Configurer l'accès fédéré aux demandes pour SecOps

Compatible avec :

La fonctionnalité de fédération de la gestion des demandes permet aux clients secondaires de disposer de leur propre plate-forme Google Security Operations distincte, au lieu d'avoir leur instance Google SecOps fonctionnant comme des environnements au sein d'une instance partagée. Cette configuration est idéale pour les fournisseurs de services de sécurité gérés (MSSP) ou les entreprises qui ont besoin de plates-formes indépendantes dans différentes régions géographiques.

Toutes les métadonnées des demandes sont synchronisées depuis la plate-forme secondaire (à distance) vers la plate-forme du fournisseur principal, comme suit :

  • Les analystes de la plate-forme principale peuvent consulter les demandes fédérées, y accéder et les traiter s'ils y ont été autorisés.

  • Les clients secondaires conservent le contrôle sur les environnements et les demandes auxquels la plate-forme principale a accès.

Lorsqu'un analyste de plate-forme principale ouvre un lien vers une demande à distance, le système le redirige vers la plate-forme à distance, s'il dispose des autorisations nécessaires pour accéder à l'environnement de la demande. Sur la plate-forme distante, l'analyste principal de la plate-forme peut se connecter avec son adresse e-mail et son mot de passe. L'accès nécessite des identifiants valides et n'est accordé que pour la session en cours.

Configurer la synchronisation des métadonnées sur la plate-forme principale

Google doit activer la fonctionnalité de fédération des demandes sur la plate-forme principale avant que vous puissiez exécuter ces procédures.

Télécharger l'intégration de la fédération de demandes

Pour télécharger l'intégration de la fédération de demandes, procédez comme suit :

  1. Dans la plate-forme principale, accédez au Centre de contenus.
  2. Cliquez sur Configuration de l'intégration de la fédération de demandes, puis cochez la case Is Primary (Est principal) pour synchroniser les données avec votre plate-forme.
  3. Cliquez sur Enregistrer.

Créer le job de synchronisation de la fédération de demandes

Pour créer le job de synchronisation de la fédération de demandes, procédez comme suit :

  1. Accédez à Réponse > Planificateur de tâches, puis cliquez sur addAdd (Ajouter).
  2. Dans le champ Nom du job, sélectionnez Job de synchronisation de la fédération de cas.
  3. Dans le champ Intégration, sélectionnez Fédération des demandes.

  4. Cliquez sur Créer.

    Définissez l'intervalle de programmation sur une minute et cochez la case Est principal.

Ajouter l'accès à une plate-forme secondaire pour les utilisateurs de la plate-forme principale

Pour attribuer un accès à une ou plusieurs plates-formes distantes (secondaires), procédez comme suit :
  1. Dans la plate-forme principale, accédez à Paramètres SOAR > Avancé > Mappage des groupes IdP.
  2. Ajoutez ou modifiez des utilisateurs, si nécessaire. Pour savoir comment ajouter des utilisateurs, consultez Mapper des utilisateurs dans la plate-forme SecOps.
  3. Dans le champ Plate-forme, sélectionnez autant de plates-formes distantes que nécessaire.
  4. Cliquez sur Enregistrer.

Enregistrer une plate-forme secondaire sur la plate-forme principale

Pour enregistrer une plate-forme secondaire, vous avez besoin d'une clé API Admin pour la plate-forme principale et d'effectuer un appel d'API pour générer une clé API de synchronisation. Si vous n'en avez pas encore, créez une clé API d'administrateur en procédant comme suit :
  1. Accédez à Paramètres SOAR> Avancés> Clés API.
  2. Créez une clé API Admin.
Pour générer la clé API de synchronisation, procédez comme suit :
  1. Exécutez l'appel d'API suivant. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
     Cette méthode renvoie une clé API de synchronisation unique pour chaque plate-forme secondaire, qui est utilisée pour l'authentification sur la plate-forme principale.

Configurer la synchronisation des métadonnées sur la plate-forme secondaire (à distance)

Pour activer la synchronisation sur la plate-forme secondaire, procédez comme suit.

Télécharger l'intégration Case Federation

Pour télécharger l'intégration de la fédération de demandes, procédez comme suit :

  1. Dans la plate-forme, accédez au Centre de contenus.
  2. Cliquez sur la configuration de l'intégration de la fédération de demandes, puis sur Enregistrer. Ne cochez pas la case Est le contact principal.
  3. Accédez à Réponse > Planificateur de tâches, puis cliquez sur addAdd (Ajouter).
  4. Dans le champ Nom du job, sélectionnez Job de synchronisation de la fédération de cas.
  5. Dans le champ Intégration, sélectionnez Fédération des demandes.
  6. Cliquez sur Créer.
  7. Dans le champ Plate-forme cible, saisissez le nom d'hôte du fournisseur principal. Le nom d'hôte est extrait du début de l'URL de la plate-forme du fournisseur principal.
  8. Dans le champ Clé API, saisissez la clé API de synchronisation que vous avez créée précédemment.
  9. Définissez la durée de synchronisation par défaut sur une minute.
  10. Cliquez sur Enregistrer.

Accorder l'accès aux utilisateurs principaux

Cette procédure vous permet d'accorder des autorisations à des environnements spécifiques pour les personas de plate-forme principale concernés. Cela permet à l'analyste principal de passer aux cas concernés sur la plate-forme secondaire.

Pour créer ou modifier un utilisateur sur la plate-forme secondaire, procédez comme suit :

  1. Dans la plate-forme secondaire, accédez à Paramètres SOAR > Avancé > Mappage des groupes IdP.
  2. Ajoutez ou modifiez des utilisateurs, si nécessaire. Pour savoir comment ajouter ou modifier des utilisateurs, consultez Mapper des utilisateurs dans la plate-forme Google SecOps.
  3. Dans le champ Environnement, sélectionnez les environnements auxquels les analystes de la plate-forme principale peuvent accéder.
  4. Cliquez sur Enregistrer.

Accéder aux demandes à distance depuis la plate-forme principale

Les utilisateurs de la plate-forme principale peuvent afficher les demandes à distance dans la vue Liste ou côte à côte sur la page **Demandes**.

Pour ouvrir des demandes sur la plate-forme à distance, procédez comme suit :

  1. Sur la page Demandes, sélectionnez la vue Liste ou la vue côte à côte.
  2. Effectuez l'une des actions suivantes :
    • Vue côte à côte
      1. Dans la file d'attente des demandes, recherchez celles marquées d'un "R" (pour "à distance").
      2. Cliquez sur une demande à distance pour l'ouvrir dans la plate-forme à distance correspondante.
    • Vue Liste
      1. Recherchez les demandes à distance dans la colonne Plate-forme.
      2. Cliquez sur l'ID de la demande pour l'ouvrir dans la plate-forme à distance.

  3. Connectez-vous à la plate-forme à distance avec votre adresse e-mail et votre mot de passe.

    Si vous ne parvenez pas à vous connecter, cela signifie que le client secondaire ne vous a peut-être pas accordé l'accès à l'environnement source de la demande.

Supprimer des plates-formes secondaires

Vous pouvez supprimer des plates-formes secondaires de la plate-forme principale en exécutant la commande suivante : 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.