SOAR 엔드포인트를 Chronicle API로 이전

다음에서 지원:

통합, 맞춤 스크립트 또는 맞춤 작업을 사용하여 프로그래매틱 방식으로 SOAR API를 호출하는 경우 이 문서가 적용됩니다. 이 문서에서는 Chronicle API의 일부로 프로그래매틱 API 참조를 새 SOAR API 엔드포인트로 업데이트하는 데 도움이 되는 단계와 고려사항을 간략하게 설명합니다.

Chronicle API 노출 영역에는 개발 프로세스를 간소화하기 위해 설계된 여러 개선사항이 도입되었습니다. 또한 이전 API에 있는 제한사항과 복잡성을 해결합니다.

기존 SOAR API 및 API 키는 2026년 9월 30일까지 사용할 수 있으며, 이후에는 더 이상 작동하지 않습니다.

기본 요건

SOAR API 마이그레이션을 수행하기 전에 다음을 수행해야 합니다.

주요 변경사항 및 개선사항

다음 표에서는 이전 API와 새 API의 주요 차이점을 보여줍니다.

기능 영역 이전 API 새 API 세부정보
인증 API 토큰 OAuth 2.0 새 인증 방법은 보안을 강화하고 프로세스를 표준화합니다.
데이터 모델 플랫 구조 리소스 중심 디자인 이 새로운 디자인은 데이터 일관성을 개선하고 객체 조작을 간소화합니다.
엔드포인트 이름 지정 일관되지 않음 RESTful 및 표준화됨 일관된 이름 지정은 API를 더 직관적으로 만들고 통합하기 쉽게 해줍니다.

지원 중단 일정

SOAR의 이전 API 표면은 2026년 9월 30일에 완전히 지원 중단될 예정입니다. 서비스 중단을 방지하려면 이 날짜 이전에 마이그레이션을 완료하는 것이 좋습니다.

마이그레이션 단계

이 섹션에서는 애플리케이션을 Chronicle API로 성공적으로 이전하는 단계를 간략히 설명합니다.

문서 검토

Chronicle API 참조 가이드를 비롯한 새 API의 포괄적인 문서를 숙지하세요.

엔드포인트를 새 API 노출 영역에 매핑

애플리케이션에서 수행하는 각 이전 API 호출에 해당하는 새 엔드포인트를 식별합니다. 마찬가지로 구조적 변경사항이나 새 필드를 고려하여 이전 데이터 모델을 새 데이터 모델에 매핑합니다. 자세한 내용은 API 엔드포인트 매핑 표를 참고하세요.

선택사항: 스테이징 통합 만들기

맞춤 통합 또는 상업용 통합의 구성요소를 수정하는 경우 먼저 변경사항을 스테이징 통합에 푸시하는 것이 좋습니다. 이 프로세스를 사용하면 프로덕션 자동화 흐름에 영향을 주지 않고 테스트할 수 있습니다. SOAR API를 사용하는 맞춤 빌드 애플리케이션을 이전하는 경우 다음 단계로 건너뛸 수 있습니다. 통합 스테이징에 관한 자세한 내용은 스테이징 모드에서 통합 테스트를 참고하세요.

서비스 엔드포인트 및 URL 업데이트

서비스 엔드포인트는 API 서비스의 네트워크 주소를 지정하는 기준 URL입니다. 단일 서비스는 여러 서비스 엔드포인트를 가질 수 있습니다. Chronicle은 리전 서비스이며 리전 엔드포인트만 지원합니다.

모든 새 엔드포인트는 일관된 접두사를 사용하여 최종 엔드포인트 주소를 예측할 수 있습니다. 다음 예시에서는 새 엔드포인트 URL 구조를 보여줍니다.

[api_version]/projects/[project_id]/locations/[location]/instances[instance_id]/...

이 구조는 엔드포인트의 최종 주소를 다음과 같이 만듭니다.

https://[service_endpoint]/[api_version]/projects/[project_id]/locations/[location]/instances/[instance_id]/...

각 항목의 의미는 다음과 같습니다.

  • service_endpoint: 리전 서비스 주소
  • api_version: 쿼리할 API 버전입니다. v1alpha, v1beta, v1일 수 있습니다.
  • project_id: 프로젝트 ID (IAM 권한에 정의된 프로젝트와 동일)
  • location: 프로젝트의 위치 (리전)입니다. 리전 엔드포인트와 동일합니다.
  • instance_id: Google Security Operations SIEM 고객 ID입니다.

