与协作者用户协作

支持平台:

本文档介绍了管理员将协作者用户添加到 Google Security Operations 平台的过程。当您需要向内部利益相关方或外部合作伙伴(例如托管安全服务提供商 (MSSP) 客户)授予受控访问权限并分配特定范围的任务时,此用户类型至关重要。

添加这些用户的高级步骤与添加常规用户相同:

  1. 与您的客户经理联系,购买所需数量的协作者用户许可。
  2. 创建一个新的协作者 权限组,或使用预定义的协作者 组。
  3. 创建新用户。

添加协作者用户的好处

Google Security Operations 平台中的协作者用户专为需要对调查具有特定受控访问权限的外部合作伙伴(例如托管安全服务提供商 [MSSP])或内部利益相关者而设计。它融合了基本用户和只读角色的权限。

此模型通过授予精细的模块专用权限(view-onlyedit),有助于与客户或最终用户进行联合调查和实时案例协作。

主要权限和功能

SOC 经理可以为协作者用户分配以下平台模块的 view-onlyedit 访问权限:

  • 支持请求管理:访问特定支持请求,并查看为协作者的角色自定义的提醒视图。
  • Playbook 执行:直接参与自动化工作流:
    • 可以将手动操作(或整个 Playbook 区块)分配给协作者。
    • 分配的任务会显示在协作者的工作桌待处理的操作 widget 中。
    • Playbook 操作支持直接向协作者发送有针对性的消息。
  • 数据可见性:访问平台范围内的运营和安全数据:
    • 信息中心:协作者可以查看与安全运维相关的指标、趋势和关键绩效指标 (KPI)。借助这些信息,他们可以监控环境的整体运行状况,但无法修改底层数据或设置。
    • 搜索:协作者可以执行查询来调查安全事件、查看日志和识别失陷指标 (IoC)。此工具支持威胁搜寻和收集有效事件的数据。
    • 支持请求 :具有支持请求访问权限的协作者会看到专门针对其角色定制的提醒屏幕。如需了解如何定义自定义提醒,请参阅 通过 Playbook 设计器定义自定义提醒视图
  • 实体探索器:协作者可以查看详细的实体信息(用户、端点、IP 地址、文件),包括实体的时间轴、关联的提醒以及与其他对象的关系。这些信息对于确定突发事件范围和识别横向移动至关重要。
  • 报告:协作者可以查看有关漏洞扫描、合规性审核和突发事件摘要的预生成报告。
  • 指挥中心:访问权限可显示所有安全运维的实时汇总概览。此概览包括实时 Feed 提醒、有效支持请求摘要和关键指标信息中心。
  • SLA:借助服务等级协议 (SLA) 视图,协作者可以根据已定义的回应和解决目标跟踪安全团队的绩效。这些信息可让您了解运营效率,并确认是否按照既定协议及时处理安全性事件。
  • 工作桌 :SOC 经理可以将人工处置措施或整个 Playbook 区块分配给协作者,并在操作中添加有针对性的消息。协作者可以在其工作桌待处理的操作 widget 中查看分配的任务和消息。如需详细了解如何将操作分配给协作者,请参阅分配操作和 Playbook 区块
    如需详细了解如何将操作分配给协作者,请参阅分配操作和 Playbook 区块
  • 工作桌:我的请求:协作者可以访问我的请求以提交预定义的服务请求。
    如需详细了解如何为协作者用户定义请求,请参阅为用户定义请求
    如需详细了解如何选择特定请求作为协作者用户,请参阅 填写请求

查看许可详情

如需查看许可详情,请按以下步骤操作:

  1. 为所需数量的协作者用户安排许可。
  2. 依次前往设置 > 组织 > 许可管理 ,查看详情。

设置权限组

如需配置权限组以定义协作者用户可以访问的平台模块,请按以下步骤操作:

  1. 依次前往设置 > 组织 > 权限
  2. 点击预定义的协作者 权限组,或创建一个新组。
  3. 从列表中选择着陆页 类型。
  4. 选择该组需要访问的必要模块。
  5. 点击保存

创建协作者用户(仅限 SOAR 独立客户)

如需创建协作者用户,请按以下步骤操作:

  1. 依次前往设置 > 组织 > 用户管理
  2. 点击 添加
  3. 添加用户对话框 中,选择以下内容:
    1. 许可类型 字段中,选择协作者
    2. 权限组 列表中,选择协作者 或您为协作者用户创建的任何新组。
  4. 点击添加

系统会自动向协作者用户发送加入 Google SecOps SOAR 的邀请。在协作者用户接受 邀请并创建密码之前,其状态将保持为待处理

后续步骤

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。