Configurare l'accesso federato alle richieste per SecOps
La funzionalità di federazione della gestione dei casi consente ai clienti secondari di avere una propria piattaforma Google Security Operations separata, anziché la propria istanza Google SecOps, in modo da operare come ambienti all'interno di un'istanza condivisa. Questa configurazione è ideale per i fornitori di servizi di sicurezza gestiti (MSSP) o per le aziende che richiedono piattaforme indipendenti in diverse regioni geografiche.
Tutti i metadati della richiesta vengono sincronizzati dalla piattaforma secondaria (remota) alla piattaforma del fornitore principale nel seguente modo:
Gli analisti della piattaforma principale possono visualizzare, accedere e intervenire sulle richieste federate se è stato concesso loro l'accesso.
I clienti secondari mantengono il controllo su quali ambienti e casi sono accessibili alla piattaforma principale.
Quando un analista della piattaforma principale apre un link a una richiesta remota, il sistema lo reindirizza alla piattaforma remota, se dispone delle autorizzazioni necessarie per accedere all'ambiente della richiesta. Sulla piattaforma remota, l'analista della piattaforma principale può accedere con il proprio indirizzo email e la propria password. L'accesso richiede credenziali valide e viene concesso solo per la sessione corrente.
Configurare la sincronizzazione dei metadati sulla piattaforma principale
Per abilitare la sincronizzazione dei metadati, segui questi passaggi sulla piattaforma principale:
Configurare il nome visualizzato della piattaforma remota
Per configurare un nome visualizzato della piattaforma remota:
- Nell'esempio seguente, utilizza il comando
curl
per assegnare un nome visualizzato univoco alla piattaforma remota. I nomi visualizzati possono contenere fino a 255 caratteri.curl -X POST https://federation.siemplify-soar.com/api/external/v1/federation/platforms \ -H "Content-Type: application/json" \ -d '{ "displayName": "Sample Platform", "host": "https://federation.siemplify-soar.com" }'
- Memorizza la chiave API generata in un luogo sicuro. Il cliente secondario lo utilizzerà per configurare il nuovo job di sincronizzazione di Case Federation.
Scarica l'integrazione Case Federation
Per scaricare l'integrazione di Case Federation:
- Nella piattaforma principale, vai a Marketplace.
- Fai clic su Configurazione dell'integrazione della federazione dei casi e poi seleziona la casella di controllo È principale per sincronizzare i dati con la tua piattaforma.
- Fai clic su Salva.
Crea il job di sincronizzazione della federazione delle richieste
Per creare il job di sincronizzazione della federazione dei casi:
- Vai a Risposta > IDE, quindi fai clic su addAggiungi.
- Seleziona Job.
- Nel campo Nome job, seleziona Job di sincronizzazione della federazione dei casi.
- Nel campo Integrazione, seleziona Federazione dei casi.
Fai clic su Crea.
Imposta l'intervallo di pianificazione su un minuto. Non modificare nessun altro parametro.
Aggiungere l'accesso alla piattaforma principale (remota) agli utenti
Per assegnare l'accesso a una o più piattaforme remote, segui questi passaggi:- Nella piattaforma principale, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi IdP.
- Aggiungi o modifica gli utenti in base alle esigenze. Per ulteriori informazioni su come aggiungere utenti, consulta Mappare gli utenti nella piattaforma SecOps.
- Nel campo Piattaforma, seleziona tutte le piattaforme remote necessarie.
- Fai clic su Salva.
Configurare la sincronizzazione dei metadati sulla piattaforma secondaria (remota)
Per attivare la sincronizzazione sulla piattaforma secondaria, completa i seguenti passaggi.
Scarica l'integrazione Case Federation
Per scaricare l'integrazione di Case Federation:
- Nella piattaforma, vai a Marketplace.
- Fai clic su Configurazione dell'integrazione della federazione dei casi e poi fai clic su Salva. Non selezionare la casella di controllo È principale.
- Vai a Risposta > IDE, quindi fai clic su addAggiungi.
- Seleziona Job.
- Nel campo Nome job, seleziona Job di sincronizzazione della federazione dei casi.
- Nel campo Integrazione, seleziona Federazione dei casi.
- Fai clic su Crea.
- Nel campo Target Platform (Piattaforma di destinazione), inserisci il nome host del fornitore principale. Il nome host viene estratto dall'inizio dell'URL della piattaforma del fornitore principale.
- Nel campo Chiave API, inserisci la chiave API fornita dal tuo fornitore principale.
- Imposta il tempo di sincronizzazione predefinito su un minuto.
- Fai clic su Salva.
Concedere l'accesso agli utenti principali
Questa procedura ti consente di concedere autorizzazioni a ambienti specifici per le buyer persona della piattaforma principale pertinenti. In questo modo, l'analista principale può passare ai casi pertinenti nella piattaforma secondaria.Per creare o modificare un utente sulla piattaforma secondaria:
- Nella piattaforma secondaria, vai a Impostazioni SOAR > Avanzate > Mappatura gruppi IdP.
- Aggiungi o modifica gli utenti in base alle esigenze. Per saperne di più su come aggiungere o modificare gli utenti, consulta Mappare gli utenti nella piattaforma Google SecOps.
- Nel campo Ambiente, seleziona gli ambienti a cui possono accedere gli analisti della piattaforma principale.
- Fai clic su Salva.
Accedere alle richieste remote dalla piattaforma principale
Gli utenti della piattaforma principale possono visualizzare le richieste da remoto nella visualizzazione elenco o affiancata nella pagina **Richieste**Per aprire le richieste sulla piattaforma remota:
- Nella pagina Richieste, seleziona la visualizzazione elenco o la visualizzazione affiancata.
- Esegui una delle seguenti operazioni:
- Visualizzazione affiancata
- Nella coda dei casi, cerca quelli contrassegnati con una "R" (di remoto).
- Fai clic su una richiesta remota per aprirla nella piattaforma remota corrispondente.
- Visualizzazione elenco
- Individua i casi remoti nella colonna Piattaforma.
- Fai clic sull'ID richiesta per aprirla nella piattaforma remota.
Accedi alla piattaforma remota con il tuo indirizzo email e la tua password.
Se non riesci ad accedere, significa che il cliente secondario potrebbe non averti concesso l'accesso all'ambiente di origine della richiesta.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.