Configurar o acesso à federação de casos para SOAR

Compatível com:

Com o recurso de federação de gerenciamento de casos, os clientes secundários têm a própria plataforma SOAR independente, em vez de hospedar a instância SOAR como um ambiente com uma plataforma compartilhada. Essa configuração é ideal para provedores de serviços de segurança gerenciados (MSSPs) ou empresas que exigem plataformas independentes em regiões geográficas.

Todos os metadados de caso são sincronizados da plataforma secundária (remota) para a plataforma do provedor principal da seguinte forma:

  • Os analistas da plataforma principal podem acessar e agir em casos federados se tiverem recebido acesso.

  • Os clientes secundários mantêm o controle sobre quais ambientes e casos podem ser acessados pela plataforma principal.

Quando um analista de plataforma principal abre um link de caso remoto, o sistema o redireciona para a plataforma remota, se ele tiver as permissões necessárias para acessar o ambiente do caso. Na plataforma remota, o analista da plataforma principal pode fazer login com e-mail e senha. O acesso exige credenciais válidas e é concedido apenas para a sessão atual.

Configurar a sincronização de metadados na plataforma principal

Para ativar a sincronização de metadados, siga estas etapas na plataforma principal:

Configurar o nome de exibição da plataforma remota

Para configurar um nome de exibição de plataforma remota, siga estas etapas:

  1. No exemplo a seguir, use o comando curl para atribuir um nome de exibição exclusivo à plataforma remota. Os nomes de exibição podem ter até 255 caracteres. 
        curl -X POST
    https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
    -H "Content-Type: application/json" \
    -d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com"
    }'
  2. Armazene a chave de API gerada em um local seguro. O cliente secundário pode usar isso para configurar o job de sincronização da federação.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma principal, acesse Marketplace.
  2. Clique em Configuração de integração da federação de casos e marque a caixa de seleção É principal para sincronizar os dados com sua plataforma.
  3. Clique em Salvar.
  4. Acesse Resposta > IDE e clique em addAdicionar.
  5. Selecione Tarefa.
  6. No campo Nome do job, selecione Job de sincronização da federação de casos.
  7. No campo Integração, selecione Federação de casos.

  8. Clique em Criar.

    Defina o intervalo de programação como um minuto. Não modifique nenhum outro parâmetro.

Criar ou editar um usuário na plataforma principal

Para atribuir acesso a uma ou mais plataformas remotas, siga estas etapas:
  1. Na plataforma principal, acesse Configurações > Organização > Gerenciamento de usuários.
  2. Clique em Adicionar.
  3. Digite as informações necessárias.
  4. No campo Plataforma, selecione quantas plataformas remotas forem necessárias.
  5. Clique em Salvar.

Configurar a sincronização de metadados na plataforma secundária (remota)

Para ativar a sincronização na plataforma secundária, siga estas etapas.

Baixar a integração da federação de casos

Para fazer o download da integração da federação de casos, siga estas etapas:

  1. Na plataforma, acesse o Marketplace.
  2. Clique em Configuração da integração da federação de casos > clique em Salvar. Não marque a caixa de seleção É principal.
  3. Acesse Resposta > IDE e clique em addAdicionar.
  4. Selecione Tarefa.
  5. No campo Nome do job, selecione Job de sincronização da federação de casos.
  6. No campo Integração, selecione Federação de casos.
  7. Clique em Criar.
  8. No campo Plataforma de destino, insira o nome do host do provedor principal. O nome do host é extraído do início do URL da plataforma do provedor principal.
  9. No campo Chave de API, insira a chave fornecida pelo provedor principal.
  10. Defina o tempo de sincronização padrão como um minuto.

Criar ou editar um usuário na plataforma secundária

Para dar aos analistas principais acesso a ambientes selecionados, siga estas etapas:
  1. Na plataforma secundária, acesse Configurações > Organização > Gerenciamento de usuários
  2. Clique em Adicionar.
  3. Digite as informações necessárias.
  4. No campo Ambiente, selecione os ambientes a que os analistas da plataforma principal podem acessar.
  5. Clique em Salvar.

Acessar casos remotos na plataforma principal

O analista principal da plataforma pode sair da plataforma local para visualizar e gerenciar casos na plataforma remota (secundária). É possível fazer isso na visualização em lista de casos ou na visualização lado a lado na página Casos.

Para abrir um caso na plataforma remota, siga estas etapas:

  1. Na página Casos, selecione a visualização em lista ou a visualização lado a lado.
  2. Faça uma das seguintes ações:
    • Visualização lado a lado
      1. Na fila de casos, procure aqueles marcados com um "R" (de remoto).
      2. Clique no caso para abri-lo na plataforma remota.
    • Visualização em lista
      1. Verifique a coluna Plataforma para encontrar casos originados na plataforma remota.
      2. Clique no ID do caso para abrir na plataforma remota.

  3. Faça login na plataforma remota com seu e-mail e senha.

    Se não for possível fazer login, talvez o cliente secundário não tenha concedido acesso ao ambiente de origem do caso.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.