Föderierten Fallzugriff für SecOps einrichten

Unterstützt in:

Mit der Funktion für die Case-Management-Föderation können sekundäre Kunden ihre eigene separate Google Security Operations-Plattform haben, anstatt dass ihre Google SecOps-Instanz als Umgebung innerhalb einer gemeinsam genutzten Instanz ausgeführt wird. Diese Einrichtung ist ideal für Managed Security Service Providers (MSSPs) oder Unternehmen, die unabhängige Plattformen in verschiedenen geografischen Regionen benötigen.

Alle Fallmetadaten werden von der sekundären (Remote-)Plattform mit der Plattform des primären Anbieters synchronisiert:

  • Analysten der primären Plattform können auf zusammengeführte Anfragen zugreifen, sie ansehen und darauf reagieren, wenn sie Zugriff haben.

  • Sekundärkunden behalten die Kontrolle darüber, auf welche Umgebungen und Anfragen die primäre Plattform zugreifen kann.

Wenn ein Analyst der primären Plattform einen Link zu einem Remote-Fall öffnet, wird er zur Remote-Plattform weitergeleitet, sofern er die erforderlichen Berechtigungen für den Zugriff auf die Umgebung des Falls hat. Auf der Remote-Plattform kann sich der primäre Plattformanalyst mit seiner E‑Mail-Adresse und seinem Passwort anmelden. Für den Zugriff sind gültige Anmeldedaten erforderlich. Der Zugriff wird nur für die aktuelle Sitzung gewährt.

Zugriff auf die sekundäre Plattform für Nutzer der primären Plattform hinzufügen

So weisen Sie einer oder mehreren Remote-Plattformen (sekundären Plattformen) Zugriff zu:
  1. Rufen Sie auf der primären Plattform SOAR-Einstellungen > Erweitert > Gruppenzuordnung auf.
  2. Fügen Sie bei Bedarf Nutzer hinzu oder bearbeiten Sie sie. Weitere Informationen zum Hinzufügen von Nutzern finden Sie unter Nutzer in der SecOps-Plattform zuordnen.
  3. Wählen Sie im Feld Plattform so viele Remote-Plattformen wie nötig aus.
  4. Klicken Sie auf Speichern.

Eine neue sekundäre Plattform auf der primären Plattform registrieren

Um eine sekundäre Plattform zu registrieren, benötigen Sie einen Admin-API-Schlüssel für die primäre Plattform und müssen einen API-Aufruf ausführen, um einen Sync-API-Schlüssel zu generieren. Erstellen Sie einen neuen Admin API-Schlüssel, falls Sie noch keinen haben. Folgen Sie dazu dieser Anleitung oder lesen Sie mehr über die Verwaltung von API-Schlüsseln:
  1. Gehen Sie zu SOAR-Einstellungen> „Erweitert“ > „API-Schlüssel“.
  2. Erstellen Sie einen neuen Admin-API-Schlüssel.
So generieren Sie den API-Schlüssel für die Synchronisierung:
  1. Führen Sie den folgenden API-Aufruf aus. Die Variable `$PRIMARY_INSTANCE_URL` ist die Stamm-URL Ihrer primären SOAR-Instanz, z. B. `https://primaryinstance.siemplify-soar.com`, und der Wert für `"host"`. Legen Sie im Daten-Payload den Wert für „host“ auf Ihre sekundäre SOAR-Instanz fest, ohne das Präfix „https“ (z. B. `mysecondary.siemplify-soar.com`). 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
     Dadurch wird ein Synchronisierungs-API-Schlüssel zurückgegeben, der für jede sekundäre Plattform eindeutig ist und zur Authentifizierung auf der primären Plattform verwendet wird.

