Configurar el acceso federado a casos para SecOps

Disponible en:

La función de federación de gestión de casos permite que los clientes secundarios tengan su propia plataforma de Google Security Operations, en lugar de que su instancia de Google SecOps funcione como un entorno dentro de una instancia compartida. Esta configuración es ideal para proveedores de servicios de seguridad gestionados (MSSPs) o empresas que necesiten plataformas independientes en distintas zonas geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) con la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver, acceder y tomar medidas en los casos federados si se les ha concedido acceso.

  • Los clientes secundarios conservan el control sobre los entornos y los casos a los que puede acceder la plataforma principal.

Cuando un analista de la plataforma principal abre un enlace de asistencia remota, el sistema lo redirige a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista principal de la plataforma puede iniciar sesión con su correo y contraseña. Para acceder, se necesitan credenciales válidas y el acceso solo se concede para la sesión actual.

Configurar la sincronización de metadatos en la plataforma principal

Google debe habilitar la función de federación de casos en la plataforma principal para que puedas ejecutar estos procedimientos.

Descargar la integración de Case Federation

Para descargar la integración de la federación de casos, sigue estos pasos:

  1. En la plataforma principal, ve al centro de contenido.
  2. Haz clic en Configuración de la integración de la federación de casos y, a continuación, selecciona la casilla Es principal para sincronizar los datos con tu plataforma.
  3. Haz clic en Guardar.

Crear la tarea de sincronización de federación de casos

Para crear el trabajo de sincronización de federación de casos, sigue estos pasos:

  1. Ve a Respuesta > Programador de tareas y, a continuación, haz clic en addAñadir.
  2. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  3. En el campo Integración, selecciona Federación de casos.

  4. Haz clic en Crear.

    Define el intervalo de programación en un minuto y selecciona la casilla Es principal.

Añadir acceso a la plataforma secundaria para los usuarios de la plataforma principal

Para asignar acceso a una o varias plataformas remotas (secundarias), sigue estos pasos:
  1. En la plataforma principal, ve a Ajustes de SOAR > Avanzado > Asignación de grupos de IdP.
  2. Añade o edita usuarios según sea necesario. Para obtener más información sobre cómo añadir usuarios, consulta el artículo Asignar usuarios en la plataforma SecOps.
  3. En el campo Plataforma, selecciona tantas plataformas remotas como necesites.
  4. Haz clic en Guardar.

Registrar una nueva plataforma secundaria en la plataforma principal

Para registrar una plataforma secundaria, necesitas una clave de API de administrador de la plataforma principal y hacer una llamada a la API para generar una clave de API de sincronización. Crea una clave de API de administrador si aún no tienes una. Para ello, sigue estos pasos:
  1. Ve a Ajustes de SOAR > Avanzado > Claves de API.
  2. Crea una clave de API de administrador.
Para generar la clave de la API de sincronización, sigue estos pasos:
  1. Ejecuta la siguiente llamada a la API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Devuelve una clave de API de sincronización que es única para cada plataforma secundaria y que se usa para autenticar la plataforma principal.

Configurar la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, sigue estos pasos.

Descargar la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma, ve al centro de contenido.
  2. Haga clic en Configuración de la integración de la federación de casos y, a continuación, en Guardar. No marques la casilla Es principal.
  3. Ve a Respuesta > Programador de trabajos y, a continuación, haz clic en AñadirAñadir.
  4. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  5. En el campo Integración, selecciona Federación de casos.
  6. Haz clic en Crear.
  7. En el campo Target Platform (Plataforma de destino), introduce el nombre de host del proveedor principal. El nombre de host se toma del principio de la URL de la plataforma del proveedor principal.
  8. En el campo Clave de API, introduce la clave de API de sincronización que has creado anteriormente.
  9. Establece el tiempo de sincronización predeterminado en un minuto.
  10. Haz clic en Guardar.

Conceder acceso a usuarios principales

Este procedimiento te permite conceder permisos a entornos específicos para los perfiles de la plataforma principal correspondientes. De esta forma, el analista principal puede pasar a los casos pertinentes de la plataforma secundaria.

Para crear o editar un usuario en la plataforma secundaria, sigue estos pasos:

  1. En la plataforma secundaria, ve a Configuración de SOAR > Avanzado > Asignación de grupos de IdP.
  2. Añade o edita usuarios según sea necesario. Para obtener más información sobre cómo añadir o editar usuarios, consulta Asignar usuarios en la plataforma Google SecOps.
  3. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  4. Haz clic en Guardar.

Acceder a casos remotos desde la plataforma principal

Los usuarios de la plataforma principal pueden ver los casos remotos en la vista de lista o en la vista en paralelo de la página **Casos**.

Para abrir casos en la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realice una de las siguientes acciones:
    • Vista en paralelo
      1. En la cola de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en un caso remoto para abrirlo en la plataforma remota correspondiente.
    • Vista de lista
      1. Busca los casos remotos en la columna Plataforma.
      2. Haz clic en el ID de asistencia para abrir el caso en la plataforma remota.

  3. Inicia sesión en la plataforma remota con tu correo y contraseña.

    Si no puedes iniciar sesión, significa que es posible que el cliente secundario no te haya concedido acceso al entorno de origen del caso.

Eliminar plataformas secundarias

Para eliminar plataformas secundarias de la plataforma principal, ejecuta el siguiente comando: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.