Configura el acceso de federación de casos para SOAR

Compatible con:

La función de federación de administración de casos permite que los clientes secundarios tengan su propia plataforma independiente de SOAR, en lugar de alojar su instancia de SOAR como un entorno con una plataforma compartida. Esta configuración es ideal para proveedores de servicios de seguridad administrados (MSSP) o empresas que requieren plataformas independientes en diferentes regiones geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) a la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver los casos federados, acceder a ellos y tomar medidas si se les otorgó acceso.

  • Los clientes secundarios conservan el control sobre los entornos y los casos a los que puede acceder la plataforma principal.

Cuando un analista de la plataforma principal abre un vínculo de caso remoto, el sistema lo redirecciona a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista de la plataforma principal puede acceder con su correo electrónico y contraseña. El acceso requiere credenciales válidas y se otorga solo para la sesión actual.

Crea o edita un usuario en la plataforma principal

Para asignar acceso a una o más plataformas remotas, sigue estos pasos:
  1. En la plataforma principal, ve a Configuración > Organización > Administración de usuarios.
  2. Haz clic en addAgregar.
  3. Ingresa la información requerida.
  4. En el campo Plataforma, selecciona tantas plataformas remotas como sea necesario.
  5. Haz clic en Guardar.

Registra una nueva plataforma secundaria en la plataforma principal

Para registrar una plataforma secundaria, necesitas una clave de API de Admin para la plataforma principal y realizar una llamada a la API para generar una clave de API de sincronización. Crea una nueva clave de API de Admin si aún no tienes una. Para ello, sigue estos pasos:
  1. Ve a Configuración de SOAR > Avanzado > Claves de API.
  2. Crea una nueva clave de API de Admin.
Para generar la clave de API de sincronización, sigue estos pasos:
  1. Ejecuta la siguiente llamada a la API. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Esto muestra una clave de API de sincronización que es única para cada plataforma secundaria y que se usa para autenticar en la plataforma principal.

Configura la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, completa los siguientes pasos.

Descarga la integración de federación de casos

Para descargar la integración de federación de casos, sigue estos pasos:

  1. En la plataforma, ve al Centro de contenido.
  2. Haz clic en la configuración de integración de federación de casos > haz clic en Guardar. No selecciones la casilla de verificación Es principal.
  3. Ve a Respuesta > IDE y, luego, haz clic en addAgregar.
  4. Selecciona Trabajo.
  5. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  6. En el campo Integración, selecciona Federación de casos.
  7. Haz clic en Crear.
  8. En el campo Plataforma de destino, ingresa el nombre de host del proveedor principal. El nombre de host se toma desde el comienzo de la URL de la plataforma del proveedor principal.
  9. En el campo Clave de API, ingresa la clave de API que te proporcionó tu proveedor principal.
  10. Establece el tiempo de sincronización predeterminado en un minuto.

Crea o edita un usuario en la plataforma secundaria

Para otorgar a los analistas principales acceso a los entornos seleccionados, sigue estos pasos:
  1. En la plataforma secundaria, ve a Configuración > Organización > Administración de usuarios
  2. Haz clic en addAgregar.
  3. Ingresa la información requerida.
  4. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  5. Haz clic en Guardar.

Accede a casos remotos desde la plataforma principal

El analista de la plataforma principal puede pasar de su plataforma local para ver y administrar casos en la plataforma remota (secundaria). Puedes hacerlo en la vista de lista de casos o en la vista en paralelo de casos en la página Casos.

Para abrir un caso desde la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realiza una de las siguientes acciones:
    • Vista en paralelo
      1. En la cola de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en el caso para abrirlo en la plataforma remota.
    • Vista de lista
      1. Explora la columna Plataforma para encontrar casos que se originan en la plataforma remota.
      2. Haz clic en el ID del caso para abrirlo en la plataforma remota.

  3. Accede a la plataforma remota con tu correo electrónico y contraseña.

    Si no puedes acceder, significa que es posible que el cliente secundario no te haya otorgado acceso al entorno de origen del caso.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.