Metadatensynchronisierung auf der sekundären (Remote-)Plattform einrichten

Führen Sie die folgenden Schritte in der sekundären SecOps-Instanz aus, um die Synchronisierung auf der sekundären Plattform zu aktivieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

  1. Rufen Sie in der Plattform den Content Hub auf.
  2. Wählen Sie den Tab Response Integrations (Antwortintegrationen) aus und suchen Sie nach Case Federation (Anfrageverbund).
  3. Klicken Sie auf die Case Federation integration configuration (Konfiguration der Case Federation-Integration) und dann auf Save (Speichern). Klicken Sie das Kästchen Primär nicht an.
  4. Klicken Sie auf Antwort > Job Scheduler (Job Scheduler) und dann auf addHinzufügen.
  5. Wählen Sie im Feld Jobname die Option Case Federation Sync Job (Synchronisierungsjob für die Fallzusammenführung) aus.
  6. Wählen Sie im Feld Integration die Option Case Federation aus.
  7. Klicken Sie auf Erstellen.
  8. Geben Sie im Feld Target Platform (Zielplattform) den Hostnamen des primären Anbieters ein. Der Hostname ist die Plattform-URL ohne das Präfix „https://“ (z. B. „primaryinstance.siemplify-soar.com“).
  9. Geben Sie im Feld API-Schlüssel den zuvor erstellten Synchronisierungs-API-Schlüssel ein.
  10. Stelle die standardmäßige Synchronisierungszeit auf eine Minute ein.
  11. Klicken Sie auf Speichern.

Primärnutzern Zugriff gewähren

Mit diesem Verfahren können Sie Berechtigungen für bestimmte Umgebungen für die relevanten primären Plattform-Personas gewähren. So kann der primäre Analyst auf der sekundären Plattform zu den relevanten Fällen wechseln.

So erstellen oder bearbeiten Sie einen Nutzer auf der sekundären Plattform:

  1. Rufen Sie auf der sekundären Plattform SOAR-Einstellungen> „Erweitert“ >IAM-Rollenmapping auf.
  2. Fügen Sie bei Bedarf Nutzer hinzu oder bearbeiten Sie sie. Weitere Informationen zum Hinzufügen oder Bearbeiten von Nutzern finden Sie unter Nutzer in der Google SecOps-Plattform zuordnen.
  3. Wählen Sie im Feld Umgebung die Umgebungen aus, auf die primäre Plattformanalysten zugreifen können.
  4. Klicken Sie auf Speichern.

Über die primäre Plattform auf Remote-Vorgänge zugreifen

Nutzer der primären Plattform können Remote-Fälle entweder in der Listenansicht oder in der nebeneinander angeordneten Ansicht auf der Seite Fälle aufrufen.

So öffnen Sie Fälle auf der Remote-Plattform:

  1. Wählen Sie auf der Seite Fälle entweder die Listenansicht oder die Nebeneinanderansicht aus.
  2. Führen Sie einen der folgenden Schritte aus:
    • Nebeneinander-Ansicht
      1. Suchen Sie in der Fallwarteschlange nach Fällen, die mit einem „R“ (für „remote“) gekennzeichnet sind.
      2. Klicken Sie auf einen Remote-Fall, um ihn auf der entsprechenden Remote-Plattform zu öffnen.
    • Listenansicht
      1. Suchen Sie in der Spalte Plattform nach Remote-Fällen.
      2. Klicken Sie auf die Fall-ID, um den Fall auf der Remoteplattform zu öffnen.

  3. Melden Sie sich mit Ihrer E‑Mail-Adresse und Ihrem Passwort auf der Remote-Plattform an.

    Wenn Sie sich nicht anmelden können, hat der sekundäre Kunde Ihnen möglicherweise keinen Zugriff auf die Quellumgebung des Falls gewährt.

Sekundäre Plattformen auflisten

Sie können sekundäre Plattformen über die primäre Plattform auflisten, indem Sie den folgenden Befehl ausführen. Dadurch wird eine Liste mit Plattformnamen und ‑IDs zurückgegeben: 

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

Sekundäre Plattformen löschen

Sie können sekundäre Plattformen von der primären Plattform löschen, indem Sie den folgenden Befehl ausführen: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten