SecOps の連携ケース アクセスを設定する

以下でサポートされています。

ケース管理のフェデレーション機能を使用すると、セカンダリのお客様は、共有インスタンス内の環境として運用するのではなく、独自の独立した Google Security Operations プラットフォームを使用できます。この設定は、マネージド セキュリティ サービス プロバイダ(MSSP)や、地理的リージョン全体で独立したプラットフォームを必要とする企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ(リモート)プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

  • プライマリ プラットフォーム アナリストは、アクセス権が付与されている場合、統合ケースを表示、アクセス、操作できます。

  • セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォーム アナリストがリモート ケースのリンクを開くと、ケースの環境にアクセスするために必要な権限を持っている場合、システムはリモート プラットフォームにリダイレクトします。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

プライマリ プラットフォームでメタデータ同期を設定する

メタデータの同期を有効にするには、プライマリ プラットフォームで次の操作を行います。

リモート プラットフォームの表示名を設定する

リモート プラットフォームの表示名を設定する手順は次のとおりです。

  1. 次の例では、次の curl コマンドを使用して、リモート プラットフォームに一意の表示名を割り当てます。表示名は 255 文字までです。
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. 生成された API キーを安全な場所に保管します。セカンダリのお客様は、新しい Case Federation 同期ジョブを構成するためにこれを使用します。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プライマリ プラットフォームで、[Marketplace] に移動します。
  2. [Case Federation integration configuration] をクリックし、[Is Primary] チェックボックスをオンにして、データをプラットフォームに同期します。
  3. [保存] をクリックします。

ケース連携同期ジョブを作成する

ケース連携の同期ジョブを作成する手順は次のとおりです。

  1. [レスポンス] > [IDE] に移動し、[追加追加] をクリックします。
  2. [ジョブ] を選択します。
  3. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  4. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。

  5. [作成] をクリックします。

    スケジュール間隔を 1 分に設定します。他のパラメータは変更しないでください。

ユーザーにプライマリ(リモート)プラットフォームへのアクセス権を付与する

1 つ以上のリモート プラットフォームにアクセス権を割り当てる手順は次のとおりです。
  1. プライマリ プラットフォームで、[SOAR 設定] > [詳細] > [IdP グループ マッピング] に移動します。
  2. 必要に応じてユーザーを追加または編集します。ユーザーを追加する方法については、SecOps プラットフォームでユーザーをマッピングするをご覧ください。
  3. [プラットフォーム] フィールドで、必要に応じてリモート プラットフォームを複数選択します。
  4. [保存] をクリックします。

セカンダリ(リモート)プラットフォームでメタデータ同期を設定する

セカンダリ プラットフォームで同期を有効にするには、次の操作を行います。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プラットフォームで、[Marketplace] に移動します。
  2. [Case Federation integration configuration] をクリックし、[Save] をクリックします。[Is Primary] チェックボックスはオンにしないでください。
  3. [レスポンス] > [IDE] に移動し、[追加追加] をクリックします。
  4. [ジョブ] を選択します。
  5. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  6. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。
  7. [作成] をクリックします。
  8. [Target Platform] フィールドに、プライマリ プロバイダのホスト名を入力します。ホスト名は、プライマリ プロバイダのプラットフォーム URL の先頭から取得されます。
  9. [API キー] フィールドに、プライマリ プロバイダから提供された API キーを入力します。
  10. デフォルトの同期時間を 1 分に設定します。
  11. [保存] をクリックします。

プライマリ ユーザーにアクセス権を付与する

この手順では、関連するプライマリ プラットフォーム ペルソナの特定の環境に対する権限を付与します。これにより、プライマリ アナリストはセカンダリ プラットフォームの関連するケースにピボットできます。

セカンダリ プラットフォームでユーザーを作成または編集する手順は次のとおりです。

  1. セカンダリ プラットフォームで、[SOAR 設定] > [詳細] > [IdP グループ マッピング] に移動します。
  2. 必要に応じてユーザーを追加または編集します。ユーザーの追加または編集方法については、Google SecOps プラットフォームでユーザーをマッピングするをご覧ください。
  3. [環境] フィールドで、プライマリ プラットフォームのアナリストがアクセスできる環境を選択します。
  4. [保存] をクリックします。

メイン プラットフォームからリモート ケースにアクセスする

プライマリ プラットフォームのユーザーは、[**ケース**] ページのリストビューまたは並列ビューでリモートケースを表示できます。

リモート プラットフォームでケースを開く手順は次のとおりです。

  1. [ケース] ページで、[リストビュー] または [並べて表示] を選択します。
  2. 次のいずれかの操作を行います。
    • 並べて表示
      1. ケースキューで、「R」(リモート)とマークされたケースを探します。
      2. リモートケースをクリックすると、対応するリモート プラットフォームで開きます。
    • リスト表示
      1. [プラットフォーム] 列でリモートケースを見つけます。
      2. ケース ID をクリックして、リモート プラットフォームでケースを開きます。

  3. メールアドレスとパスワードを使用してリモート プラットフォームにログインします。

    ログインできない場合は、セカンダリのお客様がケースのソース環境へのアクセス権を付与していない可能性があります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。