SOAR のケース連携アクセスを設定する

以下でサポートされています。

ケース管理フェデレーション機能を使用すると、セカンダリのお客様は、共有プラットフォームの環境として SOAR インスタンスをホストするのではなく、独自のスタンドアロン SOAR プラットフォームを使用できます。この設定は、マネージド セキュリティ サービス プロバイダ(MSSP)や、地理的リージョン全体で独立したプラットフォームを必要とする企業に最適です。

すべてのケース メタデータは、次のようにセカンダリ(リモート)プラットフォームからプライマリ プロバイダのプラットフォームに同期されます。

  • プライマリ プラットフォーム アナリストは、アクセス権が付与されている場合、統合ケースを表示、アクセス、操作できます。

  • セカンダリのお客様は、プライマリ プラットフォームからアクセスできる環境とケースを制御できます。

プライマリ プラットフォーム アナリストがリモート ケースのリンクを開くと、ケースの環境にアクセスするために必要な権限を持っている場合、システムはリモート プラットフォームにリダイレクトします。リモート プラットフォームでは、プライマリ プラットフォームのアナリストはメールアドレスとパスワードでログインできます。アクセスには有効な認証情報が必要で、現在のセッションに対してのみ付与されます。

プライマリ プラットフォームでメタデータ同期を設定する

メタデータの同期を有効にするには、プライマリ プラットフォームで次の操作を行います。

リモート プラットフォームの表示名を設定する

リモート プラットフォームの表示名を設定する手順は次のとおりです。

  1. 次の例では、次の curl コマンドを使用して、リモート プラットフォームに一意の表示名を割り当てます。表示名は 255 文字までです。
        curl -X POST
    https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
    -H "Content-Type: application/json" \
    -d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com"
    }'
  2. 生成された API キーを安全な場所に保管します。セカンダリのお客様は、これを使用して連携同期ジョブを構成できます。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プライマリ プラットフォームで、[Marketplace] に移動します。
  2. [Case Federation 統合構成] をクリックし、[Is Primary] チェックボックスをオンにして、データをプラットフォームに同期します。
  3. [保存] をクリックします。
  4. [レスポンス] > [IDE] に移動し、[追加追加] をクリックします。
  5. [ジョブ] を選択します。
  6. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  7. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。

  8. [作成] をクリックします。

    スケジュール間隔を 1 分に設定します。他のパラメータは変更しないでください。

メイン プラットフォームでユーザーを作成または編集する

1 つ以上のリモート プラットフォームにアクセス権を割り当てる手順は次のとおりです。
  1. メイン プラットフォームで、[設定] > [組織] > [ユーザー管理] に移動します。
  2. [追加] をクリックします。
  3. 必要な情報を入力します。
  4. [プラットフォーム] フィールドで、必要に応じてリモート プラットフォームを複数選択します。
  5. [保存] をクリックします。

セカンダリ(リモート)プラットフォームでメタデータ同期を設定する

セカンダリ プラットフォームで同期を有効にするには、次の操作を行います。

ケース フェデレーション統合をダウンロードする

Case Federation 統合をダウンロードする手順は次のとおりです。

  1. プラットフォームで、[Marketplace] に移動します。
  2. [Case Federation 統合構成] をクリック > [保存] をクリックします。[Is Primary] チェックボックスはオンにしないでください。
  3. [レスポンス] > [IDE] に移動し、[追加追加] をクリックします。
  4. [ジョブ] を選択します。
  5. [ジョブ名] フィールドで、[Case Federation Sync Job] を選択します。
  6. [インテグレーション] フィールドで、[ケース フェデレーション] を選択します。
  7. [作成] をクリックします。
  8. [Target Platform] フィールドに、プライマリ プロバイダのホスト名を入力します。ホスト名は、プライマリ プロバイダのプラットフォーム URL の先頭から取得されます。
  9. [API キー] フィールドに、プライマリ プロバイダから提供された API キーを入力します。
  10. デフォルトの同期時間を 1 分に設定します。

セカンダリ プラットフォームでユーザーを作成または編集する

選択した環境へのアクセス権をプライマリ アナリストに付与する手順は次のとおりです。
  1. セカンダリ プラットフォームで、[Settings] > [Organization] > [User Management] に移動します。
  2. [追加] をクリックします。
  3. 必要な情報を入力します。
  4. [環境] フィールドで、プライマリ プラットフォームのアナリストがアクセスできる環境を選択します。
  5. [保存] をクリックします。

メイン プラットフォームからリモート ケースにアクセスする

プライマリ プラットフォーム アナリストは、ローカル プラットフォームからリモート(セカンダリ)プラットフォームに移動して、ケースを表示および管理できます。この操作は、[ケース] ページのケースリスト ビューまたはケースの並べて表示ビューで行うことができます。

リモート プラットフォームからケースを開く手順は次のとおりです。

  1. [ケース] ページで、[リストビュー] または [並べて表示] を選択します。
  2. 次のいずれかの操作を行います。
    • 並べて表示
      1. ケースキューで、「R」(リモート)とマークされたケースを探します。
      2. ケースをクリックして、リモート プラットフォームで開きます。
    • リスト表示
      1. [プラットフォーム] 列をスキャンして、リモート プラットフォームから発生したケースを見つけます。
      2. ケース ID をクリックして、リモート プラットフォームで開きます。

  3. メールアドレスとパスワードを使用してリモート プラットフォームにログインします。

    ログインできない場合は、セカンダリのお客様がケースのソース環境へのアクセス権を付与していない可能性があります。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。