Configurar el acceso a la federación de casos para SOAR

Disponible en:

La función de federación de gestión de casos permite a los clientes secundarios tener su propia plataforma SOAR independiente, en lugar de alojar su instancia de SOAR como un entorno con una plataforma compartida. Esta configuración es ideal para proveedores de servicios de seguridad gestionados (MSSPs) o empresas que necesiten plataformas independientes en distintas zonas geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) con la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver, acceder y tomar medidas en los casos federados si se les ha concedido acceso.

  • Los clientes secundarios conservan el control sobre los entornos y casos a los que puede acceder la plataforma principal.

Cuando un analista de la plataforma principal abre un enlace de asistencia remota, el sistema lo redirige a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista principal de la plataforma puede iniciar sesión con su correo y contraseña. Para acceder, se necesitan credenciales válidas y el acceso solo se concede para la sesión actual.

Configurar la sincronización de metadatos en la plataforma principal

Para habilitar la sincronización de metadatos, sigue estos pasos en la plataforma principal:

Configurar el nombre visible de la plataforma remota

Para configurar un nombre visible de plataforma remota, sigue estos pasos:

  1. En el siguiente ejemplo, usa el comando curl para asignar un nombre visible único a la plataforma remota. Los nombres visibles pueden tener hasta 255 caracteres. 
        curl -X POST
    https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
    -H "Content-Type: application/json" \
    -d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com"
    }'
  2. Guarda la clave de API generada en un lugar seguro. El cliente secundario puede usarlo para configurar su trabajo de sincronización de federación.

Descargar la integración de Case Federation

Para descargar la integración de federación de casos, sigue estos pasos:

  1. En la plataforma principal, ve a Marketplace.
  2. Haz clic en Configuración de la integración de la federación de casos y, a continuación, selecciona la casilla Es principal para sincronizar los datos con tu plataforma.
  3. Haz clic en Guardar.
  4. Ve a Respuesta > IDE y, a continuación, haz clic en addAñadir.
  5. Selecciona Tarea.
  6. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  7. En el campo Integración, selecciona Federación de casos.

  8. Haz clic en Crear.

    Define el intervalo de programación en un minuto. No modifiques ningún otro parámetro.

Crear o editar un usuario en la plataforma principal

Para asignar acceso a una o varias plataformas remotas, sigue estos pasos:
  1. En la plataforma principal, vaya a Configuración > Organización > Administración de usuarios.
  2. Haz clic en Añadir.
  3. Introduce la información requerida.
  4. En el campo Plataforma, seleccione tantas plataformas remotas como necesite.
  5. Haz clic en Guardar.

Configurar la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, sigue estos pasos.

Descargar la integración de Case Federation

Para descargar la integración de federación de casos, sigue estos pasos:

  1. En la plataforma, vaya a Marketplace.
  2. Haz clic en Configuración de la integración de federación de casos > Guardar. No marques la casilla Es principal.
  3. Ve a Respuesta > IDE y, a continuación, haz clic en addAñadir.
  4. Selecciona Tarea.
  5. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  6. En el campo Integración, selecciona Federación de casos.
  7. Haz clic en Crear.
  8. En el campo Target Platform (Plataforma de destino), introduce el nombre de host del proveedor principal. El nombre de host se toma del principio de la URL de la plataforma del proveedor principal.
  9. En el campo Clave de API, introduzca la clave de API que le haya proporcionado su proveedor principal.
  10. Establece el tiempo de sincronización predeterminado en un minuto.

Crear o editar un usuario en la plataforma secundaria

Para dar acceso a los analistas principales a los entornos seleccionados, sigue estos pasos:
  1. En la plataforma secundaria, vaya a Configuración > Organización > Administración de usuarios.
  2. Haz clic en Añadir.
  3. Introduce la información requerida.
  4. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  5. Haz clic en Guardar.

Acceder a casos remotos desde la plataforma principal

El analista de la plataforma principal puede pasar de su plataforma local a la plataforma remota (secundaria) para ver y gestionar casos. Puedes hacerlo en la vista de lista de casos o en la vista de casos en paralelo de la página Casos.

Para abrir un caso desde la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realice una de las siguientes acciones:
    • Vista en paralelo
      1. En la cola de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en el caso para abrirlo en la plataforma remota.
    • Vista de lista
      1. Busca en la columna Plataforma los casos procedentes de la plataforma remota.
      2. Haz clic en el ID del caso para abrirlo en la plataforma remota.

  3. Inicia sesión en la plataforma remota con tu correo y tu contraseña.

    Si no puedes iniciar sesión, significa que es posible que el cliente secundario no te haya concedido acceso al entorno de origen del caso.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.