為 SecOps 設定聯合案件存取權

支援的國家/地區:

案件管理聯盟功能可讓次要客戶擁有自己的獨立 Google Security Operations 平台,而非讓 Google SecOps 執行個體在共用執行個體中做為環境運作。這項設定非常適合代管式安全服務供應商 (MSSP), 或需要在不同地理區域使用獨立平台的企業。

所有案件中繼資料都會從次要 (遠端) 平台同步至主要供應商平台,如下所示:

  • 如果獲得授權,主要平台分析師就能查看、存取及處理聯合案件。

  • 次要客戶可控管主要平台可存取的環境和案件。

如果主要平台分析師開啟遠端案件連結,且具備存取案件環境的必要權限,系統會將他們重新導向遠端平台。主要平台分析師可以在遠端平台使用電子郵件地址和密碼登入。存取權需要有效憑證,且僅限目前工作階段。

為主要平台使用者新增次要平台存取權

如要為一或多個遠端 (次要) 平台指派存取權,請按照下列步驟操作:
  1. 在主要平台中,依序前往「SOAR Settings」(SOAR 設定) >「Advanced」(進階) >「Group Mapping」(群組對應)
  2. 視需要新增或編輯使用者。如要進一步瞭解如何新增使用者,請參閱在 SecOps 平台中對應使用者
  3. 在「平台」欄位中,選取所需數量的遠端平台。
  4. 按一下 [儲存]

在主要平台上註冊新的次要平台

如要註冊次要平台,您需要主要平台的 Admin API 金鑰,並執行 API 呼叫來產生同步 API 金鑰。 如果沒有管理員 API 金鑰,請按照下列步驟建立新的金鑰,或進一步瞭解如何管理 API 金鑰
  1. 依序前往「SOAR 設定」>「進階」>「API 金鑰」
  2. 建立新的 Admin API 金鑰。
按照下列步驟產生同步 API 金鑰:
  1. 執行下列 API 呼叫,其中變數 `$PRIMARY_INSTANCE_URL` 是主要 SOAR 執行個體的根網址,例如 `https://primaryinstance.siemplify-soar.com`,以及「host」的值。在資料酬載中,將「host」值設為次要 SOAR 執行個體,但不含 `https` 前置字元 (例如 `mysecondary.siemplify-soar.com`)。 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    這會傳回同步 API 金鑰,每個次要平台都有專屬金鑰,用於向主要平台驗證。

在次要 (遠端) 平台上設定中繼資料同步

如要在次要平台啟用同步功能,請在次要 SecOps 執行個體上完成下列步驟。

下載 Case Federation 整合功能

如要下載案件聯盟整合功能,請按照下列步驟操作:

  1. 在平台中前往「內容中心」
  2. 選取「回應整合」分頁標籤,然後搜尋「案件聯盟」
  3. 按一下「案件聯盟整合設定」,然後點選「儲存」。請勿勾選「設為主要」核取方塊。
  4. 依序前往「回應」>「工作排程器」,然後按一下「新增」
  5. 在「Job Name」(工作名稱) 欄位中,選取「Case Federation Sync Job」(案件聯盟同步工作)
  6. 在「整合」欄位中,選取「案件聯盟」
  7. 點選「建立」
  8. 在「目標平台」欄位中,輸入主要供應商的主機名稱。 主機名稱是平台網址,但不含 `https://` 前置字元 (例如 `primaryinstance.siemplify-soar.com`)。
  9. 在「API key」欄位中,輸入您先前建立的同步 API 金鑰。
  10. 將預設同步時間設為一分鐘。
  11. 按一下 [儲存]

授予主要使用者存取權

您可以透過這個程序,為相關主要平台角色授予特定環境的權限。主要分析師可藉此在次要平台中,切換至相關案件。

如要在次要平台建立或編輯使用者,請按照下列步驟操作:

  1. 在次要平台中,依序前往「SOAR Settings」>「Advanced」>「IAM Role Mapping」
  2. 視需要新增或編輯使用者。如要進一步瞭解如何新增或編輯使用者,請參閱「在 Google SecOps 平台中對應使用者」。
  3. 在「環境」欄位中,選取主要平台分析師可存取的環境。
  4. 按一下 [儲存]

從主要平台存取遠端案件

主要平台使用者可以在「案件」頁面,以清單或並排檢視模式查看遠端案件。

如要在遠端平台開啟案件,請按照下列步驟操作:

  1. 在「案件」頁面中,選取「清單檢視」或「並排檢視」
  2. 執行下列任一操作:
    • 並排檢視
      1. 在案件佇列中,尋找標示「R」(代表遠端) 的案件。
      2. 按一下遠端案件,即可在對應的遠端平台中開啟案件。
    • 清單檢視
      1. 在「平台」欄中找出遠端案件。
      2. 按一下案件 ID,即可在遠端平台開啟案件。

  3. 使用電子郵件地址和密碼登入遠端平台。

    如果無法登入,表示次要客戶可能未授權您存取案件的來源環境。

列出次要平台

您可以執行下列指令,列出主要平台中的次要平台,這會傳回平台名稱和 ID 清單: 

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

刪除次要平台

如要從主要平台刪除次要平台,請執行下列指令: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。