为 SecOps 设置联合支持服务工单访问权限

支持的平台:

借助支持联合管理的支持请求管理功能,次要客户可以拥有自己的独立 Google Security Operations 平台,而不是让其 Google SecOps 实例在共享实例中作为环境运行。此设置非常适合需要在不同地理区域使用独立平台的托管式安全服务提供商 (MSSP) 或企业。

所有支持请求元数据都会从辅助(远程)平台同步到主要提供商的平台,具体如下:

  • 如果主平台分析师已获得访问权限,则可以查看、访问和处理联合支持请求。

  • 次要客户可以控制主要平台可以访问哪些环境和支持请求。

当主要平台分析师打开远程支持请求链接时,如果他们拥有访问支持请求环境的必要权限,系统会将他们重定向到远程平台。在远程平台上,主平台分析师可以使用其电子邮件地址和密码登录。访问需要有效的凭据,并且仅在当前会话中有效。

为主要平台用户添加次要平台访问权限

如需为一个或多个远程(次要)平台分配访问权限,请按以下步骤操作:
  1. 在主平台中,依次前往 SOAR 设置 > 高级 > 群组映射
  2. 根据需要添加或修改用户。如需详细了解如何添加用户,请参阅在 SecOps 平台中映射用户
  3. 平台字段中,根据需要选择任意数量的远程平台。
  4. 点击保存

在主平台上注册新的辅助平台

如需注册辅助平台,您需要主平台的 Admin API 密钥,并执行 API 调用以生成同步 API 密钥。 如果您还没有 Admin API 密钥,请按照以下步骤创建一个新密钥;您也可以详细了解如何管理 API 密钥
  1. 前往 SOAR 设置 > 高级 > API 密钥
  2. 创建新的 Admin API 密钥。
请按照以下步骤生成同步 API 密钥:
  1. 执行以下 API 调用,其中变量 `$PRIMARY_INSTANCE_网址` 是主 SOAR 实例的根网址,例如 `https://primaryinstance.siemplify-soar.com`,也是“host”的值。在数据载荷中,将“host”值设置为辅助 SOAR 实例,但不带 `https` 前缀(例如 `mysecondary.siemplify-soar.com`)。 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    这会返回一个同步 API 密钥,该密钥在每个辅助平台中都是唯一的,用于向主平台进行身份验证。

在辅助(远程)平台上设置元数据同步

如需在辅助平台上启用同步,请在辅助 SecOps 实例上完成以下步骤。

下载“支持请求联合”集成

如需下载“支持请求联合”集成,请按以下步骤操作:

  1. 在该平台中,前往内容中心
  2. 选择响应集成标签页,然后搜索支持请求联合
  3. 点击 Case Federation 集成配置,然后点击保存。请勿选中是主要复选框。
  4. 依次前往响应 > 作业调度器,然后点击添加
  5. 作业名称字段中,选择 Case Federation Sync Job
  6. 集成字段中,选择支持请求联合
  7. 点击创建
  8. 目标平台字段中,输入主要提供商的主机名。 主机名是不含 `https://` 前缀的平台网址(例如 `primaryinstance.siemplify-soar.com`)。
  9. API 密钥字段中,输入您之前创建的同步 API 密钥。
  10. 将默认同步时间设置为 1 分钟。
  11. 点击保存

向主要用户授予访问权限

通过此程序,您可以为相关主要平台角色授予对特定环境的权限。这样,主要分析师就可以在次要平台中转到相关支持请求。

如需在次要平台上创建或修改用户,请按以下步骤操作:

  1. 在辅助平台中,依次前往 SOAR 设置 > 高级 > IAM 角色映射
  2. 根据需要添加或修改用户。如需详细了解如何添加或修改用户,请参阅在 Google SecOps 平台中映射用户
  3. 环境字段中,选择主要平台分析师可以访问的环境。
  4. 点击保存

从主要平台访问远程支持请求

主平台用户可以在支持请求页面上以列表视图或并排视图查看远程支持请求

如需在远程平台上提交支持服务工单,请按以下步骤操作:

  1. 支持请求页面上,选择列表视图并排视图
  2. 执行以下任意一项操作:
    • 并排视图
      1. 在支持请求队列中,查找标记为“R”(表示远程)的支持请求。
      2. 点击某个远程支持请求,即可在相应的远程支持平台上打开该请求。
    • 列表视图
      1. 平台列中找到远程支持服务请求。
      2. 点击支持请求 ID 以在远程平台中打开支持请求。

  3. 使用您的电子邮件地址和密码登录远程平台。

    如果您无法登录,则表示次要客户可能未授予您对支持请求的来源环境的访问权限。

列出次要平台

您可以从主平台列出次要平台,方法是运行以下命令,该命令会返回平台名称和 ID 的列表:

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

删除次要平台

您可以通过运行以下命令从主平台中删除次要平台: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。