Menyiapkan akses kasus gabungan untuk SecOps

Fitur federasi pengelolaan kasus memungkinkan pelanggan sekunder memiliki platform Google Security Operations terpisah, bukan membuat instance Google SecOps mereka beroperasi sebagai lingkungan dalam instance bersama. Konfigurasi ini ideal untuk Penyedia Layanan Keamanan Terkelola (MSSP) atau perusahaan yang memerlukan platform independen di seluruh wilayah geografis.

Semua metadata kasus disinkronkan dari platform sekunder (jarak jauh) ke platform penyedia utama sebagai berikut:

• Analis platform utama dapat melihat, mengakses, dan menindaklanjuti kasus gabungan jika mereka telah diberi akses.

• Pelanggan sekunder tetap memiliki kontrol atas lingkungan dan kasus mana yang dapat diakses oleh platform utama.

Saat analis platform utama membuka link kasus jarak jauh, sistem akan mengalihkan mereka ke platform jarak jauh, jika mereka memiliki izin yang diperlukan untuk mengakses lingkungan kasus. Di platform jarak jauh, analis platform utama dapat login dengan email dan sandi mereka. Akses memerlukan kredensial yang valid dan diberikan hanya untuk sesi saat ini.

Menyiapkan sinkronisasi metadata di platform utama

Google perlu mengaktifkan fitur Gabungan Kasus di platform utama sebelum Anda dapat menjalankan prosedur ini.

Mendownload integrasi Case Federation

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

1. Di platform utama, buka Pusat Konten.
2. Klik Konfigurasi integrasi Case Federation, lalu centang kotak Is Primary untuk menyinkronkan data ke platform Anda.
3. Klik Simpan.

Buat tugas sinkronisasi Federasi Kasus

Untuk membuat tugas sinkronisasi Gabungan Kasus, ikuti langkah-langkah berikut:

1. Buka Respons > Penjadwal Tugas, lalu klik addTambahkan.
2. Di kolom Job Name, pilih Case Federation Sync Job.
3. Di kolom Integration, pilih Case Federation.

4. Klik Create.

   Tetapkan interval jadwal ke satu menit dan centang kotak Is Primary.

Menambahkan akses platform sekunder untuk pengguna platform utama

Untuk memberikan akses ke satu atau beberapa platform jarak jauh (sekunder), ikuti langkah-langkah berikut:

1. Di platform utama, buka Setelan SOAR > Lanjutan > Pemetaan Grup IdP.
2. Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan pengguna, lihat Memetakan pengguna di platform SecOps.
3. Di kolom Platform, pilih platform jarak jauh sebanyak yang diperlukan.
4. Klik Simpan.

Mendaftarkan platform sekunder baru di platform utama

Untuk mendaftarkan platform sekunder, Anda memerlukan kunci API Admin untuk platform utama dan melakukan panggilan API untuk membuat kunci API sinkronisasi. Buat kunci Admin API baru jika Anda belum memilikinya dengan mengikuti langkah-langkah berikut:

1. Buka Setelan SOAR > Lanjutan > Kunci API.
2. Buat kunci API Admin baru.

Buat kunci API sinkronisasi dengan mengikuti langkah-langkah berikut:

1. Jalankan panggilan API berikut.

   curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
   --header 'Content-Type: application/json' \
   --header "AppKey: $ADMIN_API_KEY" \
   --data '{
   "displayName": "My Secondary Platform",
   "host": "mysecondary.siemplify-soar.com"
   }'
   

   API ini menampilkan kunci API sinkronisasi yang unik per platform sekunder dan digunakan untuk mengautentikasi ke platform utama.

Menyiapkan sinkronisasi metadata di platform sekunder (jarak jauh)

Untuk mengaktifkan sinkronisasi di platform sekunder, selesaikan langkah-langkah berikut.

Mendownload integrasi Case Federation

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

1. Di platform, buka Hub Konten.
2. Klik konfigurasi integrasi Federasi Kasus, lalu klik Simpan. Jangan centang kotak Is Primary.
3. Buka Response > Job Scheduler, lalu klik addAdd.
4. Di kolom Job Name, pilih Case Federation Sync Job.
5. Di kolom Integration, pilih Case Federation.
6. Klik Create.
7. Di kolom Target Platform, masukkan nama host penyedia utama. Nama host diambil dari awal URL platform penyedia utama.
8. Di kolom Kunci API, masukkan kunci API sinkronisasi yang Anda buat sebelumnya.
9. Tetapkan waktu sinkronisasi default ke satu menit.
10. Klik Simpan.

Memberikan akses kepada pengguna utama

Prosedur ini memungkinkan Anda memberikan izin ke lingkungan tertentu untuk persona platform utama yang relevan. Dengan begitu, analis utama dapat beralih ke kasus yang relevan di platform sekunder.

Untuk membuat atau mengedit pengguna di platform sekunder, ikuti langkah-langkah berikut:

1. Di platform sekunder, buka Setelan SOAR > Lanjutan > Pemetaan Grup IdP.
2. Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan atau mengedit pengguna, lihat artikel Memetakan pengguna di platform Google SecOps.
3. Di kolom Environment, pilih lingkungan yang dapat diakses oleh analis platform utama.
4. Klik Simpan.

Mengakses kasus jarak jauh dari platform utama

Pengguna platform utama dapat melihat kasus jarak jauh dalam tampilan daftar atau tampilan berdampingan di halaman **Kasus**

Untuk membuka kasus di platform jarak jauh, ikuti langkah-langkah berikut:

1. Di halaman Kasus, pilih tampilan daftar atau tampilan berdampingan.
2. Lakukan salah satu tindakan berikut:
• Tampilan berdampingan
1. Di antrean kasus, cari kasus yang ditandai dengan "R" (untuk jarak jauh).
2. Klik kasus jarak jauh untuk membukanya di platform jarak jauh yang sesuai.
• Tampilan daftar
1. Temukan kasus jarak jauh di kolom Platform.
2. Klik ID kasus untuk membuka kasus di platform jarak jauh.

3. Login ke platform jarak jauh dengan email dan sandi Anda.

   Jika Anda tidak dapat login, artinya pelanggan sekunder mungkin belum memberi Anda akses ke lingkungan sumber kasus.

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"