Configurar el acceso federado a casos para SecOps

La función de federación de gestión de casos permite que los clientes secundarios tengan su propia plataforma de Google Security Operations, en lugar de tener su instancia de Google SecOps y operar como entornos dentro de una instancia compartida. Esta configuración es ideal para proveedores de servicios de seguridad gestionados (MSSPs) o empresas que requieran plataformas independientes en distintas zonas geográficas.

Todos los metadatos de los casos se sincronizan desde la plataforma secundaria (remota) con la plataforma del proveedor principal de la siguiente manera:

• Los analistas de la plataforma principal pueden ver, acceder y tomar medidas en los casos federados si se les ha concedido acceso.

• Los clientes secundarios conservan el control sobre los entornos y casos a los que puede acceder la plataforma principal.

Cuando un analista de la plataforma principal abre un enlace de asistencia remota, el sistema lo redirige a la plataforma remota si tiene los permisos necesarios para acceder al entorno del caso. En la plataforma remota, el analista principal de la plataforma puede iniciar sesión con su correo y contraseña. Para acceder, se necesitan credenciales válidas y el acceso solo se concede para la sesión actual.

Configurar la sincronización de metadatos en la plataforma principal

Para habilitar la sincronización de metadatos, sigue estos pasos en la plataforma principal:

Configurar el nombre visible de la plataforma remota

Para configurar un nombre visible de una plataforma remota, sigue estos pasos:

1. En el siguiente ejemplo, usa el comando curl para asignar un nombre visible único a la plataforma remota. Los nombres visibles pueden tener hasta 255 caracteres.

   curl -X POST
   https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
   -H "Content-Type: application/json" \
   -d '{
       "displayName": "Sample Platform",
       "host": "https://federation.siemplify-soar.com" 
   }'
   

2. Guarda la clave de API generada en un lugar seguro. El cliente secundario lo usará para configurar el nuevo trabajo de sincronización de federación de casos.

Descargar la integración de Case Federation

Para descargar la integración de federación de casos, sigue estos pasos:

1. En la plataforma principal, ve a Marketplace.
2. Haz clic en Configuración de la integración de la federación de casos y, a continuación, selecciona la casilla Es principal para sincronizar los datos con tu plataforma.
3. Haz clic en Guardar.

Crear la tarea de sincronización de federación de casos

Para crear el trabajo de sincronización de federación de casos, sigue estos pasos:

1. Ve a Respuesta > IDE y, a continuación, haz clic en addAñadir.
2. Selecciona Tarea.
3. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
4. En el campo Integración, selecciona Federación de casos.

5. Haz clic en Crear.

   Define el intervalo de programación en un minuto. No modifiques ningún otro parámetro.

Añadir acceso a la plataforma principal (remota) para los usuarios

Para asignar acceso a una o varias plataformas remotas, sigue estos pasos:

1. En la plataforma principal, ve a Ajustes de SOAR > Avanzado > Asignación de grupos de IdP.
2. Añade o edita usuarios según sea necesario. Para obtener más información sobre cómo añadir usuarios, consulta el artículo Asignar usuarios en la plataforma SecOps.
3. En el campo Plataforma, seleccione tantas plataformas remotas como necesite.
4. Haz clic en Guardar.

Configurar la sincronización de metadatos en la plataforma secundaria (remota)

Para habilitar la sincronización en la plataforma secundaria, sigue estos pasos.

Descargar la integración de Case Federation

Para descargar la integración de federación de casos, sigue estos pasos:

1. En la plataforma, vaya a Marketplace.
2. Haga clic en Configuración de la integración de la federación de casos y, a continuación, en Guardar. No marques la casilla Es principal.
3. Ve a Respuesta > IDE y, a continuación, haz clic en addAñadir.
4. Selecciona Tarea.
5. En el campo Nombre del trabajo, selecciona Trabajo de sincronización de federación de casos.
6. En el campo Integración, selecciona Federación de casos.
7. Haz clic en Crear.
8. En el campo Target Platform (Plataforma de destino), introduce el nombre de host del proveedor principal. El nombre de host se toma del principio de la URL de la plataforma del proveedor principal.
9. En el campo Clave de API, introduzca la clave de API que le haya proporcionado su proveedor principal.
10. Establece el tiempo de sincronización predeterminado en un minuto.
11. Haz clic en Guardar.

Conceder acceso a usuarios principales

Este procedimiento te permite conceder permisos a entornos específicos para los perfiles de la plataforma principal correspondientes. De esta forma, el analista principal puede pasar a los casos pertinentes de la plataforma secundaria.

Para crear o editar un usuario en la plataforma secundaria, sigue estos pasos:

1. En la plataforma secundaria, ve a Configuración de SOAR > Avanzado > Asignación de grupos de IdP.
2. Añade o edita usuarios según sea necesario. Para obtener más información sobre cómo añadir o editar usuarios, consulta Asignar usuarios en la plataforma Google SecOps.
3. En el campo Entorno, selecciona los entornos a los que pueden acceder los analistas de la plataforma principal.
4. Haz clic en Guardar.

Acceder a casos remotos desde la plataforma principal

Los usuarios de la plataforma principal pueden ver los casos remotos en la vista de lista o en la vista en paralelo de la página **Casos**.

Para abrir casos en la plataforma remota, sigue estos pasos:

1. En la página Casos, selecciona la vista de lista o la vista en paralelo.
2. Realice una de las siguientes acciones:
• Vista en paralelo
1. En la cola de casos, busca los casos marcados con una "R" (de remoto).
2. Haz clic en un caso remoto para abrirlo en la plataforma remota correspondiente.
• Vista de lista
1. Busca los casos remotos en la columna Plataforma.
2. Haz clic en el ID de asistencia para abrir el caso en la plataforma remota.

3. Inicia sesión en la plataforma remota con tu correo y tu contraseña.

   Si no puedes iniciar sesión, significa que es posible que el cliente secundario no te haya concedido acceso al entorno de origen del caso.