Domande frequenti sulla migrazione di SOAR

Supportato in:

Trova le risposte alle domande più comuni sulla procedura di migrazione SOAR. Trova soluzioni a problemi frequenti e best practice per una transizione riuscita.

Ambito e impatto della migrazione

D: Perché è necessaria questa migrazione?

Stiamo modernizzando l'infrastruttura SOAR eseguendo la migrazione a Google Cloud. Questo upgrade critico offre vantaggi chiave, tra cui maggiore affidabilità, migliore sicurezza, maggiore conformità e controllo dell'accesso più granulare. Inoltre, offre l'accesso alle funzionalità di AI agentica tramite l'integrazione del Model Context Protocol (MCP).

La migrazione fornisce quanto segue:

  • Migliora l'affidabilità e le funzionalità di monitoraggio di SOAR utilizzando il miglior livello API di Google. Questo livello fornisce una soluzione API leader con funzionalità avanzate per la gestione delle quote, l'audit e l'osservabilità.
  • Sblocca il controllo degli accessi basato sui ruoli (RBAC) per funzionalità e dati in tutta la piattaforma.
  • Fornisce funzionalità di conformità più elevate, come i Controlli di servizio VPC, la residenza dei dati e le chiavi di crittografia gestite dal cliente (CMEK).

D: Qual è l'ambito della migrazione?

La migrazione coinvolge i seguenti componenti:

  • Migrazione del progetto SOAR a un progetto di proprietà del cliente. Google Cloud
  • Migrazione dell'autenticazione e delle autorizzazioni SOAR a Google Cloud IAM.
  • Migrazione delle API SOAR all'API Chronicle.
  • Migrazione degli agenti remoti.
  • Migrazione degli audit log SOAR.

D: Quali sono i cambiamenti immediati dopo la migrazione?

Subito dopo la migrazione, noterai diverse modifiche importanti:

  • Proprietà del progetto GCP: la migrazione del progetto SOAR verrà eseguita dalla proprietà di Google al progetto di proprietà del cliente Google Cloud .
  • Autenticazione:
    • Clienti Unified SecOps: nessuna modifica. L'autenticazione continuerà a essere gestita da Google Cloud IAM.
    • Clienti SOAR Standalone: l'autenticazione ora verrà gestita da Google Cloud IAM. Per gli utenti che utilizzano SAML, ciò significa adottare la federazione delle identità della forza lavoro e la configurazione SAML non verrà più archiviata e gestita all'interno del sistema SOAR stesso, il che comporta controlli di sicurezza più rigorosi.
  • RBAC: le autorizzazioni utente diventeranno più granulari e verranno gestite utilizzando IAM. Gli ambienti e i ruoli SOC continueranno a essere gestiti all'interno del modulo SOAR utilizzando i gruppi del provider di identità (IdP).
  • Audit logging: gli audit log saranno più dettagliati e gestiti in **Cloud Audit Logs **.
  • Nuovo URL (solo SOAR): gli utenti autonomi di SOAR riceveranno un nuovo URL (nuovo dominio) per accedere a SOAR.

D: Come vengono informati i clienti / partner di questa migrazione?

Per tutti i clienti e i partner viene visualizzato un popup nel prodotto che include la data di migrazione e un link a un modulo da compilare. Verrà chiesto di confermare la data e l'ora della migrazione.

D: I costi della nostra infrastruttura cambieranno in seguito al collegamento di SOAR al nostro progetto Google Cloud ?

No, i tuoi costi non subiranno modifiche. Non dovresti notare alcuna modifica nel frontend. Nel tuo progetto non verranno eseguite nuove risorse, quindi non ci sono costi associati.

D: Come colleghiamo il nostro progetto a SOAR?

Google eseguirà la migrazione del tuo progetto SOAR al tuo progetto Google Cloud . Se sei un cliente Unified SecOps, abbiamo già il tuo ID progetto Google Cloud . Se sei un cliente autonomo di SOAR, dovrai condividere con noi il tuo ID progetto Google Cloud .

D: Per i clienti che hanno già un deployment di Google SecOps, dobbiamo utilizzare lo stesso ID progetto di SIEM o abbiamo bisogno di un progetto separato?

Per un deployment unificato di Google SecOps (un SIEM, un SOAR), devi utilizzare l'ID progetto Google Cloud esistente associato al tuo SIEM. Ciò consente la gestione unificata dei flussi amministrativi, come il controllo dell'accesso basato sui ruoli e i log.

D: Per le istanze Google SecOps con considerazioni speciali come i Controlli di servizio VPC, quali passaggi sono necessari?

Per attivare la migrazione, devi definire le regole in entrata e in uscita all'interno della policy VPC SC. Se il tuo Google Cloud progetto ha VPC SC, contatta il team di assistenza per indicazioni dettagliate su queste regole specifiche.

Tempi di inattività e continuità

D: Si verifica un downtime durante la migrazione e qual è il suo impatto?

Sì. Il tempo di inattività previsto è il seguente:

  • Fino a 2 ore per i clienti SOAR standalone.
  • Fino a 1,5 ore per i clienti di Google SecOps.

Durante questo periodo, non potrai accedere alla piattaforma. I servizi SOAR (inclusi inserimento, playbook e job) verranno sospesi, ma i servizi SIEM continueranno a essere eseguiti in background.

D: I dati generati durante il periodo di inattività verranno inseriti automaticamente una volta ripristinati i servizi SOAR?

Sì. Una volta che il sistema sarà di nuovo online, l'importazione e i playbook riprenderanno e elaboreranno gli avvisi generati o importati durante il periodo di inattività.

D: Cosa succede ai playbook in esecuzione quando inizia il periodo di inattività?

