermata di avviso appositamente adattata al loro ruolo. Per informazioni su come definire avvisi personalizzati, consulta Definire visualizzazioni di avvisi personalizzate dal progettista del playbook.

Esplora entità: i collaboratori possono visualizzare informazioni dettagliate sulle entità (utenti, endpoint, indirizzi IP, file), inclusa la sequenza temporale dell'entità, gli avvisi associati e le relazioni con altri oggetti. Queste informazioni sono fondamentali per definire l'ambito di un incidente e identificare il movimento laterale.
Report: i collaboratori possono visualizzare report pregenerati sulle scansioni delle vulnerabilità, sugli audit di conformità e sui riepiloghi degli incidenti.
Centro di comando: l'accesso mostra una panoramica consolidata e in tempo reale di tutte le operazioni di sicurezza. Questa panoramica include un feed pubblicato degli avvisi, un riepilogo dei casi positivi e dashboard delle metriche chiave.
SLA: la visualizzazione dell'accordo sul livello del servizio (SLA) consente ai collaboratori di monitorare le prestazioni del team di sicurezza rispetto agli obiettivi di risposta e risoluzione definiti. Queste informazioni forniscono visibilità sull'efficienza operativa e confermano la gestione tempestiva degli eventi di sicurezza in base agli accordi stabiliti.
Scrivania: i responsabili del SOC possono assegnare un'azione manuale o un intero blocco di playbook a un collaboratore, insieme a un messaggio mirato nell'azione. Il collaboratore visualizza l'attività e il messaggio assegnati nella scrivania e nel widget Azioni in attesa.Per ulteriori informazioni su come assegnare un'azione a un collaboratore, consulta Assegnare azioni e blocchi di playbook.
Per ulteriori informazioni su come assegnare un'azione a un collaboratore, consulta Assegnare azioni e blocchi di playbook.
Scrivania: le mie richieste: i collaboratori accedono a Le mie richieste per inviare richieste di servizio predefinite.
Per informazioni dettagliate su come definire le richieste per gli utenti collaboratori, consulta Definire le richieste per gli utenti.
Per informazioni dettagliate su come scegliere una richiesta specifica come utente collaboratore, consulta Compilare una richiesta.

Visualizzare i dettagli della licenza

Per visualizzare i dettagli della licenza:

Organizza una licenza per il numero richiesto di utenti collaboratori.
Vai a Impostazioni > Organizzazioni > Gestione licenze per visualizzare i dettagli.

Configurare un gruppo di autorizzazioni

Per configurare un gruppo di autorizzazioni per definire i moduli della piattaforma a cui un utente collaboratore può accedere:

Vai a Impostazioni > Organizzazione > Autorizzazioni.
Fai clic sul gruppo di autorizzazioni Collaboratori predefinito o creane uno nuovo.
Seleziona il tipo Pagina di destinazione dall'elenco.
Nota: la pagina di destinazione predefinita per i collaboratori è Home page > Azioni in attesa. L'amministratore può definire qualsiasi altro modulo consentito come pagina di destinazione del collaboratore.
Seleziona i moduli richiesti a cui il gruppo deve accedere.
Fai clic su Salva.

Creare un utente collaboratore (solo clienti SOAR autonomi)

Per creare un utente collaboratore:

Vai a Impostazioni > Organizzazione > Gestione utenti.
Fai clic su Aggiungi.
Nella finestra di dialogo Aggiungi utente, seleziona quanto segue:

Nel campo Tipo di licenza, seleziona Collaboratore.
Nell'elenco Gruppo di autorizzazioni, seleziona Collaboratore o qualsiasi nuovo gruppo creato per gli utenti collaboratori.

Fai clic su Aggiungi.

Un invito a partecipare a Google SecOps SOAR viene inviato automaticamente a all'utente collaboratore. Il suo stato rimane In attesa finché non accetta l'invito e crea una password.

Passaggi successivi

Per assegnare attività, consulta Assegnare azioni e blocchi di playbook.
Per configurare il modulo delle richieste, consulta Creare richieste utente.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.