SOAR의 케이스 제휴 액세스 설정

다음에서 지원:

케이스 관리 제휴 기능을 사용하면 보조 고객이 공유 플랫폼이 있는 환경으로 SOAR 인스턴스를 호스팅하는 대신 자체 독립형 SOAR 플랫폼을 사용할 수 있습니다. 이 설정은 관리 보안 서비스 제공업체 (MSSP) 또는 지리적 지역 전반에서 독립적인 플랫폼이 필요한 기업에 적합합니다.

모든 케이스 메타데이터는 보조 (원격) 플랫폼에서 기본 제공업체의 플랫폼으로 다음과 같이 동기화됩니다.

  • 기본 플랫폼 분석가는 액세스 권한이 부여된 경우 연합 케이스를 보고 액세스하고 조치를 취할 수 있습니다.

  • 보조 고객은 기본 플랫폼에서 액세스할 수 있는 환경과 케이스를 계속 제어할 수 있습니다.

기본 플랫폼 분석가가 원격 케이스 링크를 열면 케이스 환경에 액세스하는 데 필요한 권한이 있는 경우 시스템에서 원격 플랫폼으로 리디렉션합니다. 원격 플랫폼에서 기본 플랫폼 분석가는 이메일과 비밀번호로 로그인할 수 있습니다. 액세스에는 유효한 사용자 인증 정보가 필요하며 현재 세션에만 부여됩니다.

기본 플랫폼에서 메타데이터 동기화 설정

메타데이터 동기화를 사용 설정하려면 기본 플랫폼에서 다음 단계를 실행하세요.

원격 플랫폼 표시 이름 설정

원격 플랫폼 표시 이름을 설정하려면 다음 단계를 따르세요.

  1. 다음 예에서는 다음 curl 명령어를 사용하여 원격 플랫폼에 고유한 표시 이름을 할당합니다. 표시 이름은 최대 255자(영문 기준)까지 가능합니다. 
        curl -X POST
    https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
    -H "Content-Type: application/json" \
    -d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com"
    }'
  2. 생성된 API 키를 안전한 위치에 저장합니다. 보조 고객은 이를 사용하여 제휴 동기화 작업을 구성할 수 있습니다.

케이스 연동 통합 다운로드

케이스 페더레이션 통합을 다운로드하려면 다음 단계를 따르세요.

  1. 기본 플랫폼에서 Marketplace로 이동합니다.
  2. 케이스 제휴 통합 구성을 클릭한 다음 기본 체크박스를 선택하여 데이터를 플랫폼에 동기화합니다.
  3. 저장을 클릭합니다.
  4. 응답 > IDE로 이동한 다음 add추가를 클릭합니다.
  5. 작업을 선택합니다.
  6. 작업 이름 필드에서 케이스 페더레이션 동기화 작업을 선택합니다.
  7. 통합 필드에서 케이스 페더레이션을 선택합니다.

  8. 만들기를 클릭합니다.

    일정 간격을 1분으로 설정합니다. 다른 매개변수는 수정하지 마세요.

기본 플랫폼에서 사용자 만들기 또는 수정하기

하나 이상의 원격 플랫폼에 액세스 권한을 할당하려면 다음 단계를 따르세요.
  1. 기본 플랫폼에서 설정 > 조직 > 사용자 관리로 이동합니다.
  2. 추가를 클릭합니다.
  3. 필수 정보를 입력합니다.
  4. 플랫폼 필드에서 필요한 만큼 원격 플랫폼을 선택합니다.
  5. 저장을 클릭합니다.

보조 (원격) 플랫폼에서 메타데이터 동기화 설정

보조 플랫폼에서 동기화를 사용 설정하려면 다음 단계를 완료하세요.

케이스 연동 통합 다운로드

케이스 페더레이션 통합을 다운로드하려면 다음 단계를 따르세요.

  1. 플랫폼에서 Marketplace로 이동합니다.
  2. 케이스 페더레이션 통합 구성을 클릭하고 > 저장을 클릭합니다. 기본 체크박스를 선택하지 마세요.
  3. 응답 > IDE로 이동한 다음 추가추가를 클릭합니다.
  4. 작업을 선택합니다.
  5. 작업 이름 필드에서 케이스 페더레이션 동기화 작업을 선택합니다.
  6. 통합 필드에서 케이스 페더레이션을 선택합니다.
  7. 만들기를 클릭합니다.
  8. 타겟 플랫폼 필드에 기본 제공업체의 호스트 이름을 입력합니다. 호스트 이름은 기본 제공업체의 플랫폼 URL 시작 부분에서 가져옵니다.
  9. API 키 필드에 기본 제공업체에서 제공한 API 키를 입력합니다.
  10. 기본 동기화 시간을 1분으로 설정합니다.

보조 플랫폼에서 사용자 만들기 또는 수정하기

기본 분석가에게 선택한 환경에 대한 액세스 권한을 부여하려면 다음 단계를 따르세요.
  1. 보조 플랫폼에서 설정 > 조직 > 사용자 관리로 이동합니다.
  2. 추가를 클릭합니다.
  3. 필수 정보를 입력합니다.
  4. 환경 필드에서 기본 플랫폼 분석가가 액세스할 수 있는 환경을 선택합니다.
  5. 저장을 클릭합니다.

기본 플랫폼에서 원격 케이스에 액세스

기본 플랫폼 분석가는 로컬 플랫폼에서 원격 (보조) 플랫폼으로 이동하여 케이스를 확인하고 관리할 수 있습니다. 케이스 페이지의 케이스 목록 보기 또는 케이스 나란히 보기에서 이 작업을 수행할 수 있습니다.

원격 플랫폼에서 케이스를 열려면 다음 단계를 따르세요.

  1. 케이스 페이지에서 목록 보기 또는 나란히 보기를 선택합니다.
  2. 다음 중 하나를 수행합니다.
    • 나란히 보기
      1. 케이스 대기열에서 'R' (원격)로 표시된 케이스를 찾습니다.
      2. 케이스를 클릭하여 원격 플랫폼에서 엽니다.
    • 목록 보기
      1. 플랫폼 열을 스캔하여 원격 플랫폼에서 시작된 케이스를 찾습니다.
      2. 케이스 ID를 클릭하여 원격 플랫폼에서 엽니다.

  3. 이메일과 비밀번호를 사용하여 원격 플랫폼에 로그인합니다.

    로그인할 수 없는 경우 보조 고객이 케이스의 소스 환경에 대한 액세스 권한을 부여하지 않았을 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.