Föderierten Fallzugriff für SecOps einrichten

Unterstützt in:

Mit der Funktion für die Case-Management-Föderation können sekundäre Kunden ihre eigene separate Google Security Operations-Plattform haben, anstatt dass ihre Google SecOps-Instanz als Umgebungen innerhalb einer gemeinsam genutzten Instanz fungiert. Diese Einrichtung ist ideal für Managed Security Service Providers (MSSPs) oder Unternehmen, die unabhängige Plattformen in verschiedenen geografischen Regionen benötigen.

Alle Fallmetadaten werden von der sekundären (Remote-)Plattform mit der Plattform des primären Anbieters synchronisiert:

  • Analysten der primären Plattform können auf zusammengeführte Anfragen zugreifen und entsprechende Maßnahmen ergreifen, wenn sie Zugriff haben.

  • Sekundärkunden behalten die Kontrolle darüber, auf welche Umgebungen und Anfragen die primäre Plattform zugreifen kann.

Wenn ein Analyst der primären Plattform einen Link zu einem Remote-Fall öffnet, wird er zur Remote-Plattform weitergeleitet, sofern er die erforderlichen Berechtigungen für den Zugriff auf die Umgebung des Falls hat. Auf der Remote-Plattform kann sich der primäre Plattformanalyst mit seiner E‑Mail-Adresse und seinem Passwort anmelden. Für den Zugriff sind gültige Anmeldedaten erforderlich. Der Zugriff wird nur für die aktuelle Sitzung gewährt.

Metadatensynchronisierung auf der primären Plattform einrichten

So aktivieren Sie die Metadatensynchronisierung auf der primären Plattform:

Anzeigenamen der Remote-Plattform einrichten

So richten Sie einen Anzeigenamen für eine Remote-Plattform ein:

  1. Im folgenden Beispiel wird mit dem Befehl curl ein eindeutiger Anzeigename für die Remote-Plattform zugewiesen. Anzeigenamen können bis zu 255 Zeichen lang sein. 
    curl -X POST
https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
-H "Content-Type: application/json" \
-d '{
    "displayName": "Sample Platform",
    "host": "https://federation.siemplify-soar.com" 
}'
  2. Bewahren Sie den generierten API-Schlüssel an einem sicheren Ort auf. Der sekundäre Kunde verwendet sie, um den neuen Synchronisierungsjob für die Case Federation zu konfigurieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

  1. Rufen Sie auf der primären Plattform Marketplace auf.
  2. Klicken Sie auf Case Federation-Integrationskonfiguration und wählen Sie dann das Kästchen Ist primär aus, um Daten mit Ihrer Plattform zu synchronisieren.
  3. Klicken Sie auf Speichern.

Case Federation-Synchronisierungsjob erstellen

So erstellen Sie den Synchronisierungsjob für die Case Federation:

  1. Klicken Sie auf Antwort > IDE und dann auf addHinzufügen.
  2. Wählen Sie Job aus.
  3. Wählen Sie im Feld Jobname die Option Case Federation Sync Job (Synchronisierungsjob für die Fallzusammenführung) aus.
  4. Wählen Sie im Feld Integration die Option Case Federation aus.

  5. Klicken Sie auf Erstellen.

    Stellen Sie das Zeitplanintervall auf eine Minute ein. Ändern Sie keine anderen Parameter.

Nutzern primären (Remote-)Plattformzugriff hinzufügen

So weisen Sie einer oder mehreren Remote-Plattformen Zugriff zu:
  1. Rufen Sie auf der primären Plattform SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung auf.
  2. Fügen Sie bei Bedarf Nutzer hinzu oder bearbeiten Sie sie. Weitere Informationen zum Hinzufügen von Nutzern finden Sie unter Nutzer in der SecOps-Plattform zuordnen.
  3. Wählen Sie im Feld Plattform so viele Remote-Plattformen wie nötig aus.
  4. Klicken Sie auf Speichern.

Metadatensynchronisierung auf der sekundären (Remote-)Plattform einrichten

Führen Sie die folgenden Schritte aus, um die Synchronisierung auf der sekundären Plattform zu aktivieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

  1. Rufen Sie in der Plattform den Marketplace auf.
  2. Klicken Sie auf die Case Federation integration configuration (Konfiguration der Case Federation-Integration) und dann auf Save (Speichern). Klicken Sie das Kästchen Primär nicht an.
  3. Klicken Sie auf Antwort > IDE und dann auf addHinzufügen.
  4. Wählen Sie Job aus.
  5. Wählen Sie im Feld Jobname die Option Case Federation Sync Job (Synchronisierungsjob für die Fallzusammenführung) aus.
  6. Wählen Sie im Feld Integration die Option Case Federation aus.
  7. Klicken Sie auf Erstellen.
  8. Geben Sie im Feld Target Platform (Zielplattform) den Hostnamen des primären Anbieters ein. Der Hostname wird vom Anfang der Plattform-URL des primären Anbieters übernommen.
  9. Geben Sie im Feld API-Schlüssel den API-Schlüssel ein, den Sie von Ihrem primären Anbieter erhalten haben.
  10. Stelle die standardmäßige Synchronisierungszeit auf eine Minute ein.
  11. Klicken Sie auf Speichern.

Primären Nutzern Zugriff gewähren

Mit diesem Verfahren können Sie Berechtigungen für bestimmte Umgebungen für die relevanten primären Plattform-Personas gewähren. So kann der primäre Analyst in der sekundären Plattform zu den relevanten Fällen wechseln.

So erstellen oder bearbeiten Sie einen Nutzer auf der sekundären Plattform:

  1. Rufen Sie auf der sekundären Plattform SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung auf.
  2. Fügen Sie bei Bedarf Nutzer hinzu oder bearbeiten Sie sie. Weitere Informationen zum Hinzufügen oder Bearbeiten von Nutzern finden Sie unter Nutzer in der Google SecOps-Plattform zuordnen.
  3. Wählen Sie im Feld Umgebung die Umgebungen aus, auf die Analysten der primären Plattform zugreifen können.
  4. Klicken Sie auf Speichern.

Über die primäre Plattform auf Remote-Vorgänge zugreifen

Nutzer der primären Plattform können Remote-Fälle entweder in der Listenansicht oder in der nebeneinander angeordneten Ansicht auf der Seite **Fälle** aufrufen.

So öffnen Sie Fälle auf der Remote-Plattform:

  1. Wählen Sie auf der Seite Fälle entweder die Listenansicht oder die Nebeneinanderansicht aus.
  2. Führen Sie einen der folgenden Schritte aus:
    • Nebeneinander-Ansicht
      1. Suchen Sie in der Fallwarteschlange nach Fällen, die mit einem „R“ (für „remote“) gekennzeichnet sind.
      2. Klicken Sie auf einen Remote-Fall, um ihn auf der entsprechenden Remote-Plattform zu öffnen.
    • Listenansicht
      1. Suchen Sie in der Spalte Plattform nach Remote-Fällen.
      2. Klicken Sie auf die Fall-ID, um den Fall auf der Remoteplattform zu öffnen.

  3. Melden Sie sich mit Ihrer E‑Mail-Adresse und Ihrem Passwort auf der Remote-Plattform an.

    Wenn Sie sich nicht anmelden können, hat der sekundäre Kunde Ihnen möglicherweise keinen Zugriff auf die Quellumgebung der Anfrage gewährt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten