Configurar o acesso federado a casos para SecOps

Com o recurso de federação de gerenciamento de casos, os clientes secundários têm uma plataforma separada do Google Security Operations, em vez de ter a instância do Google SecOps operando como ambientes em uma instância compartilhada. Essa configuração é ideal para provedores de serviços de segurança gerenciados (MSSPs) ou empresas que exigem plataformas independentes em regiões geográficas.

Todos os metadados de caso são sincronizados da plataforma secundária (remota) para a plataforma do provedor principal da seguinte forma:

• Os analistas da plataforma principal podem acessar e trabalhar em casos federados se tiverem recebido acesso.

• Os clientes secundários mantêm o controle sobre quais ambientes e casos estão acessíveis à plataforma principal.

Quando um analista de plataforma principal abre um link de caso remoto, o sistema o redireciona para a plataforma remota, se ele tiver as permissões necessárias para acessar o ambiente do caso. Na plataforma remota, o analista da plataforma principal pode fazer login com e-mail e senha. O acesso exige credenciais válidas e é concedido apenas para a sessão atual.

Adicionar acesso à plataforma secundária para usuários da plataforma principal

Para atribuir acesso a uma ou mais plataformas remotas (secundárias), siga estas etapas:

1. Na plataforma principal, acesse Configurações do SOAR > Avançado > Mapeamento de grupos.
2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar usuários, consulte Mapear usuários na plataforma de SecOps.
3. No campo Plataforma, selecione quantas plataformas remotas forem necessárias.
4. Clique em Salvar.

Registrar uma nova plataforma secundária na plataforma principal

Para registrar uma plataforma secundária, você precisa de uma chave de API Admin para a plataforma principal e fazer uma chamada de API para gerar uma chave de API de sincronização. Crie uma chave de API Admin se você ainda não tiver uma seguindo estas etapas ou leia mais sobre gerenciar chaves de API:

1. Acesse Configurações do SOAR > Avançado > Chaves de API.
2. Crie uma nova chave de API de administrador.

Gere a chave de API de sincronização seguindo estas etapas:

1. Execute a seguinte chamada de API, em que a variável `$PRIMARY_INSTANCE_URL` é o URL raiz da sua instância principal do SOAR, por exemplo, `https://primaryinstance.siemplify-soar.com`, e o valor de"host". No payload de dados, defina o valor "host" como sua instância secundária do SOAR, sem o prefixo `https` (por exemplo, `mysecondary.siemplify-soar.com`).

   curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
   --header 'Content-Type: application/json' \
   --header "AppKey: $ADMIN_API_KEY" \
   --data '{
   "displayName": "My Secondary Platform",
   "host": "mysecondary.siemplify-soar.com"
   }'
   

   Isso retorna uma chave de API síncrona exclusiva para cada plataforma secundária e usada para autenticar na plataforma principal.

Configurar a sincronização de metadados na plataforma secundária (remota)

Para ativar a sincronização na plataforma secundária, conclua as etapas a seguir na instância secundária do SecOps.

Baixar a integração do Case Federation

Para fazer o download da integração da federação de casos, siga estas etapas:

1. Na plataforma, acesse o Hub de conteúdo.
2. Selecione a guia Integrações de resposta e pesquise Federação de casos.
3. Clique em Configuração da integração da federação de casos e em Salvar. Não marque a caixa de seleção É principal.
4. Acesse Resposta > Job Scheduler e clique em addAdicionar.
5. No campo Nome do job, selecione Job de sincronização da federação de casos.
6. No campo Integração, selecione Federação de casos.
7. Clique em Criar.
8. No campo Plataforma de destino, insira o nome do host do provedor principal. O nome do host é o URL da plataforma sem o prefixo "https://" (por exemplo, "primaryinstance.siemplify-soar.com").
9. No campo Chave de API, insira a chave de API de sincronização que você criou anteriormente.
10. Defina o tempo de sincronização padrão como um minuto.
11. Clique em Salvar.

Conceder acesso aos usuários principais

Com esse procedimento, você pode conceder permissões a ambientes específicos para as personas relevantes da plataforma principal. Isso permite que o analista principal faça uma rotação para os casos relevantes na plataforma secundária.

Para criar ou editar um usuário na plataforma secundária, siga estas etapas:

1. Na plataforma secundária, acesse Configurações do SOAR > Avançado > Mapeamento de função do IAM.
2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar ou editar usuários, consulte Mapear usuários na plataforma Google SecOps.
3. No campo Ambiente, selecione os ambientes a que os analistas da plataforma principal podem acessar.
4. Clique em Salvar.

Acessar casos remotos na plataforma principal

Os usuários da plataforma principal podem ver os casos remotos na visualização em lista ou lado a lado na página Casos.

Para abrir casos na plataforma remota, siga estas etapas:

1. Na página Casos, selecione a visualização em lista ou a visualização lado a lado.
2. Faça uma das seguintes ações:
• Visualização lado a lado
1. Na fila de casos, procure aqueles marcados com um "R" (de remoto).
2. Clique em um caso remoto para abrir na plataforma remota correspondente.
• Visualização em lista
1. Localize casos remotos na coluna Plataforma.
2. Clique no ID do caso para abrir o caso na plataforma remota.

3. Faça login na plataforma remota com seu e-mail e senha.

   Se não for possível fazer login, talvez o cliente secundário não tenha concedido acesso ao ambiente de origem do caso.

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"