Configura el acceso a la federación de casos para SOAR

Compatible con:

La función de federación de administración de casos permite que los clientes secundarios tengan su propia plataforma SOAR independiente, en lugar de alojar su instancia de SOAR como un entorno con una plataforma compartida. Esta configuración es ideal para los proveedores de servicios de seguridad administrados (MSSP) o las empresas que requieren plataformas independientes en diferentes regiones geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) a la plataforma del proveedor principal de la siguiente manera:

  • Los analistas de la plataforma principal pueden ver los casos federados, acceder a ellos y tomar medidas en relación con ellos si se les otorgó acceso.

  • Los clientes secundarios conservan el control sobre qué entornos y casos son accesibles para la plataforma principal.

Cuando un analista de la plataforma principal abre un vínculo de caso remoto, el sistema lo redirecciona a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista principal de la plataforma puede acceder con su correo electrónico y contraseña. El acceso requiere credenciales válidas y se otorga solo para la sesión actual.

Configura la sincronización de metadatos en la plataforma principal

Para habilitar la sincronización de metadatos, realiza los siguientes pasos en la plataforma principal:

Cómo configurar el nombre visible de la plataforma remota

Para configurar un nombre visible de la plataforma remota, sigue estos pasos:

  1. En el siguiente ejemplo, usa el comando curl para asignar un nombre visible único a la plataforma remota. Los nombres visibles pueden tener hasta 255 caracteres. 
        curl -X POST
    https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
    -H "Content-Type: application/json" \
    -d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com"
    }'
  2. Almacena la clave de API generada en una ubicación segura. El cliente secundario puede usarlo para configurar su trabajo de sincronización de federación.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma principal, ve a Marketplace.
  2. Haz clic en Configuración de la integración de la federación de casos y, luego, selecciona la casilla de verificación Es principal para sincronizar los datos con tu plataforma.
  3. Haz clic en Guardar.
  4. Ve a Response > IDE y, luego, haz clic en addAdd.
  5. Selecciona Trabajo.
  6. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  7. En el campo Integración, selecciona Federación de casos.

  8. Haz clic en Crear.

    Establece el intervalo de programación en un minuto. No modifiques ningún otro parámetro.

Crea o edita un usuario en la plataforma principal

Para asignar acceso a una o más plataformas remotas, sigue estos pasos:
  1. En la plataforma principal, ve a Configuración > Organización > Administración de usuarios.
  2. Haz clic en Agregar.
  3. Ingresa la información requerida.
  4. En el campo Plataforma, selecciona todas las plataformas remotas que necesites.
  5. Haz clic en Guardar.

Configura la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, completa los siguientes pasos.

Descarga la integración de Case Federation

Para descargar la integración de Case Federation, sigue estos pasos:

  1. En la plataforma, ve a Marketplace.
  2. Haz clic en Configuración de la integración de la federación de casos > haz clic en Guardar. No selecciones la casilla de verificación Es principal.
  3. Ve a Response > IDE y, luego, haz clic en addAgregar.
  4. Selecciona Trabajo.
  5. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
  6. En el campo Integración, selecciona Federación de casos.
  7. Haz clic en Crear.
  8. En el campo Plataforma de destino, ingresa el nombre de host del proveedor principal. El nombre de host se toma del comienzo de la URL de la plataforma del proveedor principal.
  9. En el campo Clave de API, ingresa la clave de API que te proporcionó tu proveedor principal.
  10. Establece el tiempo de sincronización predeterminado en un minuto.

Crea o edita un usuario en la plataforma secundaria

Para otorgar a los analistas principales acceso a los entornos seleccionados, sigue estos pasos:
  1. En la plataforma secundaria, ve a Configuración > Organización > Administración de usuarios.
  2. Haz clic en Agregar.
  3. Ingresa la información requerida.
  4. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
  5. Haz clic en Guardar.

Accede a casos remotos desde la plataforma principal

El analista de la plataforma principal puede pasar de su plataforma local para ver y administrar casos en la plataforma remota (secundaria). Puedes hacerlo en la vista de lista de casos o en la vista de casos en paralelo en la página Casos.

Para abrir un caso desde la plataforma remota, sigue estos pasos:

  1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
  2. Realiza una de las siguientes acciones:
    • Vista en paralelo
      1. En la fila de casos, busca los casos marcados con una "R" (de remoto).
      2. Haz clic en el caso para abrirlo en la plataforma remota.
    • Vista de lista
      1. Analiza la columna Platform para encontrar los casos que se originan en la plataforma remota.
      2. Haz clic en el ID del caso para abrirlo en la plataforma remota.

  3. Accede a la plataforma remota con tu correo electrónico y contraseña.

    Si no puedes acceder, significa que es posible que el cliente secundario no te haya otorgado acceso al entorno de origen del caso.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.