Configurar o acesso à federação de casos para SOAR

Compatível com:

Com o recurso de federação de gerenciamento de casos, os clientes secundários têm uma plataforma SOAR independente, em vez de hospedar a instância SOAR como um ambiente com uma plataforma compartilhada. Essa configuração é ideal para provedores de serviços de segurança gerenciados (MSSPs) ou empresas que exigem plataformas independentes em regiões geográficas.

Todos os metadados de caso são sincronizados da plataforma secundária (remota) para a plataforma do provedor principal da seguinte forma:

  • Os analistas da plataforma principal podem acessar e trabalhar em casos federados se tiverem recebido acesso.

  • Os clientes secundários mantêm o controle sobre quais ambientes e casos estão acessíveis à plataforma principal.

Quando um analista de plataforma principal abre um link de caso remoto, o sistema o redireciona para a plataforma remota, se ele tiver as permissões necessárias para acessar o ambiente do caso. Na plataforma remota, o analista da plataforma principal pode fazer login com e-mail e senha. O acesso exige credenciais válidas e é concedido apenas para a sessão atual.

Criar ou editar um usuário na plataforma principal

Para atribuir acesso a uma ou mais plataformas remotas, siga estas etapas:
  1. Na plataforma principal, acesse Configurações > Organização > Gerenciamento de usuários.
  2. Clique em Adicionar.
  3. Digite as informações necessárias.
  4. No campo Plataforma, selecione quantas plataformas remotas forem necessárias.
  5. Clique em Salvar.

Registrar uma nova plataforma secundária na plataforma principal

Para registrar uma plataforma secundária, você precisa de uma chave de API Admin para a plataforma principal e fazer uma chamada de API para gerar uma chave de API de sincronização. Crie uma chave de API de administrador se ainda não tiver uma seguindo estas etapas:
  1. Acesse Configurações do SOAR > Avançado > Chaves de API.
  2. Crie uma nova chave de API de administrador.
Gere a chave de API de sincronização seguindo estas etapas:
  1. Execute a seguinte chamada de API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Isso retorna uma chave de API síncrona exclusiva para cada plataforma secundária e usada para autenticar na plataforma principal.

Configurar a sincronização de metadados na plataforma secundária (remota)

Para ativar a sincronização na plataforma secundária, siga estas etapas.

Baixar a integração do Case Federation

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma, acesse o Hub de conteúdo.
  2. Clique em Configuração da integração da federação de casos > Salvar. Não marque a caixa de seleção É principal.
  3. Acesse Resposta > IDE e clique em addAdicionar.
  4. Selecione Tarefa.
  5. No campo Nome do job, selecione Job de sincronização da federação de casos.
  6. No campo Integração, selecione Federação de casos.
  7. Clique em Criar.
  8. No campo Plataforma de destino, insira o nome do host do provedor principal. O nome do host é extraído do início do URL da plataforma do provedor principal.
  9. No campo Chave de API, insira a chave fornecida pelo provedor principal.
  10. Defina o tempo de sincronização padrão como um minuto.

Criar ou editar um usuário na plataforma secundária

Para dar aos analistas principais acesso a ambientes selecionados, siga estas etapas:
  1. Na plataforma secundária, acesse Configurações > Organização > Gerenciamento de usuários
  2. Clique em Adicionar.
  3. Digite as informações necessárias.
  4. No campo Ambiente, selecione os ambientes a que os analistas da plataforma principal podem acessar.
  5. Clique em Salvar.

Acessar casos remotos na plataforma principal

O analista principal da plataforma pode sair da plataforma local para visualizar e gerenciar casos na plataforma remota (secundária). É possível fazer isso na visualização em lista ou lado a lado na página Casos.

Para abrir um caso na plataforma remota, siga estas etapas:

  1. Na página Casos, selecione a visualização em lista ou a visualização lado a lado.
  2. Faça uma das seguintes ações:
    • Visualização lado a lado
      1. Na fila de casos, procure aqueles marcados com um "R" (de remoto).
      2. Clique no caso para abri-lo na plataforma remota.
    • Visualização em lista
      1. Verifique a coluna Plataforma para encontrar casos originados na plataforma remota.
      2. Clique no ID do caso para abrir na plataforma remota.

  3. Faça login na plataforma remota com seu e-mail e senha.

    Se não for possível fazer login, talvez o cliente secundário não tenha concedido acesso ao ambiente de origem do caso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.