Fallföderation für SOAR Standalone konfigurieren
Mit der Funktion zur Fallverwaltungsföderation können sekundäre Kunden ihre eigene Standalone-SOAR-Plattform verwenden, anstatt ihre SOAR-Instanz als Umgebung mit einer gemeinsam genutzten Plattform zu hosten. Diese Einrichtung ist ideal für Managed Security Service Provider (MSSPs) oder Unternehmen, die unabhängige Plattformen in verschiedenen geografischen Regionen benötigen.
Alle Fallmetadaten werden wie folgt von der sekundären (Remote-)Plattform mit der Plattform des primären Anbieters synchronisiert:
Analysten der primären Plattform können föderierte Fälle ansehen, darauf zugreifen und Maßnahmen ergreifen, wenn ihnen Zugriff gewährt wurde.
Sekundäre Kunden behalten die Kontrolle darüber, auf welche Umgebungen und Fälle die primäre Plattform zugreifen kann.
Wenn ein Analyst der primären Plattform einen Link zu einem Remote-Fall öffnet, wird er zur Remote-Plattform weitergeleitet, sofern er die erforderlichen Berechtigungen für den Zugriff auf die Umgebung des Falls hat. Auf der Remote-Plattform kann sich der Analyst der primären Plattform mit seiner E‑Mail-Adresse und seinem Passwort anmelden. Für den Zugriff sind gültige Anmeldedaten erforderlich. Der Zugriff wird nur für die aktuelle Sitzung gewährt.
Nutzer auf der primären Plattform erstellen oder bearbeiten
So weisen Sie den Zugriff auf eine oder mehrere Remote-Plattformen zu:- Rufen Sie auf der primären Plattform Einstellungen > Organisation > Nutzerverwaltung auf.
- Klicken Sie auf „Hinzufügen“ add.
- Geben Sie die erforderlichen Informationen ein.
- Wählen Sie im Feld Plattform so viele Remote-Plattformen wie nötig aus.
- Klicken Sie auf Speichern.
Neue sekundäre Plattform auf der primären Plattform registrieren
Um eine sekundäre Plattform zu registrieren, benötigen Sie einen Admin-API-Schlüssel für die primäre Plattform und müssen einen API-Aufruf ausführen, um einen Synchronisierungs-API-Schlüssel zu generieren. Erstellen Sie einen neuen Admin-API-Schlüssel, falls Sie noch keinen haben. Gehen Sie dazu so vor:- Rufen Sie SOAR-Einstellungen > Erweitert > API-Schlüssel auf.
- Erstellen Sie einen neuen Admin-API-Schlüssel.
- Führen Sie den folgenden API-Aufruf aus.
Dadurch wird ein Synchronisierungs-API-Schlüssel zurückgegeben, der für jede sekundäre Plattform eindeutig ist und zur Authentifizierung auf der primären Plattform verwendet wird.curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \ --header 'Content-Type: application/json' \ --header "AppKey: $ADMIN_API_KEY" \ --data '{ "displayName": "My Secondary Platform", "host": "mysecondary.siemplify-soar.com" }'
Metadaten-Synchronisierung auf der sekundären (Remote-)Plattform einrichten
Führen Sie die folgenden Schritte aus, um die Synchronisierung auf der sekundären Plattform zu aktivieren.
Integration für die Fallföderation herunterladen
So laden Sie die Integration für die Fallföderation herunter:
- Rufen Sie auf der Plattform den Content Hub auf.
- Klicken Sie auf Konfiguration der Integration für die Fallföderation > klicken Sie auf Speichern. Aktivieren Sie nicht das Kästchen Ist primär.
- Rufen Sie Antwort > IDE auf und klicken Sie dann auf „Hinzufügen“ addAdd.
- Wählen Sie Job aus.
- Wählen Sie im Feld Jobname die Option Synchronisierungsjob für die Fallföderation aus.
- Wählen Sie im Feld Integration die Option Fallföderation aus.
- Klicken Sie auf Erstellen.
- Geben Sie im Feld Zielplattform den Hostnamen des Primäranbieters ein. Der Hostname wird vom Anfang der Plattform-URL des primären Anbieters übernommen.
- Geben Sie im Feld API-Schlüssel den API-Schlüssel ein, den Sie von Ihrem primären Anbieter erhalten haben.
- Legen Sie die Standard-Synchronisierungszeit auf eine Minute fest.
Nutzer auf der sekundären Plattform erstellen oder bearbeiten
So gewähren Sie Analysten der primären Plattform Zugriff auf ausgewählte Umgebungen:- Rufen Sie auf der sekundären Plattform Einstellungen > Organisation > Nutzerverwaltung auf.
- Klicken Sie auf „Hinzufügen“ add.
- Geben Sie die erforderlichen Informationen ein.
- Wählen Sie im Feld Umgebung die Umgebungen aus, auf die die Analysten der primären Plattform zugreifen können.
- Klicken Sie auf Speichern.
Von der primären Plattform aus auf Remote-Fälle zugreifen
Der Analyst der primären Plattform kann von seiner lokalen Plattform aus Fälle auf der Remote-Plattform (sekundäre Plattform) ansehen und verwalten. Dies ist entweder in der Falllistenansicht oder in der Fallansicht nebeneinander auf der Seite Fälle möglich.So öffnen Sie einen Fall von der Remote-Plattform aus:
- Wählen Sie auf der Seite Fälle entweder die Listenansicht oder die Ansicht nebeneinander aus.
- Führen Sie einen der folgenden Schritte aus:
- Ansicht nebeneinander
- Suchen Sie in der Fallwarteschlange nach Fällen, die mit einem „R“ (für „Remote“) gekennzeichnet sind.
- Klicken Sie auf den Fall, um ihn auf der Remote-Plattform zu öffnen.
- Listenansicht
- Suchen Sie in der Spalte Plattform nach Fällen, die von der Remote-Plattform stammen.
- Klicken Sie auf die Fall-ID , um den Fall auf der Remote-Plattform zu öffnen.
Melden Sie sich mit Ihrer E‑Mail-Adresse und Ihrem Passwort auf der Remote-Plattform an.
Wenn Sie sich nicht anmelden können, hat der sekundäre Kunde Ihnen möglicherweise keinen Zugriff auf die Quellumgebung des Falls gewährt.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten