Configura el acceso federado a los casos para SecOps

Compatible con:

La función de federación de administración de casos permite que los clientes secundarios tengan su propia plataforma independiente de Google Security Operations, en lugar de tener su instancia de Google SecOps y operar como entornos dentro de una instancia compartida. Esta configuración es ideal para los proveedores de servicios de seguridad administrados (MSSP) o las empresas que requieren plataformas independientes en diferentes regiones geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) a la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver los casos federados, acceder a ellos y tomar medidas en relación con ellos si se les otorgó acceso.

  • Los clientes secundarios conservan el control sobre qué entornos y casos son accesibles para la plataforma principal.

Cuando un analista de la plataforma principal abre un vínculo de caso remoto, el sistema lo redirecciona a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista principal de la plataforma puede acceder con su correo electrónico y contraseña. El acceso requiere credenciales válidas y se otorga solo para la sesión actual.

Configura la sincronización de metadatos en la plataforma principal

Para habilitar la sincronización de metadatos, realiza los siguientes pasos en la plataforma principal:

Cómo configurar el nombre visible de la plataforma remota

Para configurar un nombre visible de la plataforma remota, sigue estos pasos:

  1. En el siguiente ejemplo, usa el comando curl para asignar un nombre visible único a la plataforma remota. Los nombres visibles pueden tener hasta 255 caracteres. 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. Almacena la clave de API generada en una ubicación segura. El cliente secundario lo usará para configurar el nuevo trabajo de sincronización de la federación de casos.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma principal, ve a Marketplace.
  2. Haz clic en Configuración de la integración de la federación de casos y, luego, selecciona la casilla de verificación Es principal para sincronizar los datos con tu plataforma.
  3. Haz clic en Guardar.

Crea el trabajo de sincronización de la federación de casos

Para crear el trabajo de sincronización de la federación de casos, sigue estos pasos:

  1. Ve a Response > IDE y, luego, haz clic en addAdd.
  2. Selecciona Trabajo.
  3. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  4. En el campo Integración, selecciona Federación de casos.

  5. Haz clic en Crear.

    Establece el intervalo de programación en un minuto. No modifiques ningún otro parámetro.

Cómo agregar acceso a la plataforma principal (remota) para los usuarios

Para asignar acceso a una o más plataformas remotas, sigue estos pasos:
  1. En la plataforma principal, ve a Configuración de SOAR > Avanzada > Asignación de grupos de IdP.
  2. Agrega o edita usuarios según sea necesario. Para obtener más información sobre cómo agregar usuarios, consulta Cómo asignar usuarios en la plataforma de SecOps.
  3. En el campo Plataforma, selecciona todas las plataformas remotas que necesites.
  4. Haz clic en Guardar.

Configura la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, completa los siguientes pasos.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma, ve a Marketplace.
  2. Haz clic en la configuración de integración de la federación de casos y, luego, en Guardar. No selecciones la casilla de verificación Es principal.
  3. Ve a Response > IDE y, luego, haz clic en addAgregar.
  4. Selecciona Trabajo.
  5. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  6. En el campo Integración, selecciona Federación de casos.
  7. Haz clic en Crear.
  8. En el campo Plataforma de destino, ingresa el nombre de host del proveedor principal. El nombre de host se toma del comienzo de la URL de la plataforma del proveedor principal.
  9. En el campo Clave de API, ingresa la clave de API que te proporcionó tu proveedor principal.
  10. Establece el tiempo de sincronización predeterminado en un minuto.
  11. Haz clic en Guardar.

Otorga acceso a los usuarios principales

Este procedimiento te permite otorgar permisos a entornos específicos para los arquetipos de plataformas principales pertinentes. Esto permite que el analista principal cambie a los casos pertinentes en la plataforma secundaria.

Para crear o editar un usuario en la plataforma secundaria, sigue estos pasos:

  1. En la plataforma secundaria, ve a Configuración de SOAR > Avanzada >Asignación de grupos de IdP.
  2. Agrega o edita usuarios según sea necesario. Para obtener más información sobre cómo agregar o editar usuarios, consulta Cómo asignar usuarios en la plataforma de Google SecOps.
  3. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  4. Haz clic en Guardar.

Accede a casos remotos desde la plataforma principal

Los usuarios de la plataforma principal pueden ver los casos remotos en la vista de lista o en la vista lado a lado en la página **Casos**.

Para abrir casos en la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realiza una de las siguientes acciones:
    • Vista en paralelo
      1. En la fila de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en un caso remoto para abrirlo en la plataforma remota correspondiente.
    • Vista de lista
      1. Ubica los casos remotos en la columna Plataforma.
      2. Haz clic en el ID del caso para abrirlo en la plataforma remota.

  3. Accede a la plataforma remota con tu correo electrónico y contraseña.

    Si no puedes acceder, significa que es posible que el cliente secundario no te haya otorgado acceso al entorno de origen del caso.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.