Configure o acesso federado a registos para o SecOps
A funcionalidade de federação de gestão de registos permite que os clientes secundários tenham a sua própria plataforma do Google Security Operations separada, em vez de terem a sua instância do Google SecOps a funcionar como ambientes numa instância partilhada. Esta configuração é ideal para fornecedores de serviços de segurança geridos (MSSPs) ou empresas que requerem plataformas independentes em várias regiões geográficas.
Todos os metadados dos registos são sincronizados da plataforma secundária (remota) para a plataforma do fornecedor principal da seguinte forma:
Os analistas da plataforma principal podem ver, aceder e agir em registos federados se lhes tiver sido concedido acesso.
Os clientes secundários mantêm o controlo sobre os ambientes e os registos que são acessíveis à plataforma principal.
Quando um analista da plataforma principal abre um link de registo remoto, o sistema redireciona o analista para a plataforma remota, se tiver as autorizações necessárias para aceder ao ambiente do registo. Na plataforma remota, o analista da plataforma principal pode iniciar sessão com o respetivo email e palavra-passe. O acesso requer credenciais válidas e é concedido apenas para a sessão atual.
Configure a sincronização de metadados na plataforma principal
Para ativar a sincronização de metadados, siga estes passos na plataforma principal:
Configure o nome a apresentar da plataforma remota
Para configurar um nome a apresentar da plataforma remota, siga estes passos:
- No exemplo seguinte, use o comando
curlpara atribuir um nome a apresentar exclusivo à plataforma remota. Os nomes a apresentar podem ter até 255 carateres.curl -X POST https://federation.siemplify-soar.com/api/external/v1/federation/platforms \ -H "Content-Type: application/json" \ -d '{ "displayName": "Sample Platform", "host": "https://federation.siemplify-soar.com" }' - Armazene a chave da API gerada num local seguro. O cliente secundário vai usá-lo para configurar a nova tarefa de sincronização da federação de registos.
Transfira a integração da federação de registos
Para transferir a integração da federação de registos, siga estes passos:
- Na plataforma principal, aceda ao Marketplace.
- Clique em Configuração da integração da federação de registos e, de seguida, selecione a caixa de verificação É principal para sincronizar os dados com a sua plataforma.
- Clique em Guardar.
Crie a tarefa de sincronização da federação de registos
Para criar a tarefa de sincronização da federação de registos, siga estes passos:
- Aceda a Resposta > IDE e, de seguida, clique em adicionarAdicionar.
- Selecione Trabalho.
- No campo Nome da tarefa, selecione Tarefa de sincronização da federação de registos.
- No campo Integração, selecione Federação de registos.
Clique em Criar.
Defina o intervalo do horário para um minuto. Não modifique outros parâmetros.
Adicione acesso à plataforma principal (remota) aos utilizadores
Para atribuir acesso a uma ou mais plataformas remotas, siga estes passos:- Na plataforma principal, aceda a Definições de SOAR > Avançadas > Mapeamento de grupos de IdP.
- Adicione ou edite utilizadores, conforme necessário. Para mais informações sobre como adicionar utilizadores, consulte o artigo Mapeie utilizadores na plataforma SecOps.
- No campo Plataforma, selecione as plataformas remotas necessárias.
- Clique em Guardar.
Configure a sincronização de metadados na plataforma secundária (remota)
Para ativar a sincronização na plataforma secundária, conclua os passos seguintes.
Transfira a integração da federação de registos
Para transferir a integração da federação de registos, siga estes passos:
- Na plataforma, aceda ao Marketplace.
- Clique na configuração de integração da federação de registos e, de seguida, clique em Guardar. Não selecione a caixa de verificação É principal.
- Aceda a Resposta > IDE e, de seguida, clique em adicionarAdicionar.
- Selecione Trabalho.
- No campo Nome da tarefa, selecione Tarefa de sincronização da federação de registos.
- No campo Integração, selecione Federação de registos.
- Clique em Criar.
- No campo Plataforma de destino, introduza o nome do anfitrião do fornecedor principal. O nome do anfitrião é retirado do início do URL da plataforma do fornecedor principal.
- No campo Chave da API, introduza a chave da API fornecida pelo seu fornecedor principal.
- Defina o tempo de sincronização predefinido para um minuto.
- Clique em Guardar.
Conceda acesso aos utilizadores principais
Este procedimento permite-lhe conceder autorizações a ambientes específicos para as personagens da plataforma principal relevantes. Isto permite que o analista principal use os casos relevantes na plataforma secundária.Para criar ou editar um utilizador na plataforma secundária, siga estes passos:
- Na plataforma secundária, aceda a Definições de SOAR > Avançadas > Mapeamento de grupos de IdP.
- Adicione ou edite utilizadores, conforme necessário. Para mais informações sobre como adicionar ou editar utilizadores, consulte o artigo Mapeie utilizadores na plataforma Google SecOps.
- No campo Ambiente, selecione os ambientes aos quais os analistas da plataforma principal podem aceder.
- Clique em Guardar.
Aceda a registos remotos a partir da plataforma principal
Os utilizadores da plataforma principal podem ver registos remotos na vista de lista ou na vista lado a lado na página **Registos**Para abrir registos na plataforma remota, siga estes passos:
- Na página Registos, selecione a vista de lista ou a vista lado a lado.
- Realize uma das seguintes ações:
- Vista lado a lado
- Na fila de registos, procure registos marcados com um "R" (de remoto).
- Clique num registo remoto para o abrir na plataforma remota correspondente.
- Vista de lista
- Localize registos remotos na coluna Plataforma.
- Clique no ID do registo para abrir o registo na plataforma remota.
Inicie sessão na plataforma remota com o seu email e palavra-passe.
Se não conseguir iniciar sessão, significa que o cliente secundário pode não lhe ter concedido acesso ao ambiente de origem do registo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.