Configurar o acesso federado a casos para SecOps

Compatível com:

Com o recurso de federação de gerenciamento de casos, os clientes secundários têm uma plataforma separada do Google Security Operations, em vez de uma instância do Google SecOps que opera como ambientes em uma instância compartilhada. Essa configuração é ideal para provedores de serviços de segurança gerenciados (MSSPs) ou empresas que exigem plataformas independentes em regiões geográficas.

Todos os metadados de caso são sincronizados da plataforma secundária (remota) para a plataforma do provedor principal da seguinte forma:

  • Os analistas da plataforma principal podem acessar e agir em casos federados se tiverem recebido acesso.

  • Os clientes secundários mantêm o controle sobre quais ambientes e casos podem ser acessados pela plataforma principal.

Quando um analista de plataforma principal abre um link de caso remoto, o sistema o redireciona para a plataforma remota, se ele tiver as permissões necessárias para acessar o ambiente do caso. Na plataforma remota, o analista da plataforma principal pode fazer login com e-mail e senha. O acesso exige credenciais válidas e é concedido apenas para a sessão atual.

Configurar a sincronização de metadados na plataforma principal

Para ativar a sincronização de metadados, siga estas etapas na plataforma principal:

Configurar o nome de exibição da plataforma remota

Para configurar um nome de exibição de plataforma remota, siga estas etapas:

  1. No exemplo a seguir, use o comando curl para atribuir um nome de exibição exclusivo à plataforma remota. Os nomes de exibição podem ter até 255 caracteres. 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. Armazene a chave de API gerada em um local seguro. O cliente secundário vai usar isso para configurar o novo job de sincronização da federação de casos.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma principal, acesse Marketplace.
  2. Clique em Configuração da integração da federação de casos e marque a caixa de seleção É principal para sincronizar os dados com sua plataforma.
  3. Clique em Salvar.

Criar o job de sincronização da federação de casos

Para criar o job de sincronização de federação de casos, siga estas etapas:

  1. Acesse Resposta > IDE e clique em addAdicionar.
  2. Selecione Tarefa.
  3. No campo Nome do job, selecione Job de sincronização da federação de casos.
  4. No campo Integração, selecione Federação de casos.

  5. Clique em Criar.

    Defina o intervalo de programação como um minuto. Não modifique nenhum outro parâmetro.

Adicionar acesso à plataforma principal (remota) para usuários

Para atribuir acesso a uma ou mais plataformas remotas, siga estas etapas:
  1. Na plataforma principal, acesse Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
  2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar usuários, consulte Mapear usuários na plataforma de SecOps.
  3. No campo Plataforma, selecione quantas plataformas remotas forem necessárias.
  4. Clique em Salvar.

Configurar a sincronização de metadados na plataforma secundária (remota)

Para ativar a sincronização na plataforma secundária, siga estas etapas.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma, acesse o Marketplace.
  2. Clique em Configuração da integração da federação de casos e em Salvar. Não marque a caixa de seleção É principal.
  3. Acesse Resposta > IDE e clique em addAdicionar.
  4. Selecione Tarefa.
  5. No campo Nome do job, selecione Job de sincronização da federação de casos.
  6. No campo Integração, selecione Federação de casos.
  7. Clique em Criar.
  8. No campo Plataforma de destino, insira o nome do host do provedor principal. O nome do host é extraído do início do URL da plataforma do provedor principal.
  9. No campo Chave de API, insira a chave fornecida pelo provedor principal.
  10. Defina o tempo de sincronização padrão como um minuto.
  11. Clique em Salvar.

Conceder acesso aos usuários principais

Com esse procedimento, você concede permissões a ambientes específicos para as personas relevantes da plataforma principal. Isso permite que o analista principal faça uma rotação para os casos relevantes na plataforma secundária.

Para criar ou editar um usuário na plataforma secundária, siga estas etapas:

  1. Na plataforma secundária, acesse Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
  2. Adicione ou edite usuários, conforme necessário. Para mais informações sobre como adicionar ou editar usuários, consulte Mapear usuários na plataforma Google SecOps.
  3. No campo Ambiente, selecione os ambientes a que os analistas da plataforma principal podem acessar.
  4. Clique em Salvar.

Acessar casos remotos na plataforma principal

Os usuários da plataforma principal podem conferir casos remotos na visualização em lista ou lado a lado na página **Casos**.

Para abrir casos na plataforma remota, siga estas etapas:

  1. Na página Casos, selecione a visualização em lista ou a visualização lado a lado.
  2. Faça uma das seguintes ações:
    • Visualização lado a lado
      1. Na fila de casos, procure aqueles marcados com um "R" (de remoto).
      2. Clique em um caso remoto para abri-lo na plataforma remota correspondente.
    • Visualização em lista
      1. Localize casos remotos na coluna Plataforma.
      2. Clique no ID do caso para abrir o caso na plataforma remota.

  3. Faça login na plataforma remota com seu e-mail e senha.

    Se não for possível fazer login, talvez o cliente secundário não tenha concedido acesso ao ambiente de origem do caso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.