将 Google SecOps 实例迁移到 BYOP 项目

支持的服务:

本指南可帮助 Google Cloud 管理员和安全工程师使用自带项目 (BYOP) 模型将现有 Google SecOps 实例(包括其数据)迁移到其他 Google Cloud 项目。此过程可帮助您整合资源、重新调整结算方式或适应组织变更,同时保留您的安全数据和实例配置。

主要术语

  • 自带项目 (BYOP):一种模型,您可以使用自己的 Google Cloud 项目来托管和管理 Google SecOps 实例。
  • 概念验证 (POC):用于评估或测试的非生产实例。
  • 技术联系人 (TPOC):贵组织中负责与迁移相关的技术沟通的指定联系人。

准备工作

在开始迁移之前,请确认目标 Google Cloud 项目满足以下要求:

  • 权限:如需对 POC 实例执行自助迁移,您必须具有 IAM 角色 chroniclesm.admin,该角色包含 chroniclesm.projectLink.enable 权限。

  • 结算账号:您必须 将 Google SecOps 实例关联到与原始项目使用相同 Google Cloud 结算账号的目标 BYOP 项目。确认结算账号订阅处于有效状态。

  • 项目可用性:您可以使用现有项目或新 Google Cloud 项目作为目标:

  • 组织政策:如果当前 Google Cloud 项目具有有效的组织政策(例如 VPC Service Controls、CMEK、FedRAMP 或其他合规性框架),请在启动迁移 之前Google SecOps 支持团队 联系以寻求帮助。

  • Chronicle API:在目标 Google Cloud 项目中启用 Chronicle API。如需了解详情,请参阅启用 Chronicle API

  • 身份验证(仅限 BYOID):如果您的实例使用自带身份 (BYOID),请在目标项目中配置员工池。如需了解详情,请参阅配置第三方身份提供方

  • 停机时间:请注意,迁移过程需要停机时间。为了保持数据完整性,Google SecOps 实例及其 API 暂时不可用,并返回 HTTP 503 错误。提取和 Feed 也会受到影响。

将实例迁移到 BYOP 项目

迁移过程取决于您要迁移的是 POC 实例还是非 POC 生产实例。

将 POC 迁移到生产 BYOP

如果您要从 POC 迁移到完整生产环境,可以自行启动迁移。当您的新生产合同开始时,此过程会自动启动。您指定的 TPOC 会收到一封合同开始通知电子邮件,其中包含设置链接。

请按照将 Google SecOps 实例关联到新订阅中的说明操作,特别是将现有 POC Google SecOps 实例关联到新订阅部分。

将非 POC 项目迁移到 BYOP

对于非 POC 项目(例如内部组织重组或托管服务提供商 (MSP) 转换),Google SecOps 支持团队会管理迁移。

  1. 发起请求:打开标准支持服务工单,请求项目迁移。请提供详细信息,例如您是否有新订阅,以及是否要更改 Google SecOps 实例的关联 Google Cloud 项目。
  2. 迁移过程:Google SecOps 支持团队会触发更新。您无需在控制台中执行任何操作。随着迁移的进行,系统会自动向您的团队发送状态电子邮件。

迁移过程

将实例移至目标项目并保持数据完整性需要短暂的维护窗口。

  • 在关键阶段,您的 Google SecOps 实例及其 API 暂时不可用,并返回 HTTP 503(服务不可用) 错误。这是正常现象。项目更新完成后,服务会自动恢复正常。
  • 如需详细了解数据 Feed 受到的影响,请参阅更改关联的 Cloud 项目对数据 Feed 的影响

完成迁移后操作

收到迁移完成通知电子邮件后,您的 TPOC 必须完成以下操作才能恢复完整功能:

问题排查

  • HTTP 503 错误:如 迁移过程 部分中所述,在迁移期间,此错误是预期会出现的。完成后,服务应会自动恢复。
  • Feed 问题:如果手动重新创建的 Feed 以外的其他 Feed 在迁移后无法正常运行,请与 Google SecOps 支持团队联系。
  • 权限错误:仔细检查目标项目中的 IAM 角色和权限。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。