Fallföderationszugriff für SOAR einrichten

Unterstützt in:

.

Mit dem Feature zur Fallverwaltungsföderation können sekundäre Kunden ihre eigene eigenständige SOAR-Plattform verwenden, anstatt ihre SOAR-Instanz als Umgebung mit einer gemeinsamen Plattform zu hosten. Diese Einrichtung ist ideal für Managed Security Service Provider (MSSPs) oder Unternehmen, die unabhängige Plattformen in verschiedenen geografischen Regionen benötigen.

Alle Fallmetadaten werden wie folgt von der sekundären (Remote-)Plattform mit der Plattform des primären Anbieters synchronisiert:

  • Analysten der primären Plattform können föderierte Fälle ansehen, darauf zugreifen und Maßnahmen ergreifen, wenn ihnen Zugriff gewährt wurde.

  • Sekundäre Kunden behalten die Kontrolle darüber, auf welche Umgebungen und Fälle die primäre Plattform zugreifen kann.

Wenn ein Analyst der primären Plattform einen Link zu einem Remote-Fall öffnet, wird er zur Remote-Plattform weitergeleitet, sofern er die erforderlichen Berechtigungen für den Zugriff auf die Umgebung des Falls hat. Auf der Remote-Plattform kann sich der Analyst der primären Plattform mit seiner E‑Mail-Adresse und seinem Passwort anmelden. Für den Zugriff sind gültige Anmeldedaten erforderlich. Der Zugriff wird nur für die aktuelle Sitzung gewährt.

Nutzer auf der primären Plattform erstellen oder bearbeiten

So weisen Sie den Zugriff auf eine oder mehrere Remote-Plattformen zu:
  1. Rufen Sie auf der primären Plattform Einstellungen > Organisation > Nutzerverwaltung auf.
  2. Klicken Sie auf „Hinzufügen“ add.
  3. Geben Sie die erforderlichen Informationen ein.
  4. Wählen Sie im Feld Plattform so viele Remote-Plattformen wie nötig aus.
  5. Klicken Sie auf Speichern.

Neue sekundäre Plattform auf der primären Plattform registrieren

Um eine sekundäre Plattform zu registrieren, benötigen Sie einen Admin-API-Schlüssel für die primäre Plattform und müssen einen API-Aufruf ausführen, um einen Synchronisierungs-API-Schlüssel zu generieren. Erstellen Sie einen neuen Admin-API-Schlüssel, falls Sie noch keinen haben. Gehen Sie dazu so vor:
  1. Rufen Sie SOAR-Einstellungen > Erweitert > API-Schlüssel auf.
  2. Erstellen Sie einen neuen Admin-API-Schlüssel.
So generieren Sie den Synchronisierungs-API-Schlüssel:
  1. Führen Sie den folgenden API-Aufruf aus. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Dadurch wird ein Synchronisierungs-API-Schlüssel zurückgegeben, der für jede sekundäre Plattform eindeutig ist und zur Authentifizierung auf der primären Plattform verwendet wird.

Metadaten-Synchronisierung auf der sekundären (Remote-)Plattform einrichten

Führen Sie die folgenden Schritte aus, um die Synchronisierung auf der sekundären Plattform zu aktivieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

  1. Rufen Sie auf der Plattform den Content Hub auf.
  2. Klicken Sie auf die Konfiguration der Case Federation-Integration > klicken Sie auf Speichern. Aktivieren Sie nicht das Kästchen Ist primär.
  3. Rufen Sie Antwort > IDE auf und klicken Sie dann auf „Hinzufügen“ addAdd.
  4. Wählen Sie Job aus.
  5. Wählen Sie im Feld Jobname die Option Case Federation-Synchronisierungsjob aus.
  6. Wählen Sie im Feld Integration die Option Case Federation aus.
  7. Klicken Sie auf Erstellen.
  8. Geben Sie im Feld Zielplattform den Hostnamen des primären Anbieters ein. Der Hostname stammt vom Anfang der Plattform-URL des primären Anbieters.
  9. Geben Sie im Feld API-Schlüssel den API-Schlüssel ein, den Sie von Ihrem primären Anbieter erhalten haben.
  10. Legen Sie die standardmäßige Synchronisierungszeit auf eine Minute fest.

Nutzer auf der sekundären Plattform erstellen oder bearbeiten

So gewähren Sie Analysten der primären Plattform Zugriff auf ausgewählte Umgebungen:
  1. Rufen Sie auf der sekundären Plattform Einstellungen > Organisation > Nutzerverwaltung auf.
  2. Klicken Sie auf „Hinzufügen“ add.
  3. Geben Sie die erforderlichen Informationen ein.
  4. Wählen Sie im Feld Umgebung die Umgebungen aus, auf die Analysten der primären Plattform zugreifen können.
  5. Klicken Sie auf Speichern.

Von der primären Plattform aus auf Remote-Fälle zugreifen

Der Analyst der primären Plattform kann von seiner lokalen Plattform aus Fälle auf der Remote-Plattform (sekundäre Plattform) ansehen und verwalten. Dies ist entweder in der Falllistenansicht oder in der parallelen Fallansicht auf der Seite Fälle möglich.

So öffnen Sie einen Fall von der Remote-Plattform aus:

  1. Wählen Sie auf der Seite Fälle entweder die Listenansicht oder die parallele Ansicht aus.
  2. Führen Sie einen der folgenden Schritte aus:
    • Parallele Ansicht
      1. Suchen Sie in der Fallwarteschlange nach Fällen, die mit einem „R“ (für „Remote“) gekennzeichnet sind.
      2. Klicken Sie auf den Fall, um ihn auf der Remote-Plattform zu öffnen.
    • Listenansicht
      1. Suchen Sie in der Spalte Plattform nach Fällen, die von der Remote-Plattform stammen.
      2. Klicken Sie auf die Fall-ID , um den Fall auf der Remote-Plattform zu öffnen.

  3. Melden Sie sich mit Ihrer E‑Mail-Adresse und Ihrem Passwort auf der Remote-Plattform an.

    Wenn Sie sich nicht anmelden können, hat der sekundäre Kunde Ihnen möglicherweise keinen Zugriff auf die Quellumgebung des Falls gewährt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten