Configurer l'accès fédéré aux demandes pour SecOps

Compatible avec :

La fonctionnalité de fédération de la gestion des demandes permet aux clients secondaires de disposer de leur propre plate-forme Google Security Operations distincte, au lieu d'avoir leur instance Google SecOps fonctionnant comme des environnements au sein d'une instance partagée. Cette configuration est idéale pour les fournisseurs de services de sécurité gérés (MSSP) ou les entreprises qui ont besoin de plates-formes indépendantes dans différentes régions géographiques.

Toutes les métadonnées des demandes sont synchronisées depuis la plate-forme secondaire (à distance) vers la plate-forme du fournisseur principal, comme suit :

  • Les analystes de la plate-forme principale peuvent consulter les demandes fédérées, y accéder et les traiter s'ils y ont été autorisés.

  • Les clients secondaires conservent le contrôle sur les environnements et les demandes auxquels la plate-forme principale a accès.

Lorsqu'un analyste de plate-forme principale ouvre un lien vers une demande à distance, le système le redirige vers la plate-forme à distance, s'il dispose des autorisations nécessaires pour accéder à l'environnement de la demande. Sur la plate-forme distante, l'analyste principal de la plate-forme peut se connecter avec son adresse e-mail et son mot de passe. L'accès nécessite des identifiants valides et n'est accordé que pour la session en cours.

Configurer la synchronisation des métadonnées sur la plate-forme principale

Pour activer la synchronisation des métadonnées, procédez comme suit sur la plate-forme principale :

Configurer le nom à afficher de la plate-forme à distance

Pour configurer un nom à afficher pour une plate-forme distante, procédez comme suit :

  1. Dans l'exemple suivant, utilisez la commande curl pour attribuer un nom à afficher unique à la plate-forme distante. Les noms à afficher peuvent comporter jusqu'à 255 caractères. 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. Stockez la clé API générée dans un emplacement sécurisé. Le client secondaire l'utilisera pour configurer le nouveau job de synchronisation de la fédération de demandes.

Télécharger l'intégration Case Federation

Pour télécharger l'intégration de la fédération de demandes, procédez comme suit :

  1. Dans la plate-forme principale, accédez à Marketplace.
  2. Cliquez sur Configuration de l'intégration de la fédération de demandes, puis cochez la case Is Primary (Est principal) pour synchroniser les données avec votre plate-forme.
  3. Cliquez sur Enregistrer.

Créer le job de synchronisation de la fédération de demandes

Pour créer le job de synchronisation de la fédération de demandes, procédez comme suit :

  1. Accédez à Réponse > IDE, puis cliquez sur addAjouter.
  2. Sélectionnez Job.
  3. Dans le champ Nom du job, sélectionnez Job de synchronisation de la fédération de cas.
  4. Dans le champ Intégration, sélectionnez Fédération des demandes.

  5. Cliquez sur Créer.

    Définissez l'intervalle de programmation sur une minute. Ne modifiez aucun autre paramètre.

Ajouter l'accès principal (à distance) à la plate-forme pour les utilisateurs

Pour attribuer un accès à une ou plusieurs plates-formes distantes, procédez comme suit :
  1. Dans la plate-forme principale, accédez à Paramètres SOAR > Avancé > Mappage des groupes IdP.
  2. Ajoutez ou modifiez des utilisateurs, si nécessaire. Pour savoir comment ajouter des utilisateurs, consultez Mapper des utilisateurs dans la plate-forme SecOps.
  3. Dans le champ Plate-forme, sélectionnez autant de plates-formes distantes que nécessaire.
  4. Cliquez sur Enregistrer.

Configurer la synchronisation des métadonnées sur la plate-forme secondaire (à distance)

Pour activer la synchronisation sur la plate-forme secondaire, procédez comme suit.

Télécharger l'intégration Case Federation

Pour télécharger l'intégration de la fédération de demandes, procédez comme suit :

  1. Dans la plate-forme, accédez à Marketplace.
  2. Cliquez sur la configuration de l'intégration de la fédération de demandes, puis sur Enregistrer. Ne cochez pas la case Est le contact principal.
  3. Accédez à Réponse > IDE, puis cliquez sur addAjouter.
  4. Sélectionnez Job.
  5. Dans le champ Nom du job, sélectionnez Job de synchronisation de la fédération de cas.
  6. Dans le champ Intégration, sélectionnez Fédération des demandes.
  7. Cliquez sur Créer.
  8. Dans le champ Plate-forme cible, saisissez le nom d'hôte du fournisseur principal. Le nom d'hôte est extrait du début de l'URL de la plate-forme du fournisseur principal.
  9. Dans le champ Clé API, saisissez la clé API fournie par votre fournisseur principal.
  10. Définissez la durée de synchronisation par défaut sur une minute.
  11. Cliquez sur Enregistrer.

Accorder l'accès aux utilisateurs principaux

Cette procédure vous permet d'accorder des autorisations à des environnements spécifiques pour les personas de plate-forme principale concernés. Cela permet à l'analyste principal de passer aux cas concernés dans la plate-forme secondaire.

Pour créer ou modifier un utilisateur sur la plate-forme secondaire, procédez comme suit :

  1. Dans la plate-forme secondaire, accédez à Paramètres SOAR > Avancé > Mappage des groupes IdP.
  2. Ajoutez ou modifiez des utilisateurs, si nécessaire. Pour savoir comment ajouter ou modifier des utilisateurs, consultez Mapper des utilisateurs dans la plate-forme Google SecOps.
  3. Dans le champ Environnement, sélectionnez les environnements auxquels les analystes de la plate-forme principale peuvent accéder.
  4. Cliquez sur Enregistrer.

Accéder aux demandes à distance depuis la plate-forme principale

Les utilisateurs de la plate-forme principale peuvent afficher les demandes à distance dans la vue Liste ou côte à côte sur la page **Demandes**.

Pour ouvrir des demandes sur la plate-forme à distance, procédez comme suit :

  1. Sur la page Demandes, sélectionnez la vue Liste ou la vue côte à côte.
  2. Effectuez l'une des opérations suivantes :
    • Vue côte à côte
      1. Dans la file d'attente des demandes, recherchez celles marquées d'un "R" (pour "à distance").
      2. Cliquez sur une demande à distance pour l'ouvrir dans la plate-forme à distance correspondante.
    • Vue Liste
      1. Recherchez les demandes à distance dans la colonne Plate-forme.
      2. Cliquez sur l'ID de la demande pour l'ouvrir dans la plate-forme à distance.

  3. Connectez-vous à la plate-forme à distance avec votre adresse e-mail et votre mot de passe.

    Si vous ne parvenez pas à vous connecter, cela signifie que le client secondaire ne vous a peut-être pas accordé l'accès à l'environnement source de la demande.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.