Menyiapkan akses penggabungan kasus untuk SOAR

Didukung di:

Fitur federasi pengelolaan kasus memungkinkan pelanggan sekunder memiliki platform SOAR mandiri mereka sendiri, bukan menghosting instance SOAR mereka sebagai lingkungan dengan platform bersama. Konfigurasi ini ideal untuk Penyedia Layanan Keamanan Terkelola (MSSP) atau perusahaan yang memerlukan platform independen di seluruh wilayah geografis.

Semua metadata kasus disinkronkan dari platform sekunder (jarak jauh) ke platform penyedia utama sebagai berikut:

  • Analis platform utama dapat melihat, mengakses, dan menindaklanjuti kasus gabungan jika mereka telah diberi akses.

  • Pelanggan sekunder tetap memiliki kontrol atas lingkungan dan kasus mana yang dapat diakses oleh platform utama.

Saat analis platform utama membuka link kasus jarak jauh, sistem akan mengalihkan mereka ke platform jarak jauh, jika mereka memiliki izin yang diperlukan untuk mengakses lingkungan kasus. Di platform jarak jauh, analis platform utama dapat login dengan email dan sandi mereka. Akses memerlukan kredensial yang valid dan diberikan hanya untuk sesi saat ini.

Membuat atau mengedit pengguna di platform utama

Untuk menetapkan akses ke satu atau beberapa platform jarak jauh, ikuti langkah-langkah berikut:
  1. Di platform utama, buka Setelan > Organisasi > Pengelolaan Pengguna.
  2. Klik tambahkanTambahkan.
  3. Masukkan informasi yang diperlukan.
  4. Di kolom Platform, pilih platform jarak jauh sebanyak yang diperlukan.
  5. Klik Simpan.

Mendaftarkan platform sekunder baru di platform utama

Untuk mendaftarkan platform sekunder, Anda memerlukan kunci API Admin untuk platform utama dan melakukan panggilan API untuk membuat kunci API sinkronisasi. Buat kunci Admin API baru jika Anda belum memilikinya dengan mengikuti langkah-langkah berikut:
  1. Buka Setelan SOAR > Lanjutan > Kunci API.
  2. Buat kunci API Admin baru.
Buat kunci API sinkronisasi dengan mengikuti langkah-langkah berikut:
  1. Jalankan panggilan API berikut. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    API ini menampilkan kunci API sinkronisasi yang unik per platform sekunder dan digunakan untuk mengautentikasi ke platform utama.

Menyiapkan sinkronisasi metadata di platform sekunder (jarak jauh)

Untuk mengaktifkan sinkronisasi di platform sekunder, selesaikan langkah-langkah berikut.

Mendownload integrasi Federasi Kasus

Untuk mendownload integrasi Federasi Kasus, ikuti langkah-langkah berikut:

  1. Di platform, buka Hub Konten.
  2. Klik Konfigurasi integrasi Federasi Kasus > klik Simpan. Jangan centang kotak Is Primary.
  3. Buka Response > IDE, lalu klik addAdd.
  4. Pilih Job.
  5. Di kolom Job Name, pilih Case Federation Sync Job.
  6. Di kolom Integration, pilih Case Federation.
  7. Klik Create.
  8. Di kolom Target Platform, masukkan nama host penyedia utama. Nama host diambil dari awal URL platform penyedia utama.
  9. Di kolom Kunci API, masukkan kunci API yang diberikan oleh penyedia utama Anda.
  10. Tetapkan waktu sinkronisasi default ke satu menit.

Membuat atau mengedit pengguna di platform sekunder

Untuk memberi analis utama akses ke lingkungan yang dipilih, ikuti langkah-langkah berikut:
  1. Di platform sekunder, buka Setelan > Organisasi > Pengelolaan Pengguna
  2. Klik tambahkanTambahkan.
  3. Masukkan informasi yang diperlukan.
  4. Di kolom Environment, pilih lingkungan yang dapat diakses oleh analis platform utama.
  5. Klik Simpan.

Mengakses kasus jarak jauh dari platform utama

Analis platform utama dapat berpindah dari platform lokalnya untuk melihat dan mengelola kasus di platform jarak jauh (sekunder). Anda dapat melakukannya di tampilan daftar kasus atau tampilan kasus berdampingan di halaman Kasus.

Untuk membuka kasus dari platform jarak jauh, ikuti langkah-langkah berikut:

  1. Di halaman Kasus, pilih tampilan daftar atau tampilan berdampingan.
  2. Lakukan salah satu tindakan berikut:
    • Tampilan berdampingan
      1. Di antrean kasus, cari kasus yang ditandai dengan "R" (untuk jarak jauh).
      2. Klik kasus untuk membukanya di platform jarak jauh.
    • Tampilan daftar
      1. Pindai kolom Platform untuk menemukan kasus yang berasal dari platform jarak jauh.
      2. Klik ID kasus untuk membukanya di platform jarak jauh.

  3. Login ke platform jarak jauh dengan email dan sandi Anda.

    Jika Anda tidak dapat login, artinya pelanggan sekunder mungkin belum memberi Anda akses ke lingkungan sumber kasus.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.