Esta página foi traduzida pela API Cloud Translation.

Trabalhe com um utilizador colaborador

Compatível com:

Google secops SOAR

Este documento descreve o procedimento para um administrador adicionar utilizadores colaboradores à plataforma Google Security Operations. Este tipo de utilizador é essencial quando precisa de conceder acesso controlado e atribuir tarefas específicas e restritas a um interveniente interno ou a um parceiro externo, como um cliente de um fornecedor de serviços de segurança geridos (MSSP).

Os passos gerais para adicionar estes utilizadores são os mesmos que para adicionar utilizadores normais:

Compre a licença para o número necessário de utilizadores colaboradores junto dos seus gestores de conta.
Crie um novo grupo de autorizações de Colaborador ou use o grupo Colaborador predefinido.
Crie um novo utilizador.

Vantagens de adicionar um utilizador colaborador

O utilizador colaborador na plataforma Google Security Operations foi concebido para parceiros externos (como um fornecedor de serviços de segurança geridos [MSSP]) ou partes interessadas internas que precisam de acesso específico e controlado a investigações. Combina as autorizações de um utilizador básico e de uma função de apenas visualização.

Este modelo facilita as investigações conjuntas e a colaboração em tempo real em registos com clientes ou utilizadores finais, concedendo autorizações detalhadas específicas do módulo (view-only ou edit).

Principais autorizações e funcionalidades

O gestor do SOC pode atribuir acesso view-only ou edit ao utilizador colaborador nos seguintes módulos da plataforma:

Gestão de casos: acesso a casos específicos com uma vista de alertas personalizada para a função do colaborador.
Execução do manual de operações: participação direta em fluxos de trabalho automatizados:

As ações manuais (ou blocos completos do Playbook) podem ser atribuídas ao colaborador.
As tarefas atribuídas aparecem no Workdesk do colaborador e no widget Ações pendentes.
A ação do Playbook suporta mensagens diretas e segmentadas para o colaborador.

Visibilidade dos dados: acesso a dados operacionais e de segurança ao nível da plataforma:

Painéis de controlo: os colaboradores podem ver métricas, tendências e indicadores essenciais de desempenho (IEDs) relacionados com as operações de segurança. Estas informações permitem-lhes monitorizar o estado geral do ambiente sem a capacidade de modificar os dados ou as definições subjacentes.
Pesquisa: os colaboradores podem executar consultas para investigar eventos de segurança, rever registos e identificar indicadores de comprometimento (IoCs). Esta ferramenta suporta a deteção de ameaças e a recolha de dados para incidentes ativos.
Registos: os colaboradores com acesso aos registos veem um ecrã de alerta especificamente adaptado à respetiva função. Para obter informações sobre como definir alertas personalizados, consulte o artigo Defina vistas de alertas personalizados a partir do criador de manuais de soluções.

Explorador de entidades: os colaboradores podem ver informações detalhadas sobre entidades (utilizadores, pontos finais, endereços IP, ficheiros), incluindo a cronologia da entidade, os alertas associados e as relações com outros objetos. Estas informações são essenciais para definir o âmbito de um incidente e identificar o movimento lateral.
Relatórios: os colaboradores podem ver relatórios pré-gerados sobre análises de vulnerabilidades, auditorias de conformidade e resumos de incidentes.
Centro de comandos: o acesso mostra uma vista geral consolidada e em tempo real de todas as operações de segurança. Esta vista geral inclui um feed em direto de alertas, um resumo dos registos ativos e dashboards de métricas importantes.
SLA: a vista do contrato de nível de serviço (SLA) permite que os colaboradores acompanhem o desempenho da equipa de segurança em relação aos alvos de resposta e resolução definidos. Estas informações oferecem visibilidade sobre a eficiência operacional e confirmam o processamento atempado de eventos de segurança de acordo com os contratos estabelecidos.
Workdesk: os gestores de SOC podem atribuir uma ação manual ou um bloco de Playbook completo a um colaborador, juntamente com uma mensagem segmentada na ação. O colaborador vê a tarefa e a mensagem atribuídas no respetivo Workdesk e no widget Ações pendentes.Para mais informações sobre como atribuir uma ação a um colaborador, consulte o artigo Atribua ações e blocos de manuais de soluções.
Para mais informações sobre como atribuir uma ação a um colaborador, consulte o artigo Atribua ações e blocos de guião.
Workdesk: Os meus pedidos: os colaboradores acedem a Os meus pedidos para enviar pedidos de serviços predefinidos.
Para ver detalhes sobre como definir pedidos para utilizadores colaboradores, consulte o artigo Defina pedidos para utilizadores.
Para ver detalhes sobre como escolher um pedido específico como utilizador colaborador, consulte o artigo Preencha um pedido.

Veja os detalhes da licença

Para ver os detalhes da licença, siga estes passos:

Organize uma licença para o número necessário de utilizadores colaboradores.
Aceda a Definições > Organizações > Gestão de licenças para ver os detalhes.

Configure um grupo de autorizações

Para configurar um grupo de autorizações de modo a definir os módulos da plataforma aos quais um utilizador colaborador pode aceder, siga estes passos:

Aceda a Definições > Organização > Autorizações.
Clique no grupo de autorizações predefinido Colaboradores ou crie um novo.
Selecione o tipo Página de destino na lista.
Nota: a página de destino predefinida para os colaboradores é Página inicial > Ações pendentes. O administrador pode definir qualquer outro módulo permitido como a página de destino do colaborador.
Selecione os módulos necessários aos quais o grupo precisa de aceder.
Clique em Guardar.

Crie um utilizador colaborador (apenas para clientes autónomos do SOAR)

Para criar um utilizador colaborador, siga estes passos:

Aceda a Definições > Organização > Gestão de utilizadores.
Clique em Adicionar.
Na caixa de diálogo Adicionar utilizador, selecione o seguinte:

No campo Tipo de licença, selecione Colaborador.
Na lista Grupo de autorizações, selecione Colaborador ou qualquer novo grupo que tenha criado para utilizadores colaboradores.

Clique em Adicionar.

É enviado automaticamente um convite para aderir ao Google SecOps SOAR ao utilizador colaborador. O estado permanece Pendente até que o utilizador aceite o convite e crie uma palavra-passe.

O que se segue?

Para atribuir tarefas, consulte o artigo Atribua ações e blocos de manuais de soluções.
Para configurar o formulário de pedidos, consulte o artigo Crie pedidos de utilizadores.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.