SOAR のケース フェデレーション アクセスを設定する

以下でサポートされています。

をご覧ください。

ケース管理フェデレーション機能を使用すると、セカンダリのお客様は、共有プラットフォームの環境として SOAR インスタンスをホストするのではなく、独自のスタンドアロン SOAR プラットフォームを使用できます。この設定は、地理的リージョン全体で独立したプラットフォームを必要とするマネージド セキュリティ サービス プロバイダ(MSSP) や企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ(リモート)プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

  • プライマリ プラットフォームのアナリストは、アクセス権が付与されている場合、フェデレーション ケースを表示、アクセス、操作できます。

  • セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォームのアナリストがリモートケースのリンクを開くと、ケースの環境にアクセスするために必要な権限がある場合、リモート プラットフォームにリダイレクトされます。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

プライマリ プラットフォームでユーザーを作成または編集する

1 つ以上のリモート プラットフォームへのアクセス権を割り当てる手順は次のとおりです。
  1. プライマリ プラットフォームで、[設定] > [組織] > [ユーザー管理] に移動します。
  2. [add] をクリックします。
  3. 必要な情報を入力します。
  4. [プラットフォーム] フィールドで、必要な数のリモート プラットフォームを選択します。
  5. [保存] をクリックします。

プライマリ プラットフォームに新しいセカンダリ プラットフォームを登録する

セカンダリ プラットフォームを登録するには、プライマリ プラットフォームの Admin API キーが必要で、API 呼び出しを行って同期 API キーを生成する必要があります。まだ管理 API キーがない場合は、次の手順で新しい管理 API キーを作成します。
  1. [SOAR 設定]>[詳細設定]>[API キー] に移動します。
  2. 新しい Admin API キーを作成します。
次の手順で同期 API キーを生成します。
  1. 次の API 呼び出しを実行します。 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    これにより、セカンダリ プラットフォームごとに一意の同期 API キーが返されます。このキーは、プライマリ プラットフォームに対する認証に使用されます。

セカンダリ(リモート)プラットフォームでメタデータの同期を設定する

セカンダリ プラットフォームで同期を有効にするには、次の手順を完了します。

ケース フェデレーション統合をダウンロードする

ケース 連携統合をダウンロードする手順は次のとおりです。

  1. プラットフォームで、[コンテンツ ハブ] に移動します。
  2. [Case Federation integration configuration] [>] [Save] をクリックします。[プライマリ] チェックボックスはオンにしないでください。
  3. [レスポンス] > [IDE] に移動し、[add][Add] をクリックします。
  4. [ジョブ] を選択します。
  5. [ジョブ名] フィールドで、[ケース 連携 同期ジョブ] を選択します。
  6. [統合] フィールドで、[ケース フェデレーション] を選択します。
  7. [作成] をクリックします。
  8. [ターゲット プラットフォーム] フィールドに、一次販売業者のホスト名を入力します。ホスト名は、プライマリ プロバイダのプラットフォーム URL の先頭から取得されます。
  9. [API キー] フィールドに、一次販売業者から提供された API キーを入力します。
  10. デフォルトの同期時間を 1 分に設定します。

セカンダリ プラットフォームでユーザーを作成または編集する

プライマリ アナリストに選択した環境へのアクセス権を付与する手順は次のとおりです。
  1. セカンダリ プラットフォームで、[設定] > [組織] > [ユーザー管理] に移動します。
  2. [add] をクリックします。
  3. 必要な情報を入力します。
  4. [環境] フィールドで、プライマリ プラットフォームのアナリストがアクセスできる環境を選択します。
  5. [保存] をクリックします。

プライマリ プラットフォームからリモートケースにアクセスする

プライマリ プラットフォームのアナリストは、ローカル プラットフォームから移動して、リモート(セカンダリ)プラットフォームでケースを表示して管理できます。これは、ケースリスト ビュー または [ケース] ページのケースの並べて表示ビューで行うことができます。

リモート プラットフォームからケースを開く手順は次のとおりです。

  1. [ケース] ページで、[リストビュー] または [並べて表示ビュー] を選択します。
  2. 次のいずれかを行います。
    • 並べて表示ビュー
      1. ケースキューで、「R」(リモート)とマークされたケースを探します。
      2. ケースをクリックして、リモート プラットフォームで開きます。
    • リストビュー
      1. [プラットフォーム] 列をスキャンして、リモート プラットフォームから発生したケースを見つけます。
      2. [ケース ID] をクリックして、リモート プラットフォームで開きます。

  3. メールアドレスとパスワードでリモート プラットフォームにログインします。

    ログインできない場合は、セカンダリのお客様がケースの移行元の環境へのアクセス権を付与していない可能性があります。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。