SecOps の連携ケース アクセスを設定する

以下でサポートされています。

ケース管理フェデレーション機能を使用すると、セカンダリのお客様は、共有インスタンス内の環境として Google SecOps インスタンスを運用するのではなく、独自の独立した Google Security Operations プラットフォームを使用できます。この設定は、マネージド セキュリティ サービス プロバイダ(MSSP)や、地理的リージョン全体で独立したプラットフォームを必要とする企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ(リモート)プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

  • プライマリ プラットフォーム アナリストは、アクセス権が付与されている場合、統合ケースを表示、アクセス、操作できます。

  • セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォーム アナリストがリモート ケースのリンクを開くと、ケースの環境にアクセスするために必要な権限を持っている場合、システムはリモート プラットフォームにリダイレクトします。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

プライマリ プラットフォームでメタデータ同期を設定する

これらの手順を実行するには、Google がプライマリ プラットフォームで Case Federation 機能を有効にする必要があります。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. メイン プラットフォームで、[コンテンツ ハブ] に移動します。
  2. [Case Federation 統合構成] をクリックし、[Is Primary] チェックボックスをオンにして、データをプラットフォームに同期します。
  3. [保存] をクリックします。

ケース連携同期ジョブを作成する

ケース連携の同期ジョブを作成する手順は次のとおりです。

  1. [レスポンス] > [ジョブ スケジューラ] に移動し、[追加追加] をクリックします。
  2. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  3. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。

  4. [作成] をクリックします。

    スケジュール間隔を 1 分に設定し、[プライマリ] チェックボックスをオンにします。

メイン プラットフォームのユーザーにセカンダリ プラットフォームへのアクセス権を付与する

1 つ以上のリモート(セカンダリ)プラットフォームにアクセス権を割り当てるには、次の手順を行います。
  1. プライマリ プラットフォームで、[SOAR 設定] > [詳細] > [IdP グループ マッピング] に移動します。
  2. 必要に応じてユーザーを追加または編集します。ユーザーを追加する方法については、SecOps プラットフォームでユーザーをマッピングするをご覧ください。
  3. [プラットフォーム] フィールドで、必要に応じてリモート プラットフォームを複数選択します。
  4. [保存] をクリックします。

プライマリ プラットフォームに新しいセカンダリ プラットフォームを登録する

セカンダリ プラットフォームを登録するには、プライマリ プラットフォームの Admin API キーが必要です。また、API 呼び出しを実行して同期 API キーを生成する必要があります。まだ作成していない場合は、次の手順に沿って新しい Admin API キーを作成します。
  1. [SOAR 設定] > [詳細設定] > [API キー] に移動します。
  2. 新しい Admin API キーを作成します。
次の手順に沿って、同期 API キーを生成します。
  1. 次の API 呼び出しを実行します。
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    これにより、セカンダリ プラットフォームごとに一意で、プライマリ プラットフォームに対する認証に使用される同期 API キーが返されます。

セカンダリ(リモート)プラットフォームでメタデータ同期を設定する

セカンダリ プラットフォームで同期を有効にするには、次の操作を行います。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プラットフォームで [コンテンツ ハブ] に移動します。
  2. [Case Federation integration configuration] をクリックし、[Save] をクリックします。[Is Primary] チェックボックスはオンにしないでください。
  3. [レスポンス] > [ジョブ スケジューラ] に移動し、[追加追加] をクリックします。
  4. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  5. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。
  6. [作成] をクリックします。
  7. [Target Platform] フィールドに、プライマリ プロバイダのホスト名を入力します。ホスト名は、プライマリ プロバイダのプラットフォーム URL の先頭から取得されます。
  8. [API キー] フィールドに、前に作成した同期 API キーを入力します。
  9. デフォルトの同期時間を 1 分に設定します。
  10. [保存] をクリックします。

プライマリ ユーザーにアクセス権を付与する

この手順では、関連するプライマリ プラットフォーム ペルソナの特定の環境に対する権限を付与します。これにより、プライマリ アナリストはセカンダリ プラットフォームの関連するケースにピボットできます。

セカンダリ プラットフォームでユーザーを作成または編集する手順は次のとおりです。

  1. セカンダリ プラットフォームで、[SOAR 設定] > [詳細] > [IdP グループ マッピング] に移動します。
  2. 必要に応じてユーザーを追加または編集します。ユーザーの追加または編集方法については、Google SecOps プラットフォームでユーザーをマッピングするをご覧ください。
  3. [環境] フィールドで、プライマリ プラットフォーム アナリストがアクセスできる環境を選択します。
  4. [保存] をクリックします。

メイン プラットフォームからリモート ケースにアクセスする

プライマリ プラットフォームのユーザーは、[**ケース**] ページのリストビューまたは並べて表示ビューでリモート ケースを表示できます。

リモート プラットフォームでケースを開く手順は次のとおりです。

  1. [ケース] ページで、[リストビュー] または [並べて表示] を選択します。
  2. 次のいずれかの操作を行います。
    • 並べて表示
      1. ケースキューで、「R」(リモート)とマークされたケースを探します。
      2. リモートケースをクリックすると、対応するリモート プラットフォームで開きます。
    • リスト表示
      1. [プラットフォーム] 列でリモートケースを見つけます。
      2. ケース ID をクリックして、リモート プラットフォームでケースを開きます。

  3. メールアドレスとパスワードを使用してリモート プラットフォームにログインします。

    ログインできない場合は、セカンダリのお客様がケースのソース環境へのアクセス権を付与していない可能性があります。

セカンダリ プラットフォームを削除する

次のコマンドを実行すると、セカンダリ プラットフォームをプライマリ プラットフォームから削除できます。

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。