Configura el acceso federado a los casos para SecOps

Se admite en los siguientes sistemas operativos:

La función de federación de administración de casos permite que los clientes secundarios tengan su propia plataforma independiente de Google Security Operations, en lugar de que su instancia de Google SecOps funcione como entornos dentro de una instancia compartida. Esta configuración es ideal para los proveedores de servicios de seguridad administrados (MSSP) o las empresas que requieren plataformas independientes en diferentes regiones geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) a la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver los casos federados, acceder a ellos y tomar medidas al respecto si se les otorgó acceso.

  • Los clientes secundarios conservan el control sobre los entornos y los casos a los que puede acceder la plataforma principal.

Cuando un analista de la plataforma principal abre un vínculo a un caso remoto, el sistema lo redirecciona a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista de la plataforma principal puede acceder con su correo electrónico y contraseña. El acceso requiere credenciales válidas y se otorga solo para la sesión actual.

Configura la sincronización de metadatos en la plataforma principal

Google debe habilitar la función de federación de casos en la plataforma principal antes de que puedas ejecutar estos procedimientos.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma principal, ve al Centro de contenido.
  2. Haz clic en Configuración de la integración de la federación de casos y, luego, selecciona la casilla de verificación Es principal para sincronizar los datos con tu plataforma.
  3. Haz clic en Guardar.

Crea el trabajo de sincronización de la federación de casos

Para crear el trabajo de sincronización de la federación de casos, sigue estos pasos:

  1. Ve a Response > Job Scheduler y, luego, haz clic en addAdd.
  2. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  3. En el campo Integración, selecciona Federación de casos.

  4. Haz clic en Crear.

    Establece el intervalo de programación en un minuto y selecciona la casilla de verificación Is Primary.

Cómo agregar acceso a la plataforma secundaria para los usuarios de la plataforma principal

Para asignar acceso a una o más plataformas remotas (secundarias), sigue estos pasos:
  1. En la plataforma principal, ve a Configuración de SOAR > Avanzada > Asignación de grupos de IdP.
  2. Agrega o edita usuarios según sea necesario. Para obtener más información sobre cómo agregar usuarios, consulta Cómo asignar usuarios en la plataforma de SecOps.
  3. En el campo Plataforma, selecciona todas las plataformas remotas que necesites.
  4. Haz clic en Guardar.

Registra una nueva plataforma secundaria en la plataforma principal

Para registrar una plataforma secundaria, necesitas una clave de la API de Admin para la plataforma principal y realizar una llamada a la API para generar una clave de la API de sincronización. Sigue estos pasos para crear una clave de API de Admin nueva si aún no tienes una:
  1. Ve a Configuración de SOAR > Avanzada > Claves de API.
  2. Crea una nueva clave de la API de Admin.
Para generar la clave de API de sincronización, sigue estos pasos:
  1. Ejecuta la siguiente llamada a la API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Devuelve una clave de API de sincronización que es única por plataforma secundaria y se usa para autenticarse en la plataforma principal.

Configura la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, completa los siguientes pasos.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma, ve al Centro de contenido.
  2. Haz clic en la configuración de integración de la federación de casos y, luego, en Guardar. No selecciones la casilla de verificación Es principal.
  3. Ve a Response > Job Scheduler y, luego, haz clic en addAdd.
  4. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  5. En el campo Integración, selecciona Federación de casos.
  6. Haz clic en Crear.
  7. En el campo Plataforma de destino, ingresa el nombre de host del proveedor principal. El nombre de host se toma del comienzo de la URL de la plataforma del proveedor principal.
  8. En el campo Clave de API, ingresa la clave de API de sincronización que creaste anteriormente.
  9. Establece el tiempo de sincronización predeterminado en un minuto.
  10. Haz clic en Guardar.

Cómo otorgar acceso a usuarios principales

Este procedimiento te permite otorgar permisos a entornos específicos para los arquetipos de plataformas principales pertinentes. Esto permite que el analista principal cambie a los casos pertinentes en la plataforma secundaria.

Para crear o editar un usuario en la plataforma secundaria, sigue estos pasos:

  1. En la plataforma secundaria, ve a Configuración de SOAR > Avanzada > Asignación de grupos de IdP.
  2. Agrega o edita usuarios según sea necesario. Para obtener más información sobre cómo agregar o editar usuarios, consulta Cómo asignar usuarios en la plataforma de Google SecOps.
  3. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  4. Haz clic en Guardar.

Accede a casos remotos desde la plataforma principal

Los usuarios de la plataforma principal pueden ver los casos remotos en la vista de lista o en la vista lado a lado en la página **Casos**.

Para abrir casos en la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realiza una de las siguientes acciones:
    • Vista en paralelo
      1. En la fila de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en un caso remoto para abrirlo en la plataforma remota correspondiente.
    • Vista de lista
      1. Ubica los casos remotos en la columna Plataforma.
      2. Haz clic en el ID del caso para abrirlo en la plataforma remota.

  3. Accede a la plataforma remota con tu correo electrónico y contraseña.

    Si no puedes acceder, significa que es posible que el cliente secundario no te haya otorgado acceso al entorno de origen del caso.

Cómo borrar plataformas secundarias

Puedes borrar plataformas secundarias de la plataforma principal con el siguiente comando: 

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.