Zugriff auf die Fallföderation für SOAR einrichten

Mit der Funktion für die Föderation der Fallverwaltung können sekundäre Kunden ihre eigene eigenständige SOAR-Plattform haben, anstatt ihre SOAR-Instanz als Umgebung mit einer gemeinsam genutzten Plattform zu hosten. Diese Einrichtung ist ideal für Managed Security Service Providers (MSSPs) oder Unternehmen, die unabhängige Plattformen in verschiedenen geografischen Regionen benötigen.

Alle Fallmetadaten werden von der sekundären (Remote-)Plattform mit der Plattform des primären Anbieters synchronisiert:

• Analysten der primären Plattform können auf zusammengeführte Anfragen zugreifen und entsprechende Maßnahmen ergreifen, wenn sie Zugriff haben.

• Sekundärkunden behalten die Kontrolle darüber, auf welche Umgebungen und Anfragen die primäre Plattform zugreifen kann.

Wenn ein Analyst der primären Plattform einen Link zu einem Remote-Fall öffnet, wird er zur Remote-Plattform weitergeleitet, sofern er die erforderlichen Berechtigungen für den Zugriff auf die Umgebung des Falls hat. Auf der Remote-Plattform kann sich der primäre Plattformanalyst mit seiner E‑Mail-Adresse und seinem Passwort anmelden. Für den Zugriff sind gültige Anmeldedaten erforderlich. Der Zugriff wird nur für die aktuelle Sitzung gewährt.

Metadatensynchronisierung auf der primären Plattform einrichten

So aktivieren Sie die Metadatensynchronisierung auf der primären Plattform:

Anzeigenamen der Remote-Plattform einrichten

So richten Sie einen Anzeigenamen für eine Remote-Plattform ein:

1. Im folgenden Beispiel wird mit dem Befehl curl ein eindeutiger Anzeigename für die Remote-Plattform zugewiesen. Anzeigenamen können bis zu 255 Zeichen lang sein.

       curl -X POST
       https://federation.siemplify-soar.com/api/external/v1/federation/platforms \
       -H "Content-Type: application/json" \
       -d '{
       "displayName": "Sample Platform",
       "host": "https://federation.siemplify-soar.com"
       }'
       

2. Bewahren Sie den generierten API-Schlüssel an einem sicheren Ort auf. Der sekundäre Kunde kann damit seinen Föderationssynchronisierungsjob konfigurieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

1. Rufen Sie auf der primären Plattform Marketplace auf.
2. Klicken Sie auf Case Federation-Integrationskonfiguration und setzen Sie dann ein Häkchen bei Is Primary (Primär), um Daten mit Ihrer Plattform zu synchronisieren.
3. Klicken Sie auf Speichern.
4. Klicken Sie auf Antwort > IDE und dann auf addHinzufügen.
5. Wählen Sie Job aus.
6. Wählen Sie im Feld Jobname die Option Case Federation Sync Job (Synchronisierungsjob für die Fallzusammenführung) aus.
7. Wählen Sie im Feld Integration die Option Case Federation aus.

8. Klicken Sie auf Erstellen.

   Stellen Sie das Zeitplanintervall auf eine Minute ein. Ändern Sie keine anderen Parameter.

Nutzer auf der primären Plattform erstellen oder bearbeiten

So weisen Sie einer oder mehreren Remote-Plattformen Zugriff zu:

1. Klicken Sie in der primären Plattform auf Einstellungen > Organisation > Nutzerverwaltung.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie die erforderlichen Informationen ein.
4. Wählen Sie im Feld Plattform so viele Remote-Plattformen wie nötig aus.
5. Klicken Sie auf Speichern.

Metadatensynchronisierung auf der sekundären (Remote-)Plattform einrichten

Führen Sie die folgenden Schritte aus, um die Synchronisierung auf der sekundären Plattform zu aktivieren.

Case Federation-Integration herunterladen

So laden Sie die Case Federation-Integration herunter:

1. Rufen Sie in der Plattform den Marketplace auf.
2. Klicken Sie auf die Konfiguration der Case Federation-Integration > Speichern. Klicken Sie das Kästchen Primär nicht an.
3. Klicken Sie auf Antwort > IDE und dann auf addHinzufügen.
4. Wählen Sie Job aus.
5. Wählen Sie im Feld Jobname die Option Case Federation Sync Job (Synchronisierungsjob für die Fallzusammenführung) aus.
6. Wählen Sie im Feld Integration die Option Case Federation aus.
7. Klicken Sie auf Erstellen.
8. Geben Sie im Feld Target Platform (Zielplattform) den Hostnamen des primären Anbieters ein. Der Hostname wird vom Anfang der Plattform-URL des primären Anbieters übernommen.
9. Geben Sie im Feld API-Schlüssel den API-Schlüssel ein, den Sie von Ihrem primären Anbieter erhalten haben.
10. Stelle die standardmäßige Synchronisierungszeit auf eine Minute ein.

Nutzer auf der sekundären Plattform erstellen oder bearbeiten

So gewähren Sie primären Analysten Zugriff auf ausgewählte Umgebungen:

1. Rufen Sie auf der sekundären Plattform die Einstellungen > Organisation > Nutzerverwaltung auf.
2. Klicken Sie auf Hinzufügen.
3. Geben Sie die erforderlichen Informationen ein.
4. Wählen Sie im Feld Umgebung die Umgebungen aus, auf die die Analysten der primären Plattform zugreifen können.
5. Klicken Sie auf Speichern.

Über die primäre Plattform auf Remote-Vorgänge zugreifen

Der primäre Plattformanalyst kann von seiner lokalen Plattform zur Remote-Plattform (sekundäre Plattform) wechseln, um Fälle dort anzusehen und zu verwalten. Sie können dies entweder in der Listenansicht oder in der nebeneinander angeordneten Ansicht auf der Seite Anfragen tun.

So öffnen Sie einen Fall über die Remote-Plattform:

1. Wählen Sie auf der Seite Fälle entweder die Listenansicht oder die Nebeneinanderansicht aus.
2. Führen Sie einen der folgenden Schritte aus:
• Nebeneinander-Ansicht
1. Suchen Sie in der Fallwarteschlange nach Fällen, die mit einem „R“ (für „remote“) gekennzeichnet sind.
2. Klicken Sie auf den Fall, um ihn auf der Remoteplattform zu öffnen.
• Listenansicht
1. Suchen Sie in der Spalte Plattform nach Fällen, die von der Remote-Plattform stammen.
2. Klicken Sie auf die Fall-ID, um sie auf der Remoteplattform zu öffnen.

3. Melden Sie sich mit Ihrer E‑Mail-Adresse und Ihrem Passwort auf der Remote-Plattform an.

   Wenn Sie sich nicht anmelden können, hat der sekundäre Kunde Ihnen möglicherweise keinen Zugriff auf die Quellumgebung der Anfrage gewährt.