为 SOAR 设置案例联合访问权限

支持平台:

借助案例管理联合功能,次要客户可以拥有自己的独立 SOAR 平台,而不是将 SOAR 实例作为环境托管在共享平台上。此设置非常适合托管安全服务提供商 (MSSP) 或需要在不同地理区域拥有独立平台的企业。

所有案例元数据都会从次要(远程)平台同步到主要提供商的平台,具体如下:

  • 如果主要平台分析师已获得访问权限,则可以查看、访问和处理联合案例。

  • 次要客户可以控制主要平台可以访问哪些环境和案例。

当主要平台分析师打开远程案例链接时,如果他们拥有访问案例环境的必要权限,系统会将他们重定向到远程平台。在远程平台上,主要平台分析师可以使用自己的电子邮件地址和密码登录。访问需要有效的凭据,并且仅在当前会话中有效。

在主要平台上创建或修改用户

如需为一位或多位用户分配对远程平台的访问权限,请按以下步骤操作:
  1. 在主要平台中,依次前往设置 > 组织 > 用户管理
  2. 点击“添加”图标 add。
  3. 输入所需信息。
  4. 平台 字段中,根据需要选择任意数量的远程平台。
  5. 点击保存

在主要平台上注册新的次要平台

如需注册次要平台,您需要主要平台的 Admin API 密钥,并执行 API 调用以生成同步 API 密钥。如果您还没有 Admin API 密钥,请按照以下步骤创建一个:
  1. 前往 SOAR 设置 > 高级 > API 密钥
  2. 创建一个新的 Admin API 密钥。
按照以下步骤生成同步 API 密钥:
  1. 执行以下 API 调用。 
    curl --location "$PRIMARY_INSTANCE_URL/api/external/v1/federation/platforms" \
--header 'Content-Type: application/json' \
--header "AppKey: $ADMIN_API_KEY" \
--data '{
"displayName": "My Secondary Platform",
"host": "mysecondary.siemplify-soar.com"
}'
    这会返回一个同步 API 密钥,该密钥对于每个次要平台都是唯一的,用于向主要平台进行身份验证。

在次要(远程)平台上设置元数据同步

如需在次要平台上启用同步,请完成以下步骤。

下载案例联合集成

如需下载案例联合集成,请按以下步骤操作:

  1. 在平台中,前往 Content Hub
  2. 点击案例联合集成配置 > 点击保存。请勿选中是主要平台 复选框。
  3. 依次前往响应 > IDE ,然后点击“添加”图标 addAdd
  4. 选择作业
  5. 作业名称 字段中,选择 Case Federation Sync Job
  6. 集成 字段中,选择 Case Federation
  7. 点击创建
  8. 目标平台 字段中,输入一级提供商的主机名。主机名取自主要提供商平台网址的开头。
  9. API 密钥 字段中,输入一级提供商提供的 API 密钥。
  10. 将默认同步时间设置为一分钟。

在次要平台上创建或修改用户

如需让主要分析师访问所选环境,请按以下步骤操作:
  1. 在次要平台中,依次前往设置 > 组织 > 用户管理
  2. 点击“添加”图标 add。
  3. 输入所需信息。
  4. 环境 字段中,选择主要平台分析师可以访问的环境。
  5. 点击保存

从主要平台访问远程案例

主要平台分析师可以从本地平台移至远程(次要)平台,以查看和管理案例。您可以在案例列表视图 或案例页面上的案例并排视图中执行此操作。

如需打开远程平台中的案例,请按以下步骤操作:

  1. 案例 页面上,选择列表视图并排视图
  2. 执行以下任一操作:
    • 并排视图
      1. 在案例队列中,查找标有“R”(表示远程)的案例。
      2. 点击该案例以在远程平台中将其打开。
    • 列表视图
      1. 扫描平台 列,找到源自远程平台的案例。
      2. 点击案例 ID 以在远程平台中将其打开。

  3. 使用您的电子邮件地址和密码登录远程平台。

    如果您无法登录,则表示次要客户可能未授予您对案例来源环境的访问权限。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。