Configurare l'accesso alla federazione delle richieste per SOAR

Supportato in:

La funzionalità di federazione della gestione delle richieste consente ai clienti secondari di avere la propria piattaforma SOAR autonoma, anziché ospitare l'istanza SOAR come ambiente con una piattaforma condivisa. Questa configurazione è ideale per i fornitori di servizi di sicurezza gestiti (MSSP) o le aziende che richiedono piattaforme indipendenti nelle regioni geografiche.

Tutti i metadati delle richieste vengono sincronizzati dalla piattaforma secondaria (remota) alla piattaforma del fornitore principale come segue:

  • Gli analisti della piattaforma principale possono visualizzare, accedere e intervenire sulle richieste federate se hanno ricevuto l'accesso.

  • I clienti secondari mantengono il controllo sugli ambienti e sulle richieste accessibili alla piattaforma principale.

Quando un analista della piattaforma principale apre un link a una richiesta remota, il sistema lo reindirizza alla piattaforma remota, se dispone delle autorizzazioni necessarie per accedere all'ambiente della richiesta. Sulla piattaforma remota, l'analista della piattaforma principale può accedere con la propria email e password. L'accesso richiede credenziali valide e viene concesso solo per la sessione corrente.

Creare o modificare un utente sulla piattaforma principale

Per assegnare l'accesso a una o più piattaforme remote:
  1. Nella piattaforma principale, vai a Impostazioni > Organizzazione > Gestione utenti.
  2. Fai clic su Aggiungi add.
  3. Inserisci le informazioni richieste.
  4. Nel campo Piattaforma, seleziona tutte le piattaforme remote necessarie.
  5. Fai clic su Salva.

Registrare una nuova piattaforma secondaria sulla piattaforma principale

Per registrare una piattaforma secondaria, devi disporre di una chiave API Admin per la piattaforma principale ed eseguire una chiamata API per generare una chiave API di sincronizzazione. Crea una nuova chiave API Admin se non ne hai già una seguendo questi passaggi:
  1. Vai a Impostazioni SOAR > Avanzate > Chiavi API.
  2. Crea una nuova chiave API Admin.
Genera la chiave API di sincronizzazione seguendo questi passaggi:
  1. Esegui la seguente chiamata API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Viene restituita una chiave API di sincronizzazione univoca per ogni piattaforma secondaria e utilizzata per l'autenticazione alla piattaforma principale.

Configurare la sincronizzazione dei metadati sulla piattaforma secondaria (remota)

Per attivare la sincronizzazione sulla piattaforma secondaria, completa i seguenti passaggi.

Scaricare l'integrazione della federazione delle richieste

Per scaricare l'integrazione della federazione delle richieste, segui questi passaggi:

  1. Nella piattaforma, vai all'Hub contenuti.
  2. Fai clic su Configurazione dell'integrazione della federazione delle richieste > fai clic su Salva. Non selezionare la casella di controllo È principale.
  3. Vai a Risposta > IDE, quindi fai clic su addAggiungi.
  4. Seleziona Job.
  5. Nel campo Nome job, seleziona Job di sincronizzazione della federazione delle richieste.
  6. Nel campo Integrazione, seleziona Federazione dei casi.
  7. Fai clic su Crea.
  8. Nel campo Piattaforma di destinazione, inserisci il nome host del fornitore principale. Il nome host viene ricavato dall'inizio dell'URL della piattaforma del fornitore principale.
  9. Nel campo Chiave API, inserisci la chiave API fornita dal fornitore principale.
  10. Imposta il tempo di sincronizzazione predefinito su un minuto.

Creare o modificare un utente sulla piattaforma secondaria

Per consentire agli analisti principali di accedere agli ambienti selezionati:
  1. Nella piattaforma secondaria, vai a Impostazioni > Organizzazione > Gestione utenti
  2. Fai clic su Aggiungi add.
  3. Inserisci le informazioni richieste.
  4. Nel campo Ambiente, seleziona gli ambienti a cui possono accedere gli analisti della piattaforma principale.
  5. Fai clic su Salva.

Accedere alle richieste remote dalla piattaforma principale

L'analista della piattaforma principale può passare dalla piattaforma locale per visualizzare e gestire le richieste sulla piattaforma remota (secondaria). Puoi farlo nella visualizzazione elenco richieste o nella visualizzazione affiancata delle richieste nella pagina Richieste.

Per aprire una richiesta dalla piattaforma remota:

  1. Nella pagina Richieste, seleziona la visualizzazione elenco o la visualizzazione affiancata.
  2. Esegui una delle seguenti operazioni:
    • Visualizzazione affiancata
      1. Nella coda delle richieste, cerca le richieste contrassegnate con una "R" (per remoto).
      2. Fai clic sulla richiesta per aprirla nella piattaforma remota.
    • Visualizzazione elenco
      1. Scansiona la colonna Piattaforma per trovare i risultati provenienti dalla piattaforma remota.
      2. Fai clic sull'ID caso per aprirlo nella piattaforma remota.

  3. Accedi alla piattaforma remota con la tua email e la tua password.

    Se non riesci ad accedere, significa che il cliente secondario potrebbe non averti concesso l'accesso all'ambiente di origine della richiesta.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.