Configurare l'accesso federato alle richieste per SecOps

Supportato in:

La funzionalità di federazione della gestione dei casi consente ai clienti secondari di avere la propria piattaforma Google Security Operations separata, anziché che la loro istanza Google SecOps funzioni come ambienti all'interno di un'istanza condivisa. Questa configurazione è ideale per i fornitori di servizi di sicurezza gestiti (MSSP) o per le aziende che richiedono piattaforme indipendenti in diverse regioni geografiche.

Tutti i metadati della richiesta vengono sincronizzati dalla piattaforma secondaria (remota) alla piattaforma del fornitore principale nel seguente modo:

  • Gli analisti della piattaforma principale possono visualizzare, accedere e intervenire sulle richieste federate se è stato concesso loro l'accesso.

  • I clienti secondari mantengono il controllo su quali ambienti e richieste sono accessibili alla piattaforma principale.

Quando un analista della piattaforma principale apre un link a una richiesta remota, il sistema lo reindirizza alla piattaforma remota, se dispone delle autorizzazioni necessarie per accedere all'ambiente della richiesta. Sulla piattaforma remota, l'analista della piattaforma principale può accedere con il proprio indirizzo email e la propria password. L'accesso richiede credenziali valide e viene concesso solo per la sessione corrente.

Configurare la sincronizzazione dei metadati sulla piattaforma principale

Prima di poter eseguire queste procedure, Google deve abilitare la funzionalità di federazione delle richieste sulla piattaforma principale.

Scarica l'integrazione Case Federation

Per scaricare l'integrazione di Case Federation:

  1. Nella piattaforma principale, vai all'hub dei contenuti.
  2. Fai clic su Configurazione dell'integrazione della federazione dei casi e poi seleziona la casella di controllo È principale per sincronizzare i dati con la tua piattaforma.
  3. Fai clic su Salva.

Crea il job di sincronizzazione della federazione delle richieste

Per creare il job di sincronizzazione della federazione dei casi:

  1. Vai a Risposta > Pianificatore di job e poi fai clic su addAggiungi.
  2. Nel campo Nome job, seleziona Case Federation Sync Job.
  3. Nel campo Integrazione, seleziona Federazione dei casi.

  4. Fai clic su Crea.

    Imposta l'intervallo di programmazione su un minuto e seleziona la casella di controllo È principale.

Aggiungere l'accesso alla piattaforma secondaria per gli utenti della piattaforma principale

Per assegnare l'accesso a una o più piattaforme remote (secondarie):
  1. Nella piattaforma principale, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi IdP.
  2. Aggiungi o modifica gli utenti in base alle esigenze. Per ulteriori informazioni su come aggiungere utenti, consulta Mappare gli utenti nella piattaforma SecOps.
  3. Nel campo Piattaforma, seleziona tutte le piattaforme remote necessarie.
  4. Fai clic su Salva.

Registrare una nuova piattaforma secondaria sulla piattaforma principale

Per registrare una piattaforma secondaria, devi disporre di una chiave API Admin per la piattaforma principale ed effettuare una chiamata API per generare una chiave API di sincronizzazione. Crea una nuova chiave API Admin se non ne hai già una seguendo questi passaggi:
  1. Vai a Impostazioni SOAR > Avanzate > Chiavi API.
  2. Crea una nuova chiave API Admin.
Genera la chiave API di sincronizzazione seguendo questi passaggi:
  1. Esegui la seguente chiamata API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Viene restituita una chiave API di sincronizzazione univoca per ogni piattaforma secondaria e utilizzata per l'autenticazione alla piattaforma principale.

Configurare la sincronizzazione dei metadati sulla piattaforma secondaria (remota)

Per attivare la sincronizzazione sulla piattaforma secondaria, completa i seguenti passaggi.

Scarica l'integrazione Case Federation

Per scaricare l'integrazione di Case Federation:

  1. Nella piattaforma, vai all'hub dei contenuti.
  2. Fai clic su Configurazione dell'integrazione della federazione dei casi e poi su Salva. Non selezionare la casella di controllo È principale.
  3. Vai a Risposta > Pianificatore di job e poi fai clic su AggiungiAggiungi.
  4. Nel campo Nome job, seleziona Job di sincronizzazione della federazione dei casi.
  5. Nel campo Integrazione, seleziona Federazione dei casi.
  6. Fai clic su Crea.
  7. Nel campo Target Platform (Piattaforma di destinazione), inserisci il nome host del fornitore principale. Il nome host viene estratto dall'inizio dell'URL della piattaforma del fornitore principale.
  8. Nel campo Chiave API, inserisci la chiave API di sincronizzazione che hai creato in precedenza.
  9. Imposta il tempo di sincronizzazione predefinito su un minuto.
  10. Fai clic su Salva.

Concedere l'accesso agli utenti principali

Questa procedura consente di concedere autorizzazioni a ambienti specifici per le buyer persona della piattaforma principale pertinenti. In questo modo, l'analista principale può passare ai casi pertinenti nella piattaforma secondaria.

Per creare o modificare un utente sulla piattaforma secondaria:

  1. Nella piattaforma secondaria, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi IdP.
  2. Aggiungi o modifica gli utenti in base alle esigenze. Per saperne di più su come aggiungere o modificare gli utenti, consulta Mappare gli utenti nella piattaforma Google SecOps.
  3. Nel campo Ambiente, seleziona gli ambienti a cui possono accedere gli analisti della piattaforma principale.
  4. Fai clic su Salva.

Accedere alle richieste remote dalla piattaforma principale

Gli utenti della piattaforma principale possono visualizzare le richieste da remoto nella visualizzazione elenco o affiancata nella pagina **Richieste**

Per aprire le richieste sulla piattaforma remota:

  1. Nella pagina Richieste, seleziona la visualizzazione elenco o la visualizzazione affiancata.
  2. Esegui una delle seguenti operazioni:
    • Visualizzazione affiancata
      1. Nella coda dei casi, cerca quelli contrassegnati con una "R" (di remoto).
      2. Fai clic su una richiesta remota per aprirla nella piattaforma remota corrispondente.
    • Visualizzazione elenco
      1. Individua i casi remoti nella colonna Piattaforma.
      2. Fai clic sull'ID richiesta per aprirla nella piattaforma remota.

  3. Accedi alla piattaforma remota con il tuo indirizzo email e la tua password.

    Se non riesci ad accedere, significa che il cliente secondario potrebbe non averti concesso l'accesso all'ambiente di origine della richiesta.

Eliminare le piattaforme secondarie

Puoi eliminare le piattaforme secondarie dalla piattaforma principale eseguendo questo comando: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.