SOAR のケース連携アクセスを設定する

以下でサポートされています。

ケース管理フェデレーション機能を使用すると、セカンダリのお客様は、共有プラットフォームの環境として SOAR インスタンスをホストするのではなく、独自のスタンドアロン SOAR プラットフォームを使用できます。この設定は、マネージド セキュリティ サービス プロバイダ(MSSP)や、地理的リージョン全体で独立したプラットフォームを必要とする企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ(リモート)プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

  • プライマリ プラットフォーム アナリストは、アクセス権が付与されている場合、統合ケースを表示、アクセス、操作できます。

  • セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォーム アナリストがリモート ケースのリンクを開くと、ケースの環境にアクセスするために必要な権限を持っている場合は、リモート プラットフォームにリダイレクトされます。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

メイン プラットフォームでユーザーを作成または編集する

1 つ以上のリモート プラットフォームにアクセス権を割り当てる手順は次のとおりです。
  1. メイン プラットフォームで、[Settings] > [Organization] > [User Management] に移動します。
  2. [追加] をクリックします。
  3. 必要な情報を入力します。
  4. [プラットフォーム] フィールドで、必要に応じてリモート プラットフォームを複数選択します。
  5. [保存] をクリックします。

プライマリ プラットフォームに新しいセカンダリ プラットフォームを登録する

セカンダリ プラットフォームを登録するには、プライマリ プラットフォームの Admin API キーが必要です。また、API 呼び出しを実行して同期 API キーを生成する必要があります。まだ作成していない場合は、次の手順に沿って新しい Admin API キーを作成します。
  1. [SOAR 設定] > [詳細設定] > [API キー] に移動します。
  2. 新しい Admin API キーを作成します。
次の手順に沿って、同期 API キーを生成します。
  1. 次の API 呼び出しを実行します。
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    これにより、セカンダリ プラットフォームごとに一意で、プライマリ プラットフォームに対する認証に使用される同期 API キーが返されます。

セカンダリ(リモート)プラットフォームでメタデータ同期を設定する

セカンダリ プラットフォームで同期を有効にするには、次の操作を行います。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プラットフォームで [コンテンツ ハブ] に移動します。
  2. [Case Federation integration configuration] > [Save] をクリックします。[Is Primary] チェックボックスはオンにしないでください。
  3. [レスポンス] > [IDE] に移動し、[追加追加] をクリックします。
  4. [ジョブ] を選択します。
  5. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  6. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。
  7. [作成] をクリックします。
  8. [移行先プラットフォーム] フィールドに、プライマリ プロバイダのホスト名を入力します。ホスト名は、プライマリ プロバイダのプラットフォーム URL の先頭から取得されます。
  9. [API キー] フィールドに、プライマリ プロバイダから提供された API キーを入力します。
  10. デフォルトの同期時間を 1 分に設定します。

セカンダリ プラットフォームでユーザーを作成または編集する

選択した環境へのアクセス権をプライマリ アナリストに付与する手順は次のとおりです。
  1. セカンダリ プラットフォームで、[設定] > [組織] > [ユーザー管理] に移動します。
  2. [追加] をクリックします。
  3. 必要な情報を入力します。
  4. [環境] フィールドで、プライマリ プラットフォームのアナリストがアクセスできる環境を選択します。
  5. [保存] をクリックします。

メインのプラットフォームからリモートケースにアクセスする

プライマリ プラットフォームのアナリストは、ローカル プラットフォームからリモート(セカンダリ)プラットフォームに移動して、ケースを表示および管理できます。この操作は、[ケース] ページのケースリスト ビューまたはケースの並べて表示ビューで行うことができます。

リモート プラットフォームからケースを開く手順は次のとおりです。

  1. [ケース] ページで、[リストビュー] または [並べて表示] を選択します。
  2. 次のいずれかの操作を行います。
    • 並べて表示
      1. ケースキューで、「R」(リモート)とマークされたケースを探します。
      2. ケースをクリックして、リモート プラットフォームで開きます。
    • リスト表示
      1. [プラットフォーム] 列をスキャンして、リモート プラットフォームから発生したケースを見つけます。
      2. ケース ID をクリックして、リモート プラットフォームで開きます。

  3. メールアドレスとパスワードを使用してリモート プラットフォームにログインします。

    ログインできない場合は、セカンダリのお客様がケースのソース環境へのアクセス権を付与していない可能性があります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。