SecOps の連携ケース アクセスを設定する

ケース管理フェデレーション機能を使用すると、セカンダリのお客様は、共有インスタンス内の環境として Google SecOps インスタンスを運用するのではなく、独自の独立した Google Security Operations プラットフォームを使用できます。この設定は、マネージド セキュリティ サービス プロバイダ（MSSP）や、地理的リージョン全体で独立したプラットフォームを必要とする企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ（リモート）プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

• プライマリ プラットフォーム アナリストは、アクセス権が付与されている場合、統合されたケースを表示、アクセス、操作できます。

• セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォーム アナリストがリモート ケースのリンクを開くと、ケースの環境にアクセスするために必要な権限がある場合は、システムによってリモート プラットフォームにリダイレクトされます。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

メイン プラットフォームのユーザーにセカンダリ プラットフォームへのアクセス権を付与する

1 つ以上のリモート（セカンダリ）プラットフォームにアクセス権を割り当てるには、次の手順を行います。

1. プライマリ プラットフォームで、[SOAR 設定] > [詳細] > [グループ マッピング] に移動します。
2. 必要に応じてユーザーを追加または編集します。ユーザーを追加する方法については、SecOps プラットフォームでユーザーをマッピングするをご覧ください。
3. [プラットフォーム] フィールドで、必要に応じてリモート プラットフォームを複数選択します。
4. [保存] をクリックします。

プライマリ プラットフォームに新しいセカンダリ プラットフォームを登録する

セカンダリ プラットフォームを登録するには、プライマリ プラットフォームの Admin API キーが必要です。また、API 呼び出しを実行して同期 API キーを生成する必要があります。まだ Admin API キーをお持ちでない場合は、次の手順に沿って新しいキーを作成してください。API キーの管理の詳細もご覧ください。

1. [SOAR 設定] > [詳細設定] > [API キー] に移動します。
2. 新しい Admin API キーを作成します。

次の手順に沿って、同期 API キーを生成します。

1. 次の API 呼び出しを実行します。変数 `$PRIMARY_INSTANCE_URL` はプライマリ SOAR インスタンスのルート URL（例: `https://primaryinstance.siemplify-soar.com`）で、`"host"` の値です。データ ペイロードで、`https` 接頭辞なしでセカンダリ SOAR インスタンスに "host" 値を設定します（例: `mysecondary.siemplify-soar.com`）。

   curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
   --header 'Content-Type: application/json' \
   --header "AppKey: $ADMIN_API_KEY" \
   --data '{
   "displayName": "My Secondary Platform",
   "host": "mysecondary.siemplify-soar.com"
   }'
   

   これにより、セカンダリ プラットフォームごとに一意で、プライマリ プラットフォームに対する認証に使用される同期 API キーが返されます。

セカンダリ（リモート）プラットフォームでメタデータ同期を設定する

セカンダリ プラットフォームで同期を有効にするには、セカンダリ SecOps インスタンスで次の操作を行います。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

1. プラットフォームで [コンテンツ ハブ] に移動します。
2. [Response Integrations] タブを選択し、[Case Federation] を検索します。
3. [Case Federation integration configuration] をクリックし、[Save] をクリックします。[Is Primary] チェックボックスはオンにしないでください。
4. [レスポンス] > [ジョブ スケジューラ] に移動し、[追加追加] をクリックします。
5. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
6. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。
7. [作成] をクリックします。
8. [Target Platform] フィールドに、プライマリ プロバイダのホスト名を入力します。ホスト名は、`https://` プレフィックスのないプラットフォーム URL です（例: `primaryinstance.siemplify-soar.com`）。
9. [API キー] フィールドに、前に作成した同期 API キーを入力します。
10. デフォルトの同期時間を 1 分に設定します。
11. [保存] をクリックします。

プライマリ ユーザーにアクセス権を付与する

この手順では、関連するプライマリ プラットフォーム ペルソナの特定の環境に対する権限を付与できます。これにより、プライマリ アナリストはセカンダリ プラットフォームの関連するケースにピボットできます。

セカンダリ プラットフォームでユーザーを作成または編集する手順は次のとおりです。

1. セカンダリ プラットフォームで、[SOAR 設定] > [詳細] > [IAM ロール マッピング] に移動します。
2. 必要に応じてユーザーを追加または編集します。ユーザーを追加または編集する方法については、Google SecOps プラットフォームでユーザーをマッピングするをご覧ください。
3. [環境] フィールドで、プライマリ プラットフォーム アナリストがアクセスできる環境を選択します。
4. [保存] をクリックします。

メインのプラットフォームからリモートケースにアクセスする

プライマリ プラットフォームのユーザーは、[ケース] ページのリストビューまたは並べて表示ビューでリモートケースを表示できます。

リモート プラットフォームでケースを開く手順は次のとおりです。

1. [ケース] ページで、[リストビュー] または [並べて表示] を選択します。
2. 次のいずれかの操作を行います。
• 並べて表示
1. ケースキューで、「R」（リモート）とマークされたケースを探します。
2. リモートケースをクリックすると、対応するリモート プラットフォームで開きます。
• リスト表示
1. [プラットフォーム] 列でリモートケースを見つけます。
2. ケース ID をクリックして、リモート プラットフォームでケースを開きます。

3. メールアドレスとパスワードを使用してリモート プラットフォームにログインします。

   ログインできない場合は、セカンダリのお客様がケースのソース環境へのアクセス権を付与していない可能性があります。

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"