Menyiapkan akses kasus gabungan untuk SecOps

Didukung di:

Fitur federasi pengelolaan kasus memungkinkan pelanggan sekunder memiliki platform Google Security Operations terpisah, bukan memiliki instance Google SecOps mereka, melainkan beroperasi sebagai lingkungan dalam instance bersama. Konfigurasi ini ideal untuk Penyedia Layanan Keamanan Terkelola (MSSP) atau perusahaan yang memerlukan platform independen di seluruh wilayah geografis.

Semua metadata kasus disinkronkan dari platform sekunder (jarak jauh) ke platform penyedia utama sebagai berikut:

  • Analis platform utama dapat melihat, mengakses, dan menindaklanjuti kasus gabungan jika mereka telah diberi akses.

  • Pelanggan sekunder tetap memiliki kontrol atas lingkungan dan kasus mana yang dapat diakses oleh platform utama.

Saat analis platform utama membuka link kasus jarak jauh, sistem akan mengalihkan mereka ke platform jarak jauh, jika mereka memiliki izin yang diperlukan untuk mengakses lingkungan kasus. Di platform jarak jauh, analis platform utama dapat login dengan email dan sandi mereka. Akses memerlukan kredensial yang valid dan hanya diberikan untuk sesi saat ini.

Menyiapkan sinkronisasi metadata di platform utama

Untuk mengaktifkan sinkronisasi metadata, lakukan langkah-langkah berikut di platform utama:

Menyiapkan nama tampilan platform jarak jauh

Untuk menyiapkan nama tampilan platform jarak jauh, ikuti langkah-langkah berikut:

  1. Dalam contoh berikut, gunakan perintah curl berikut untuk menetapkan nama tampilan unik ke platform jarak jauh. Nama tampilan dapat berisi hingga 255 karakter. 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. Simpan kunci API yang dibuat di lokasi yang aman. Pelanggan sekunder akan menggunakannya untuk mengonfigurasi tugas sinkronisasi Federasi Kasus yang baru.

Mendownload integrasi Case Federation

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

  1. Di platform utama, buka Marketplace.
  2. Klik Konfigurasi integrasi Federasi Kasus, lalu centang kotak Is Primary untuk menyinkronkan data ke platform Anda.
  3. Klik Simpan.

Membuat tugas sinkronisasi Case Federation

Untuk membuat tugas sinkronisasi Gabungan Kasus, ikuti langkah-langkah berikut:

  1. Buka Respons > IDE, lalu klik addTambahkan.
  2. Pilih Job.
  3. Di kolom Job Name, pilih Case Federation Sync Job.
  4. Di kolom Integration, pilih Case Federation.

  5. Klik Buat.

    Tetapkan interval jadwal ke satu menit. Jangan ubah parameter lainnya.

Menambahkan akses platform utama (jarak jauh) untuk pengguna

Untuk menetapkan akses ke satu atau beberapa platform jarak jauh, ikuti langkah-langkah berikut:
  1. Di platform utama, buka Setelan SOAR > Lanjutan > Pemetaan Grup IdP.
  2. Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan pengguna, lihat Memetakan pengguna di platform SecOps.
  3. Di kolom Platform, pilih platform jarak jauh sebanyak yang diperlukan.
  4. Klik Simpan.

Menyiapkan sinkronisasi metadata di platform sekunder (jarak jauh)

Untuk mengaktifkan sinkronisasi di platform sekunder, selesaikan langkah-langkah berikut.

Mendownload integrasi Case Federation

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

  1. Di platform, buka Marketplace.
  2. Klik konfigurasi integrasi Federasi Kasus, lalu klik Simpan. Jangan centang kotak Is Primary.
  3. Buka Respons > IDE, lalu klik tambahkanTambahkan.
  4. Pilih Job.
  5. Di kolom Job Name, pilih Case Federation Sync Job.
  6. Di kolom Integration, pilih Case Federation.
  7. Klik Buat.
  8. Di kolom Target Platform, masukkan nama host penyedia utama. Nama host diambil dari awal URL platform penyedia utama.
  9. Di kolom Kunci API, masukkan kunci API yang diberikan oleh penyedia utama Anda.
  10. Tetapkan waktu sinkronisasi default ke satu menit.
  11. Klik Simpan.

Memberikan akses kepada pengguna utama

Prosedur ini memungkinkan Anda memberikan izin ke lingkungan tertentu untuk persona platform utama yang relevan. Dengan begitu, analis utama dapat beralih ke kasus yang relevan di platform sekunder.

Untuk membuat atau mengedit pengguna di platform sekunder, ikuti langkah-langkah berikut:

  1. Di platform sekunder, buka Setelan SOAR > Lanjutan > Pemetaan Grup IdP.
  2. Tambahkan atau edit pengguna sesuai kebutuhan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan atau mengedit pengguna, lihat artikel Memetakan pengguna di platform Google SecOps.
  3. Di kolom Environment, pilih lingkungan yang dapat diakses oleh analis platform utama.
  4. Klik Simpan.

Mengakses kasus jarak jauh dari platform utama

Pengguna platform utama dapat melihat kasus jarak jauh dalam tampilan daftar atau tampilan berdampingan di halaman **Kasus**

Untuk membuka kasus di platform jarak jauh, ikuti langkah-langkah berikut:

  1. Di halaman Kasus, pilih tampilan daftar atau tampilan berdampingan.
  2. Lakukan salah satu tindakan berikut:
    • Tampilan berdampingan
      1. Di antrean kasus, cari kasus yang ditandai dengan "R" (untuk jarak jauh).
      2. Klik kasus jarak jauh untuk membukanya di platform jarak jauh yang sesuai.
    • Tampilan daftar
      1. Temukan kasus jarak jauh di kolom Platform.
      2. Klik ID kasus untuk membuka kasus di platform jarak jauh.

  3. Login ke platform jarak jauh dengan email dan sandi Anda.

    Jika Anda tidak dapat login, artinya pelanggan sekunder mungkin belum memberi Anda akses ke lingkungan sumber kasus.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.