Configurare l'accesso alla federazione dei casi per SOAR

Supportato in:

La funzionalità di federazione della gestione delle richieste consente ai clienti secondari di avere una propria piattaforma SOAR autonoma, anziché ospitare la propria istanza SOAR come ambiente con una piattaforma condivisa. Questa configurazione è ideale per i fornitori di servizi di sicurezza gestiti (MSSP) o per le aziende che richiedono piattaforme indipendenti in diverse regioni geografiche.

Tutti i metadati delle richieste vengono sincronizzati dalla piattaforma secondaria (remota) alla piattaforma del fornitore principale nel seguente modo:

  • Gli analisti della piattaforma principale possono visualizzare, accedere e intervenire sulle richieste federate se è stato concesso loro l'accesso.

  • I clienti secondari mantengono il controllo su quali ambienti e richieste sono accessibili alla piattaforma principale.

Quando un analista della piattaforma principale apre un link a una richiesta remota, il sistema lo reindirizza alla piattaforma remota, se dispone delle autorizzazioni necessarie per accedere all'ambiente della richiesta. Sulla piattaforma remota, l'analista della piattaforma principale può accedere con il proprio indirizzo email e la propria password. L'accesso richiede credenziali valide e viene concesso solo per la sessione corrente.

Creare o modificare un utente sulla piattaforma principale

Per assegnare l'accesso a una o più piattaforme remote, segui questi passaggi:
  1. Nella piattaforma principale, vai a Impostazioni > Organizzazione > Gestione utenti.
  2. Fai clic su Aggiungi.
  3. Inserisci le informazioni richieste.
  4. Nel campo Piattaforma, seleziona tutte le piattaforme remote necessarie.
  5. Fai clic su Salva.

Registrare una nuova piattaforma secondaria sulla piattaforma principale

Per registrare una piattaforma secondaria, devi disporre di una chiave API Admin per la piattaforma principale ed effettuare una chiamata API per generare una chiave API di sincronizzazione. Crea una nuova chiave API Admin se non ne hai già una seguendo questi passaggi:
  1. Vai a Impostazioni SOAR > Avanzate > Chiavi API.
  2. Crea una nuova chiave API Admin.
Genera la chiave API di sincronizzazione seguendo questi passaggi:
  1. Esegui la seguente chiamata API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Viene restituita una chiave API di sincronizzazione univoca per ogni piattaforma secondaria e utilizzata per l'autenticazione alla piattaforma principale.

Configurare la sincronizzazione dei metadati sulla piattaforma secondaria (remota)

Per attivare la sincronizzazione sulla piattaforma secondaria, completa i seguenti passaggi.

Scarica l'integrazione Case Federation

Per scaricare l'integrazione di Case Federation:

  1. Nella piattaforma, vai all'hub dei contenuti.
  2. Fai clic su Configurazione dell'integrazione della federazione dei casi > fai clic su Salva. Non selezionare la casella di controllo È principale.
  3. Vai a Risposta > IDE, quindi fai clic su addAggiungi.
  4. Seleziona Job.
  5. Nel campo Nome job, seleziona Case Federation Sync Job.
  6. Nel campo Integrazione, seleziona Federazione dei casi.
  7. Fai clic su Crea.
  8. Nel campo Target Platform (Piattaforma di destinazione), inserisci il nome host del fornitore principale. Il nome host viene estratto dall'inizio dell'URL della piattaforma del fornitore principale.
  9. Nel campo Chiave API, inserisci la chiave API fornita dal tuo fornitore principale.
  10. Imposta il tempo di sincronizzazione predefinito su un minuto.

Creare o modificare un utente sulla piattaforma secondaria

Per concedere agli analisti principali l'accesso agli ambienti selezionati, segui questi passaggi:
  1. Nella piattaforma secondaria, vai a Impostazioni > Organizzazione > Gestione utenti
  2. Fai clic su Aggiungi.
  3. Inserisci le informazioni richieste.
  4. Nel campo Ambiente, seleziona gli ambienti a cui possono accedere gli analisti della piattaforma principale.
  5. Fai clic su Salva.

Accedere alle richieste remote dalla piattaforma principale

L'analista della piattaforma principale può passare dalla piattaforma locale per visualizzare e gestire le richieste sulla piattaforma remota (secondaria). Puoi farlo nella visualizzazione elenco delle richieste o nella visualizzazione affiancata delle richieste nella pagina Richieste.

Per aprire una richiesta dalla piattaforma remota:

  1. Nella pagina Richieste, seleziona la visualizzazione elenco o la visualizzazione affiancata.
  2. Esegui una delle seguenti operazioni:
    • Visualizzazione affiancata
      1. Nella coda delle richieste, cerca quelle contrassegnate con una "R" (che sta per remoto).
      2. Fai clic sulla richiesta per aprirla nella piattaforma remota.
    • Visualizzazione elenco
      1. Scansiona la colonna Piattaforma per trovare le richieste provenienti dalla piattaforma remota.
      2. Fai clic sull'ID richiesta per aprirla nella piattaforma remota.

  3. Accedi alla piattaforma remota con il tuo indirizzo email e la tua password.

    Se non riesci ad accedere, significa che il cliente secondario potrebbe non averti concesso l'accesso all'ambiente di origine della richiesta.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.