Il servizio playbook verrà disattivato prima dell'inizio della migrazione. Alcuni playbook in esecuzione potrebbero non riuscire e dovranno essere riavviati manualmente o riprenderanno dopo il completamento della migrazione.

D: Esiste un piano di rollback o di emergenza se qualcosa va storto durante la migrazione?

Sì. Il processo di migrazione mantiene intatta l'istanza SOAR esistente (anche se disattivata). Se la procedura di migrazione non viene completata correttamente, possiamo ripristinare l'istanza esistente e rimuovere quella nuova. Questo processo di rollback richiede fino a 30 minuti. Eseguiamo test approfonditi e un monitoraggio costante, con personale di reperibilità pronto a intervenire per garantire la riuscita della migrazione.

Se riscontri problemi di accesso dopo la migrazione, è probabile che la configurazione dell'autenticazione non sia corretta. Per utilizzare la guida alla risoluzione dei problemi per l'identificazione e la risoluzione, dovrai coordinarti con l'amministratore di Identity, IDP o Google Cloud . Se il problema persiste o non è correlato all'accesso, apri un ticket di assistenza per documentare il problema e monitorarne la risoluzione.

D: Quando posso eseguire la migrazione ai nuovi endpoint SOAR v1 nell'API Chronicle?

Puoi eseguire la migrazione ai nuovi endpoint SOAR v1 nell'API Chronicle a partire da metà gennaio 2026 durante il lancio della disponibilità generale (GA). Ti consigliamo di attendere gennaio 2026 per un'esperienza di migrazione più affidabile e stabile. Se vuoi, puoi richiedere l'anteprima privata per utilizzare gli endpoint SOAR v1 alpha nell'API Chronicle a partire dal 24 novembre 2025.

L'API SOAR legacy e le chiavi API verranno ritirate e non funzioneranno più dopo il 30 giugno 2026. Per garantire una transizione senza problemi, segui questi due passaggi obbligatori:

  1. Devi prima completare la migrazione dei gruppi di autorizzazioni SOAR a Cloud IAM.
  2. Aggiorna gli script e le integrazioni esistenti per sostituire gli endpoint API SOAR legacy con gli endpoint API Chronicle corrispondenti.

Autenticazione e autorizzazioni

D: Come faccio a eseguire la migrazione dei miei gruppi di autorizzazioni e delle mie autorizzazioni SOAR?

Utilizzerai uno script di migrazione nella console Google Cloud per migrare i gruppi di autorizzazioni esistenti ai ruoli IAM personalizzati. Lo script assegna anche ruoli personalizzati agli utenti (per i clienti Cloud Identity) o ai gruppi IdP (per i clienti della federazione delle identità per la forza lavoro).

D: Cosa succede se preferisco non eseguire la migrazione dei gruppi di autorizzazioni personalizzate e utilizzare solo i ruoli predefiniti?

Puoi disattivare la migrazione automatica e mappare manualmente i gruppi IdP ai ruoli Cloud IAM.

D: Siamo un cliente SOAR autonomo con un provider SAML personalizzato con autenticazione manuale. Se modifichiamo questa impostazione in gruppi IdP per il mapping IdP, qual è l'impatto sugli account utente esistenti?

Se gli utenti esistenti corrispondono a uno dei gruppi e le autorizzazioni sono mappate correttamente, non dovrebbero esserci conseguenze sugli account utente preesistenti. Tuttavia, se gli utenti non sono mappati ai gruppi, non potranno accedere. Se le autorizzazioni vengono mappate in modo diverso, gli utenti riceveranno nuove autorizzazioni in base alla nuova mappatura.

D: Esistono prerequisiti specifici per i MSSP che utilizzano più provider di identità?

I clienti che hanno configurato più provider di identità nella pagina di autenticazione esterna SOAR devono definire la federazione delle identità per la forza lavoro per l'autenticazione e creare un pool di forza lavoro separato per ogni provider. Ogni fornitore è associato a un sottodominio diverso. Per ulteriori informazioni, leggi la guida alla migrazione MSSP.

D: Come faccio ad autenticarmi all'API Chronicle?

Segui le istruzioni riportate in Autenticazione nell'API Chronicle.

D: Quali sono i nuovi IP necessari per accedere alla nuova API SOAR? Non è necessario inserire alcun indirizzo IP nella lista consentita per accedere all'API Chronicle. Se vuoi, puoi inserire nella lista consentita l'intervallo di indirizzi IP indicato qui e qui.

Logging e monitoraggio

D: Abbiamo completato la prima fase della migrazione, ma non vediamo i log in Cloud Audit Logs.

I log vengono archiviati nella piattaforma SOAR al termine della prima fase di migrazione. I log diventano disponibili nel tuo progetto Google Cloud al termine della seconda fase di migrazione.

D: I clienti che inviano dati SOAR a un'istanza BigQuery (BQ) gestita potranno comunque accedere a questi dati BigQuery dopo la migrazione?

Sì. Il BigQuery gestito esistente continuerà a funzionare.

Logistica e assistenza

D: Posso scegliere una fascia oraria diversa per la migrazione?

No. Non è possibile eseguire la migrazione al di fuori delle fasce orarie suggerite.

D: Riceveremo aggiornamenti sullo stato in tempo reale durante la migrazione?

Riceverai una notifica via email all'inizio e alla fine del processo di migrazione.

D: Chi dobbiamo contattare in caso di problemi dopo la migrazione?

Se riscontri problemi di accesso dopo la migrazione, è probabile che la configurazione dell'autenticazione non sia corretta. Per utilizzare la guida alla risoluzione dei problemi per l'identificazione e la risoluzione, dovrai coordinarti con l'amministratore di Identity, IDP o Google Cloud . Se il problema persiste o non è correlato all'accesso, apri un ticket di assistenza per documentare il problema e monitorarne la risoluzione.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.