Configurer l'accès à la fédération de cas pour SOAR

Compatible avec :

.

La fonctionnalité de fédération de gestion des cas permet aux clients secondaires de disposer de leur propre plate-forme SOAR autonome, au lieu d'héberger leur instance SOAR en tant qu'environnement avec une plate-forme partagée. Cette configuration est idéale pour les fournisseurs de services de sécurité gérés (MSSP) ou les entreprises qui ont besoin de plates-formes indépendantes dans différentes régions géographiques.

Toutes les métadonnées des cas sont synchronisées de la plate-forme secondaire (à distance) vers la plate-forme du fournisseur principal comme suit :

  • Les analystes de la plate-forme principale peuvent afficher, consulter et traiter les cas fédérés s'ils y ont été autorisés.

  • Les clients secondaires conservent le contrôle des environnements et des cas accessibles à la plate-forme principale.

Lorsqu'un analyste de la plate-forme principale ouvre un lien de cas à distance, le système le redirige vers la plate-forme à distance, s'il dispose des autorisations nécessaires pour accéder à l'environnement du cas. Sur la plate-forme à distance, l'analyste de la plate-forme principale peut se connecter avec son adresse e-mail et son mot de passe. L'accès nécessite des identifiants valides et n'est accordé que pour la session en cours.

Créer ou modifier un utilisateur sur la plate-forme principale

Pour attribuer un accès à une ou plusieurs plates-formes à distance, procédez comme suit :
  1. Sur la plate-forme principale, accédez à Settings > Organization > User Management (Paramètres > Organisation > Gestion des utilisateurs).
  2. Cliquez sur addAjouter.
  3. Saisissez les informations demandées.
  4. Dans le champ Platform (Plate-forme), sélectionnez autant de plates-formes à distance que nécessaire.
  5. Cliquez sur Save (Enregistrer).

Enregistrer une nouvelle plate-forme secondaire sur la plate-forme principale

Pour enregistrer une plate-forme secondaire, vous avez besoin d'une clé API Admin pour la plate-forme principale et d'effectuer un appel d'API pour générer une clé API de synchronisation. Créez une clé API Admin si vous n'en avez pas déjà une en procédant comme suit :
  1. Accédez à SOAR Settings > Advanced > API keys (Paramètres SOAR > Avancé > Clés API).
  2. Créez une clé API Admin.
Générez la clé API de synchronisation en procédant comme suit :
  1. Exécutez l'appel d'API suivant. 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    Cela renvoie une clé API de synchronisation unique pour chaque plate-forme secondaire et utilisée pour s'authentifier auprès de la plate-forme principale.

Configurer la synchronisation des métadonnées sur la plate-forme secondaire (à distance)

Pour activer la synchronisation sur la plate-forme secondaire, procédez comme suit.

Télécharger l'intégration de la fédération de cas

Pour télécharger l'intégration de la fédération de cas, procédez comme suit :

  1. Sur la plate-forme, accédez au Content Hub (Hub de contenu).
  2. Cliquez sur Case Federation integration configuration (Configuration de l'intégration de la fédération de cas) > cliquez sur Save (Enregistrer). Ne cochez pas la case Is Primary (Est principal).
  3. Accédez à Response (Réponse) > IDE, puis cliquez sur addAjouter.
  4. Sélectionnez Job (Tâche).
  5. Dans le champ Job Name (Nom de la tâche), sélectionnez Case Federation Sync Job (Tâche de synchronisation de la fédération de cas).
  6. Dans le champ Integration (Intégration), sélectionnez Case Federation (Fédération de cas).
  7. Cliquez sur Create (Créer).
  8. Dans le champ Target Platform (Plate-forme cible), saisissez le nom d'hôte du fournisseur principal. Le nom d'hôte est extrait du début de l'URL de la plate-forme du fournisseur principal.
  9. Dans le champ API key (Clé API), saisissez la clé API fournie par votre fournisseur principal.
  10. Définissez la durée de synchronisation par défaut sur une minute.

Créer ou modifier un utilisateur sur la plate-forme secondaire

Pour accorder aux analystes principaux l'accès à des environnements sélectionnés, procédez comme suit :
  1. Sur la plate-forme secondaire, accédez à Settings > Organization > User Management (Paramètres > Organisation > Gestion des utilisateurs).
  2. Cliquez sur addAjouter.
  3. Saisissez les informations demandées.
  4. Dans le champ Environment (Environnement), sélectionnez les environnements auxquels les analystes de la plate-forme principale peuvent accéder.
  5. Cliquez sur Save (Enregistrer).

Accéder aux cas à distance depuis la plate-forme principale

L'analyste de la plate-forme principale peut passer de sa plate-forme locale pour afficher et gérer les cas sur la plate-forme à distance (secondaire). Vous pouvez le faire dans la vue de liste des cas ou dans la vue côte à côte des cas sur la page Cases (Cas).

Pour ouvrir un cas à partir de la plate-forme à distance, procédez comme suit :

  1. Sur la page Cases (Cas), sélectionnez la vue de liste ou la vue côte à côte.
  2. Effectuez l'une des opérations suivantes :
    • Vue côte à côte
      1. Dans la file d'attente des cas, recherchez les cas marqués d'un "R" (pour "à distance").
      2. Cliquez sur le cas pour l'ouvrir dans la plate-forme à distance.
    • Vue de liste
      1. Parcourez la colonne Platform (Plate-forme) pour trouver les cas provenant de la plate-forme à distance.
      2. Cliquez sur l'ID du cas pour l'ouvrir dans la plate-forme à distance.

  3. Connectez-vous à la plate-forme à distance avec votre adresse e-mail et votre mot de passe.

    Si vous ne parvenez pas à vous connecter, cela signifie que le client secondaire ne vous a peut-être pas accordé l'accès à l'environnement source du cas.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.