Configurer l'accès à la fédération de demandes pour SOAR

Compatible avec :

La fonctionnalité de fédération de la gestion des demandes permet aux clients secondaires de disposer de leur propre plate-forme SOAR autonome, au lieu d'héberger leur instance SOAR en tant qu'environnement avec une plate-forme partagée. Cette configuration est idéale pour les fournisseurs de services de sécurité gérés (MSSP) ou les entreprises qui ont besoin de plates-formes indépendantes dans différentes régions géographiques.

Toutes les métadonnées des demandes sont synchronisées depuis la plate-forme secondaire (à distance) vers la plate-forme du fournisseur principal, comme suit :

  • Les analystes de plate-forme principale peuvent consulter les demandes fédérées, y accéder et les traiter s'ils y ont été autorisés.

  • Les clients secondaires conservent le contrôle sur les environnements et les demandes auxquels la plate-forme principale a accès.

Lorsqu'un analyste de plate-forme principale ouvre un lien vers une demande à distance, le système le redirige vers la plate-forme à distance, s'il dispose des autorisations nécessaires pour accéder à l'environnement de la demande. Sur la plate-forme distante, l'analyste principal de la plate-forme peut se connecter avec son adresse e-mail et son mot de passe. L'accès nécessite des identifiants valides et n'est accordé que pour la session en cours.

Créer ou modifier un utilisateur sur la plate-forme principale

Pour attribuer un accès à une ou plusieurs plates-formes distantes, procédez comme suit :
  1. Dans la plate-forme principale, accédez à Paramètres > Organisation > Gestion des utilisateurs.
  2. Cliquez sur Ajouter.
  3. Saisissez les informations demandées.
  4. Dans le champ Plate-forme, sélectionnez autant de plates-formes distantes que nécessaire.
  5. Cliquez sur Enregistrer.

Enregistrer une plate-forme secondaire sur la plate-forme principale

Pour enregistrer une plate-forme secondaire, vous avez besoin d'une clé API Admin pour la plate-forme principale et d'effectuer un appel d'API pour générer une clé API de synchronisation. Si vous n'en avez pas encore, créez une clé API d'administrateur en procédant comme suit :
  1. Accédez à Paramètres SOAR> Avancés> Clés API.
  2. Créez une clé API d'administrateur.
Générez la clé API de synchronisation en procédant comme suit :
  1. Exécutez l'appel d'API suivant. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
     Cette méthode renvoie une clé API de synchronisation unique pour chaque plate-forme secondaire, qui est utilisée pour l'authentification sur la plate-forme principale.

Configurer la synchronisation des métadonnées sur la plate-forme secondaire (à distance)

Pour activer la synchronisation sur la plate-forme secondaire, procédez comme suit.

Télécharger l'intégration de la fédération de demandes

Pour télécharger l'intégration de la fédération de demandes, procédez comme suit :

  1. Sur la plate-forme, accédez au Centre de contenus.
  2. Cliquez sur la configuration de l'intégration de la fédération de demandes > cliquez sur Enregistrer. Ne cochez pas la case Est le contact principal.
  3. Accédez à Réponse > IDE, puis cliquez sur addAjouter.
  4. Sélectionnez Job.
  5. Dans le champ Nom du job, sélectionnez Job de synchronisation de la fédération de cas.
  6. Dans le champ Intégration, sélectionnez Fédération des demandes.
  7. Cliquez sur Créer.
  8. Dans le champ Plate-forme cible, saisissez le nom d'hôte du fournisseur principal. Le nom d'hôte est extrait du début de l'URL de la plate-forme du fournisseur principal.
  9. Dans le champ Clé API, saisissez la clé API fournie par votre fournisseur principal.
  10. Définissez la durée de synchronisation par défaut sur une minute.

Créer ou modifier un utilisateur sur la plate-forme secondaire

Pour accorder aux analystes principaux l'accès à des environnements sélectionnés, procédez comme suit :
  1. Dans la plate-forme secondaire, accédez à Paramètres > Organisation > Gestion des utilisateurs.
  2. Cliquez sur Ajouter.
  3. Saisissez les informations demandées.
  4. Dans le champ Environnement, sélectionnez les environnements auxquels les analystes de la plate-forme principale peuvent accéder.
  5. Cliquez sur Enregistrer.

Accéder aux demandes à distance depuis la plate-forme principale

L'analyste de plate-forme principal peut passer de sa plate-forme locale pour afficher et gérer les demandes sur la plate-forme distante (secondaire). Vous pouvez le faire dans la vue Liste des demandes ou dans la vue côte à côte des demandes sur la page Demandes.

Pour ouvrir une demande depuis la plate-forme à distance :

  1. Sur la page Demandes, sélectionnez la vue Liste ou la vue côte à côte.
  2. Effectuez l'une des actions suivantes :
    • Vue côte à côte
      1. Dans la file d'attente des demandes, recherchez celles marquées d'un "R" (pour "à distance").
      2. Cliquez sur la demande pour l'ouvrir sur la plate-forme à distance.
    • Vue Liste
      1. Parcourez la colonne Plate-forme pour trouver les demandes provenant de la plate-forme distante.
      2. Cliquez sur l'ID de la demande pour l'ouvrir sur la plate-forme à distance.

  3. Connectez-vous à la plate-forme à distance avec votre adresse e-mail et votre mot de passe.

    Si vous ne parvenez pas à vous connecter, cela signifie que le client secondaire ne vous a peut-être pas accordé l'accès à l'environnement source de la demande.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.