設定 SOAR 的案件聯盟存取權
支援的國家/地區:
案件管理聯盟功能可讓次要客戶擁有自己的獨立 SOAR 平台,不必將 SOAR 執行個體做為共用平台環境代管。這項設定非常適合代管式安全服務供應商 (MSSP), 或需要在不同地理區域使用獨立平台的企業。
所有案件中繼資料都會從次要 (遠端) 平台同步至主要供應商平台,如下所示:
如果獲得授權,主要平台分析師就能查看、存取及處理聯合案件。
次要客戶可控管主要平台可存取的環境和案件。
如果主要平台分析師有權存取案件環境,當他們開啟遠端案件連結時,系統會將他們重新導向至遠端平台。在遠端平台上,主要平台分析師可以使用電子郵件地址和密碼登入。存取權需要有效憑證,且僅限目前工作階段。
在主要平台上設定中繼資料同步
如要啟用中繼資料同步功能,請在主要平台執行下列步驟:
設定遠端平台顯示名稱
如要設定遠端平台顯示名稱,請按照下列步驟操作:
- 在下列範例中,使用
curl指令為遠端平台指派專屬顯示名稱。顯示名稱長度上限為 255 個字元。curl -X POST https://federation.siemplify-soar.com/api/external/v1/federation/platforms \ -H "Content-Type: application/json" \ -d '{ "displayName": "Sample Platform", "host": "https://federation.siemplify-soar.com" }' - 將產生的 API 金鑰儲存在安全地點。次要客戶可使用這項資訊設定同盟同步工作。
下載案件聯盟整合功能
如要下載案件聯盟整合功能,請按照下列步驟操作:
- 在主要平台中,前往「Marketplace」Marketplace。
- 按一下「Case Federation integration configuration」(案件聯盟整合設定),然後選取「Is Primary」(是否為主要) 核取方塊,將資料同步至平台。
- 按一下 [儲存]。
- 依序前往「回應」>「IDE」,然後按一下「新增」。
- 選取「工作」。
- 在「Job Name」(工作名稱) 欄位中,選取「Case Federation Sync Job」(案件聯盟同步工作)。
- 在「整合」欄位中,選取「案件同盟」。
點選「建立」。
將排程間隔設為一分鐘。請勿修改任何其他參數。
在主要平台建立或編輯使用者
如要指派一或多個遠端平台的存取權,請按照下列步驟操作:- 在主要平台中,依序前往「設定」>「機構」>「使用者管理」。
- 按一下「新增」。
- 輸入必要的資訊。
- 在「平台」欄位中,選取所需數量的遠端平台。
- 按一下 [儲存]。
在次要 (遠端) 平台上設定中繼資料同步
如要在次要平台上啟用同步功能,請完成下列步驟。
下載案件聯盟整合功能
如要下載案件聯盟整合功能,請按照下列步驟操作:
- 在平台中前往 Marketplace。
- 按一下「案件聯盟整合設定」> 按一下「儲存」。請勿勾選「為主要聯絡人」核取方塊。
- 依序前往「回應」>「IDE」,然後按一下「新增」。
- 選取「工作」。
- 在「Job Name」(工作名稱) 欄位中,選取「Case Federation Sync Job」(案件聯盟同步工作)。
- 在「整合」欄位中,選取「案件同盟」。
- 點選「建立」。
- 在「目標平台」欄位中,輸入主要供應商的主機名稱。 主機名稱取自主供應商平台網址的開頭。
- 在「API 金鑰」欄位中,輸入主要供應商提供的 API 金鑰。
- 將預設同步時間設為一分鐘。
在次要平台建立或編輯使用者
如要授予主要分析師所選環境的存取權,請按照下列步驟操作:- 在次要平台中,依序前往「設定」>「機構」>「使用者管理」
- 按一下「新增」。
- 輸入必要的資訊。
- 在「環境」欄位中,選取主要平台分析師可存取的環境。
- 按一下 [儲存]。
從主要平台存取遠端案件
主要平台分析師可以從本機平台移至遠端 (次要) 平台,查看及管理案件。您可以在「案件」頁面中,透過案件清單檢視畫面或案件並排檢視畫面執行這項操作。如要透過遠端平台開啟案件,請按照下列步驟操作:
- 在「案件」頁面中,選取「清單檢視」或「並排檢視」。
- 請執行下列任一動作:
- 並排檢視
- 在案件佇列中,尋找標示「R」(代表遠端) 的案件。
- 按一下案件,在遠端平台中開啟。
- 清單檢視
- 掃描「平台」資料欄,找出源自遠端平台的案件。
- 按一下案件 ID,在遠端平台開啟案件。
使用電子郵件地址和密碼登入遠端平台。
如果無法登入,表示次要客戶可能未授權您存取案件的來源環境。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。