리전별 주소:

  • africa-south1: https://chronicle.africa-south1.rep.googleapis.com

  • asia-northeast1: https://chronicle.asia-northeast1.rep.googleapis.com

  • asia-south1: https://chronicle.asia-south1.rep.googleapis.com

  • asia-southeast1: https://chronicle.asia-southeast1.rep.googleapis.com

  • asia-southeast2: https://chronicle.asia-southeast2.rep.googleapis.com

  • australia-southeast1: https://chronicle.australia-southeast1.rep.googleapis.com

  • europe-west12: https://chronicle.europe-west12.rep.googleapis.com

  • europe-west2: https://chronicle.europe-west2.rep.googleapis.com

  • europe-west3: https://chronicle.europe-west3.rep.googleapis.com

  • europe-west6: https://chronicle.europe-west6.rep.googleapis.com

  • europe-west9: https://chronicle.europe-west9.rep.googleapis.com

  • me-central1: https://chronicle.me-central1.rep.googleapis.com

  • me-central2: https://chronicle.me-central2.rep.googleapis.com

  • me-west1: https://chronicle.me-west1.rep.googleapis.com

  • northamerica-northeast2: https://chronicle.northamerica-northeast2.rep.googleapis.com

  • southamerica-east1: https://chronicle.southamerica-east1.rep.googleapis.com

  • 미국: https://chronicle.us.rep.googleapis.com

  • eu: https://chronicle.eu.rep.googleapis.com

예를 들어 미국의 프로젝트에 있는 모든 케이스 목록을 가져오려면 다음을 실행합니다.

GET 
  https://chronicle.us.rep.googleapis.com/v1alpha/projects/my-project-name-or-id/locations/us/instances/408bfb7b-5746-4a50-885a-50a323023529/cases

인증 방법 업데이트

새 API는 인증에 Google Cloud IAM을 사용합니다. 이 새로운 인증 흐름을 구현하려면 애플리케이션 또는 응답 통합을 업데이트해야 합니다. 스크립트를 실행하는 사용자에게 액세스하려는 엔드포인트에 대한 올바른 권한이 있는지 확인합니다. 이 새로운 흐름을 구현하려면 응답 통합 또는 애플리케이션을 업데이트해야 합니다. 스크립트를 실행하는 사용자에게 타겟 엔드포인트에 필요한 권한이 있는지 확인합니다. 자세한 내용은 Chronicle API 인증 페이지를 참고하세요.

서비스 계정 또는 워크로드 아이덴티티를 SOAR 매개변수에 매핑

서비스 계정 또는 워크로드 아이덴티티 제휴를 사용하여 Chronicle API를 인증하는 경우 Google SecOps와 성공적으로 통신할 수 있도록 플랫폼 내에서 이를 승인해야 합니다. 이 매핑은 서비스 계정 또는 워크로드 ID에 SOC 역할 및 환경에 대한 필요한 액세스 권한을 제공하는 데 필요합니다.

서비스 계정을 매핑하려면 다음 단계를 따르세요.

  1. SOAR 설정 > 고급 > 그룹 매핑으로 이동합니다.

  2. 추가 추가를 클릭합니다.

  3. 역할 추가 대화상자의 IAM 역할 / IdP 그룹 필드에 서비스 계정의 전체 이메일 주소 또는 워크로드 아이덴티티 주 구성원 문자열을 입력합니다.

  4. 적절한 SOC 역할환경을 선택합니다.

  5. 추가를 클릭합니다.

사용자 및 서비스 계정 매핑에 대한 자세한 내용은 서드 파티 ID를 사용하여 플랫폼에서 사용자 매핑 또는 Cloud ID를 사용하여 플랫폼에서 사용자 매핑을 참고하세요.

API 로직 업데이트

API 참조에 제공된 새 데이터 모델과 엔드포인트 구조를 분석합니다. 모든 메서드가 크게 변경된 것은 아니며 기존 코드를 재사용할 수 있습니다. 기본 목표는 새로운 참조 문서를 검토하고 각 특정 사용 사례에 대해 애플리케이션 로직 내에서 필드 이름과 데이터 구조에 필요한 변경사항을 식별하고 구현하는 것입니다.

통합 테스트

프로덕션에 배포하기 전에 스테이징 통합에서 업데이트된 애플리케이션을 테스트합니다.

  1. 테스트 계획 만들기: 마이그레이션된 모든 기능을 포함하는 테스트 사례를 정의합니다.
  2. 테스트 실행: 자동 및 수동 테스트를 실행하여 정확성과 유효성을 확인합니다.
  3. 성능 모니터링: 새 API로 애플리케이션의 성능을 평가합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.