Menyiapkan akses kasus gabungan untuk SecOps

Didukung di:

SecOps Google

Fitur federasi pengelolaan kasus memungkinkan pelanggan sekunder memiliki platform Google Security Operations terpisah, bukan membuat instance Google SecOps mereka beroperasi sebagai lingkungan dalam instance bersama. Konfigurasi ini ideal untuk Penyedia Layanan Keamanan Terkelola (MSSP) atau perusahaan yang memerlukan platform independen di seluruh wilayah geografis.

Semua metadata kasus disinkronkan dari platform sekunder (jarak jauh) ke platform penyedia utama sebagai berikut:

Analis platform utama dapat melihat, mengakses, dan menindaklanjuti kasus gabungan jika mereka telah diberi akses.
Pelanggan sekunder tetap memiliki kontrol atas lingkungan dan kasus mana yang dapat diakses oleh platform utama.

Saat analis platform utama membuka link kasus jarak jauh, sistem akan mengalihkan mereka ke platform jarak jauh, jika mereka memiliki izin yang diperlukan untuk mengakses lingkungan kasus. Di platform jarak jauh, analis platform utama dapat login dengan email dan sandi mereka. Akses memerlukan kredensial yang valid dan diberikan hanya untuk sesi saat ini.

Menambahkan akses platform sekunder untuk pengguna platform utama

Untuk memberikan akses ke satu atau beberapa platform jarak jauh (sekunder), ikuti langkah-langkah berikut:

Di platform utama, buka Setelan SOAR > Lanjutan > Pemetaan Grup.
Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan pengguna, lihat Memetakan pengguna di platform SecOps.
Di kolom Platform, pilih platform jarak jauh sebanyak yang diperlukan.
Klik Simpan.

Mendaftarkan platform sekunder baru di platform utama

Untuk mendaftarkan platform sekunder, Anda memerlukan kunci API Admin untuk platform utama dan melakukan panggilan API untuk membuat kunci API sinkronisasi. Buat kunci Admin API baru jika Anda belum memilikinya dengan mengikuti langkah-langkah berikut, atau Anda dapat membaca lebih lanjut cara mengelola kunci API:

Buka Setelan SOAR > Lanjutan > Kunci API.
Buat kunci API Admin baru.

Buat kunci API sinkronisasi dengan mengikuti langkah-langkah berikut:

Jalankan panggilan API berikut, dengan variabel `$PRIMARY_INSTANCE_URL` adalah URL root instance SOAR utama Anda, misalnya `https://primaryinstance.siemplify-soar.com`, dan nilai untuk `"host"`. Dalam payload data, tetapkan nilai "host" ke instance SOAR sekunder Anda, tanpa awalan `https` (misalnya, `mysecondary.siemplify-soar.com`).
```
curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
```
API ini menampilkan kunci API sinkronisasi yang unik per platform sekunder dan digunakan untuk mengautentikasi ke platform utama.

Menyiapkan sinkronisasi metadata di platform sekunder (jarak jauh)

Untuk mengaktifkan sinkronisasi di platform sekunder, selesaikan langkah-langkah berikut di instance SecOps sekunder.

Mendownload integrasi Federasi Kasus

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

Di platform, buka Hub Konten.
Pilih tab Integrasi Respons dan cari Gabungan Kasus.
Klik konfigurasi integrasi Federasi Kasus, lalu klik Simpan. Jangan centang kotak Is Primary.
Buka Respons > Penjadwal Tugas, lalu klik addTambahkan.
Di kolom Job Name, pilih Case Federation Sync Job.
Di kolom Integration, pilih Case Federation.
Klik Create.
Di kolom Target Platform, masukkan nama host penyedia utama. Nama host adalah URL platform tanpa awalan `https://` (misalnya, `primaryinstance.siemplify-soar.com`).
Di kolom Kunci API, masukkan kunci API sinkronisasi yang Anda buat sebelumnya.
Tetapkan waktu sinkronisasi default ke satu menit.
Klik Simpan.

Memberikan akses kepada pengguna utama

Prosedur ini memungkinkan Anda memberikan izin ke lingkungan tertentu untuk persona platform utama yang relevan. Dengan begitu, analis utama dapat beralih ke kasus yang relevan di platform sekunder.

Untuk membuat atau mengedit pengguna di platform sekunder, ikuti langkah-langkah berikut:

Di platform sekunder, buka Setelan SOAR > Lanjutan > Pemetaan Peran IAM.
Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan atau mengedit pengguna, lihat artikel Memetakan pengguna di platform Google SecOps.
Di kolom Environment, pilih lingkungan yang dapat diakses oleh analis platform utama.
Klik Simpan.

Mengakses kasus jarak jauh dari platform utama

Pengguna platform utama dapat melihat kasus jarak jauh dalam tampilan daftar atau tampilan berdampingan di halaman Kasus

Untuk membuka kasus di platform jarak jauh, ikuti langkah-langkah berikut:

Di halaman Kasus, pilih tampilan daftar atau tampilan berdampingan.
Lakukan salah satu tindakan berikut:

Tampilan berdampingan

Di antrean kasus, cari kasus yang ditandai dengan "R" (untuk jarak jauh).
Klik kasus jarak jauh untuk membukanya di platform jarak jauh yang sesuai.

Tampilan daftar

Temukan kasus jarak jauh di kolom Platform.
Klik ID kasus untuk membuka kasus di platform jarak jauh.

Login ke platform jarak jauh dengan email dan sandi Anda.

Jika Anda tidak dapat login, artinya pelanggan sekunder mungkin belum memberi Anda akses ke lingkungan sumber kasus.

Mencantumkan platform sekunder

Anda dapat mencantumkan platform sekunder dari platform utama dengan menjalankan perintah berikut, yang menampilkan daftar nama dan ID platform:

curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header 'Content-Type: application/json' 

      --header "AppKey: $ADMIN_API_KEY"

Menghapus platform sekunder

Anda dapat menghapus platform sekunder dari platform utama dengan menjalankan perintah berikut:

curl -X DELETE --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms/{platform_id}" 

      --header "AppKey: $ADMIN_API_KEY"

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.