Travailler avec des groupes d'utilisateurs collaborateurs

Ce document présente le groupe d'utilisateurs "Collaborateur" dans Google Security Operations, un groupe hybride conçu pour combler le fossé entre les groupes d'utilisateurs de base et ceux en lecture seule.

Vous pouvez attribuer différentes autorisations à un groupe d'utilisateurs collaborateurs, en particulier pour certains modules de la plate-forme. Cette fonctionnalité encourage un fournisseur de services de sécurité gérés (MSSP) ou une entreprise à collaborer efficacement, à mener des enquêtes conjointes et à discuter des cas en temps réel avec leurs clients ou utilisateurs finaux.

Le responsable SOC peut accorder au groupe d'utilisateurs collaboratifs un accès en lecture seule ou en modification aux zones suivantes de la plate-forme :

• Tableaux de bord : groupe de collaborateurs ayant accès aux tableaux de bord et pouvant consulter les métriques, les tendances et les indicateurs clés de performances (KPI) liés aux opérations de sécurité. Cet accès leur permet de surveiller l'état général de l'environnement sans pouvoir modifier les données ni les paramètres sous-jacents.
• Recherche : avec l'accès à la recherche, un groupe de collaborateurs peut exécuter des requêtes pour examiner les événements de sécurité, consulter les journaux et rechercher des indicateurs de compromission spécifiques. Cet outil d'investigation puissant leur permet de rechercher des menaces ou de recueillir des informations pertinentes pour un incident en cours.
• Demandes : un groupe d'utilisateurs collaborateurs peut avoir accès à une demande et voir une vue d'alerte spécialement conçue pour son rôle.
• Explorateur d'entités : un groupe de collaborateurs ayant accès à l'explorateur d'entités peut afficher des informations détaillées sur des entités spécifiques du réseau, telles que des utilisateurs, des points de terminaison, des adresses IP ou des fichiers. Ils peuvent consulter la chronologie d'une entité, les alertes associées et les relations avec d'autres entités, ce qui est essentiel pour comprendre l'étendue d'un incident et le déplacement latéral d'un pirate informatique.
• Rapports : un groupe de collaborateurs ayant accès aux rapports peut consulter les rapports pré-générés sur divers sujets liés à la sécurité, tels que les analyses de failles, les audits de conformité ou les récapitulatifs d'incidents.
• Command Center : l'accès à Command Center peut fournir à un groupe de collaborateurs une vue d'ensemble consolidée et en temps réel de toutes les opérations de sécurité. Il peut s'agir d'un flux d'alertes en direct, d'un récapitulatif des cas actifs et d'un tableau de bord des métriques clés.
• SLA : le contrat de niveau de service (SLA) permet au groupe de collaborateurs de suivre les performances de l'équipe de sécurité en termes de respect des délais de réponse et de résolution définis pour les incidents de sécurité. Cette vue leur permet de contrôler l'efficacité opérationnelle et de s'assurer que les événements de sécurité sont traités rapidement, conformément aux accords établis.
• Workdesk : vous pouvez attribuer une action Manuelle (ou un bloc de playbook entier) dans le playbook à un groupe d'utilisateurs collaborateurs, tout en leur écrivant un message ciblé dans l'action du playbook. Le collaborateur voit ce message dans le widget Actions en attente de l'aperçu personnalisé du playbook et dans Votre espace de travail.
• Workdesk : Mes demandes : l'utilisateur collaborateur a accès à l'onglet Mes demandes, où il peut choisir de faire une demande spécifique parmi une sélection de demandes prédéfinies.

Créer un groupe d'utilisateurs "Collaborateur"

Pour créer un groupe d'utilisateurs "Collaborateur", suivez ces étapes générales :

1. Assurez-vous d'avoir acheté la licence Enterprise, qui vous donne accès à un nombre illimité de collaborateurs.
2. Créez un groupe d'autorisations Collaborateur ou utilisez le groupe prédéfini Collaborateur. Pour en savoir plus, consultez Utiliser des groupes d'autorisations.