Configurar o acesso federado a casos para SecOps

Compatível com:

Com o recurso de federação de gerenciamento de casos, os clientes secundários têm uma plataforma separada do Google Security Operations, em vez de ter a instância do Google SecOps operando como ambientes em uma instância compartilhada. Essa configuração é ideal para provedores de serviços de segurança gerenciados (MSSPs) ou empresas que exigem plataformas independentes em regiões geográficas.

Todos os metadados de caso são sincronizados da plataforma secundária (remota) para a plataforma do provedor principal da seguinte forma:

  • Os analistas da plataforma principal podem ver, acessar e agir em casos federados se tiverem recebido acesso.

  • Os clientes secundários mantêm o controle sobre quais ambientes e casos estão acessíveis à plataforma principal.

Quando um analista de plataforma principal abre um link de caso remoto, o sistema o redireciona para a plataforma remota, se ele tiver as permissões necessárias para acessar o ambiente do caso. Na plataforma remota, o analista da plataforma principal pode fazer login com e-mail e senha. O acesso exige credenciais válidas e é concedido apenas para a sessão atual.

Configurar a sincronização de metadados na plataforma principal

O Google precisa ativar o recurso de federação de casos na plataforma principal antes que você possa executar esses procedimentos.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma principal, acesse o Hub de conteúdo.
  2. Clique em Configuração da integração da federação de casos e marque a caixa de seleção É principal para sincronizar os dados com sua plataforma.
  3. Clique em Salvar.

Criar o job de sincronização da federação de casos

Para criar o job de sincronização de federação de casos, siga estas etapas:

  1. Acesse Resposta > Job Scheduler e clique em addAdicionar.
  2. No campo Nome do job, selecione Job de sincronização da federação de casos.
  3. No campo Integração, selecione Federação de casos.

  4. Clique em Criar.

    Defina o intervalo de programação como um minuto e marque a caixa de seleção É principal.

Adicionar acesso à plataforma secundária para usuários da plataforma principal

Para atribuir acesso a uma ou mais plataformas remotas (secundárias), siga estas etapas:
  1. Na plataforma principal, acesse Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
  2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar usuários, consulte Mapear usuários na plataforma de SecOps.
  3. No campo Plataforma, selecione quantas plataformas remotas forem necessárias.
  4. Clique em Salvar.

Registrar uma nova plataforma secundária na plataforma principal

Para registrar uma plataforma secundária, você precisa de uma chave de API Admin para a plataforma principal e fazer uma chamada de API para gerar uma chave de API de sincronização. Crie uma chave de API de administrador se ainda não tiver uma seguindo estas etapas:
  1. Acesse Configurações do SOAR > Avançado > Chaves de API.
  2. Crie uma nova chave de API de administrador.
Gere a chave de API de sincronização seguindo estas etapas:
  1. Execute a seguinte chamada de API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Isso retorna uma chave de API síncrona exclusiva para cada plataforma secundária e usada para autenticar na plataforma principal.

Configurar a sincronização de metadados na plataforma secundária (remota)

Para ativar a sincronização na plataforma secundária, siga estas etapas.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma, acesse o Hub de conteúdo.
  2. Clique em Configuração da integração da federação de casos e em Salvar. Não marque a caixa de seleção É principal.
  3. Acesse Resposta > Job Scheduler e clique em addAdicionar.
  4. No campo Nome do job, selecione Job de sincronização da federação de casos.
  5. No campo Integração, selecione Federação de casos.
  6. Clique em Criar.
  7. No campo Plataforma de destino, insira o nome do host do provedor principal. O nome do host é extraído do início do URL da plataforma do provedor principal.
  8. No campo Chave de API, insira a chave de API de sincronização que você criou anteriormente.
  9. Defina o tempo de sincronização padrão como um minuto.
  10. Clique em Salvar.

Conceder acesso aos usuários principais

Com esse procedimento, você concede permissões a ambientes específicos para as personas relevantes da plataforma principal. Isso permite que o analista principal faça uma rotação para os casos relevantes na plataforma secundária.

Para criar ou editar um usuário na plataforma secundária, siga estas etapas:

  1. Na plataforma secundária, acesse Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
  2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar ou editar usuários, consulte Mapear usuários na plataforma Google SecOps.
  3. No campo Ambiente, selecione os ambientes a que os analistas da plataforma principal podem acessar.
  4. Clique em Salvar.

Acessar casos remotos na plataforma principal

Os usuários da plataforma principal podem conferir casos remotos na visualização em lista ou lado a lado na página **Casos**.

Para abrir casos na plataforma remota, siga estas etapas:

  1. Na página Casos, selecione a visualização em lista ou a visualização lado a lado.
  2. Faça uma das seguintes ações:
    • Visualização lado a lado
      1. Na fila de casos, procure aqueles marcados com um "R" (de remoto).
      2. Clique em um caso remoto para abri-lo na plataforma remota correspondente.
    • Visualização em lista
      1. Localize casos remotos na coluna Plataforma.
      2. Clique no ID do caso para abrir o caso na plataforma remota.

  3. Faça login na plataforma remota com seu e-mail e senha.

    Se não for possível fazer login, talvez o cliente secundário não tenha concedido acesso ao ambiente de origem do caso.

Excluir plataformas secundárias

É possível excluir plataformas secundárias da principal executando o seguinte comando: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.