为 SecOps 设置联合支持服务请求访问权限

支持的平台:

借助支持联合管理的支持服务请求功能,次要客户可以拥有自己的独立 Google Security Operations 平台,而不是将 Google SecOps 实例作为共享实例中的环境来运行。此设置非常适合需要在不同地理区域使用独立平台的托管安全服务提供商 (MSSP) 或企业。

所有支持请求元数据都会从辅助(远程)平台同步到主要提供商的平台,具体如下:

  • 如果主平台分析师已获得访问权限,则可以查看、访问和处理联合支持请求。

  • 辅助客户可以继续控制主平台可以访问哪些环境和支持请求。

当主要平台分析师打开远程支持请求链接时,如果他们拥有访问相应支持请求环境的必要权限,系统会将他们重定向到远程平台。在远程平台上,主平台分析师可以使用自己的电子邮件地址和密码登录。访问需要有效的凭据,并且仅在当前会话中有效。

在主要平台上设置元数据同步

如需启用元数据同步,请在主平台中执行以下步骤:

设置远程平台显示名称

如需设置远程平台显示名称,请按以下步骤操作:

  1. 在以下示例中,使用以下 curl 命令为远程平台分配唯一的显示名称。显示名称最多可包含 255 个字符。 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. 将生成的 API 密钥存储在安全的位置。辅助客户将使用它来配置新的支持请求联合同步作业。

下载“支持请求联合”集成

如需下载支持案例联合集成,请按以下步骤操作:

  1. 在主平台中,前往 Marketplace
  2. 点击 Case Federation 集成配置,然后选中是否为主复选框,以将数据同步到您的平台。
  3. 点击保存

创建支持请求联合同步作业

如需创建支持案例联合的同步作业,请按以下步骤操作:

  1. 依次前往回答 > IDE,然后点击添加添加
  2. 选择 Job
  3. 作业名称字段中,选择 Case Federation Sync Job
  4. 集成字段中,选择支持请求联合

  5. 点击创建

    将安排间隔设置为 1 分钟。请勿修改任何其他参数。

向用户添加主(远程)平台访问权限

如需为一个或多个远程平台分配访问权限,请按以下步骤操作:
  1. 在主平台中,依次前往 SOAR 设置 > 高级 > IdP 群组映射
  2. 根据需要添加或修改用户。如需详细了解如何添加用户,请参阅在 SecOps 平台中映射用户
  3. 平台字段中,根据需要选择任意数量的远程平台。
  4. 点击保存

在辅助(远程)平台上设置元数据同步

如需在辅助平台上启用同步,请完成以下步骤。

下载“支持请求联合”集成

如需下载“支持请求联合”集成,请按以下步骤操作:

  1. 在平台中,前往 Marketplace
  2. 点击支持请求联合集成配置,然后点击保存。请勿选中主要复选框。
  3. 前往响应 > IDE,然后点击添加图标 添加
  4. 选择 Job
  5. 作业名称字段中,选择 Case Federation Sync Job
  6. 集成字段中,选择支持请求联合
  7. 点击创建
  8. 目标平台字段中,输入主要提供商的主机名。 主机名取自主要提供商的平台网址的开头。
  9. API 密钥字段中,输入主提供商提供的 API 密钥。
  10. 将默认同步时间设置为 1 分钟。
  11. 点击保存

向主要用户授予访问权限

通过此程序,您可以为相关主要平台角色授予对特定环境的权限。这样,主要分析师就可以转到次要平台中的相关支持请求。

如需在次要平台上创建或修改用户,请按以下步骤操作:

  1. 在辅助平台中,依次前往 SOAR 设置 > 高级 > IdP 群组映射
  2. 根据需要添加或修改用户。如需详细了解如何添加或修改用户,请参阅在 Google SecOps 平台中映射用户
  3. 环境字段中,选择主要平台分析师可以访问的环境。
  4. 点击保存

通过主要平台访问远程支持请求

主平台用户可以在“支持请求”页面上以列表视图或并排视图查看远程支持请求

如需在远程平台上提交支持服务请求,请按以下步骤操作:

  1. 支持请求页面上,选择列表视图并排视图
  2. 执行以下任意一项操作:
    • 并排视图
      1. 在支持请求队列中,查找标记为“R”(表示远程)的支持请求。
      2. 点击某个远程支持请求,即可在相应的远程支持平台上打开该请求。
    • 列表视图
      1. 平台列中找到远程支持服务请求。
      2. 点击支持请求 ID 以在远程平台中打开支持请求。

  3. 使用您的电子邮件地址和密码登录远程平台。

    如果您无法登录,则表示次要客户可能未授予您对支持请求的来源环境的访问权限。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。