Esta página se ha traducido con Cloud Translation API.

Preguntas frecuentes sobre la migración de SOAR

Disponible en:

Operaciones de seguridad de Google SOAR

Consulta las respuestas a preguntas frecuentes sobre el proceso de migración de SOAR. Encuentra soluciones a problemas frecuentes y prácticas recomendadas para que la transición sea todo un éxito.

Ámbito e impacto de la migración

P: ¿Por qué es necesaria esta migración?

Vamos a modernizar la infraestructura de SOAR migrando a Google Cloud. Esta actualización crítica ofrece ventajas clave, como una mayor fiabilidad, una seguridad mejorada, un mayor cumplimiento y un control de acceso más granular. También da acceso a las funciones de IA basadas en agentes mediante la integración de Model Context Protocol (MCP).

La migración proporciona lo siguiente:

Mejora la fiabilidad y las funciones de monitorización de SOAR gracias a la mejor capa de APIs de Google. Esta capa proporciona una solución de API líder con funciones avanzadas de gestión de cuotas, auditoría y observabilidad.
Desbloquea el control de acceso basado en roles (RBAC) para las funciones y los datos de toda la plataforma.
Ofrece funciones de cumplimiento más avanzadas, como Controles de Servicio de VPC, residencia de datos y claves de cifrado gestionadas por el cliente (CMEK).

P: ¿Cuál es el ámbito de la migración?

La migración implica los siguientes componentes:

Migrar un proyecto de SOAR a un proyecto de Google Cloud propiedad del cliente.
Migrar la autenticación y los permisos de SOAR a Google Cloud IAM.
Migrar APIs de SOAR a la API de Chronicle.
Migrar agentes remotos.
Migración de registros de auditoría de SOAR.

P: ¿Qué cambios se producen inmediatamente después de la migración?

Inmediatamente después de la migración, notarás varios cambios importantes:

Propiedad del proyecto de GCP: tu proyecto de SOAR se migrará de la propiedad de Google al proyecto de tu cliente. Google Cloud
Autenticación:
- Clientes de SecOps unificado: no hay ningún cambio. La autenticación seguirá gestionándose mediante la gestión de identidades y accesos de Google Cloud .
- Clientes de SOAR independiente: la autenticación ahora se gestionará mediante Google Cloud gestión de identidades y accesos. En el caso de los usuarios que utilicen SAML, esto significa adoptar la federación de identidades de Workforce, y la configuración de SAML dejará de almacenarse y gestionarse en el propio sistema SOAR, lo que dará lugar a controles de seguridad más sólidos.
RBAC: los permisos de usuario serán más granulares y se gestionarán mediante IAM. Los entornos y los roles de SOC se seguirán gestionando en el módulo SOAR mediante grupos de proveedores de identidades (IdPs).
Registro de auditoría: los registros de auditoría serán más detallados y se gestionarán en **Registros de auditoría de Cloud **.
Nueva URL (solo para SOAR): los usuarios independientes de SOAR recibirán una nueva URL (nuevo dominio) para acceder a SOAR.

P: ¿Cómo se les está notificando esta migración a los clientes y partners?

Se muestra una ventana emergente en el producto a todos los clientes y partners, que incluye la fecha de migración y un enlace a un formulario que deben rellenar. Se le pedirá que confirme la fecha y la hora de la migración.

P: ¿Cambiarán nuestros costes de infraestructura como resultado de que SOAR esté vinculado a nuestro proyecto Google Cloud ?

No, tus costes no se verán afectados. No deberías notar ningún cambio en el frontend. No se ejecutará ningún recurso nuevo en tu proyecto, por lo que no habrá costes asociados.

P: ¿Cómo conectamos nuestro proyecto a SOAR?

Google migrará tu proyecto de SOAR a tu proyecto de Google Cloud . Si eres cliente de Unified SecOps, ya tenemos tu ID de proyecto Google Cloud . Si eres cliente independiente de SOAR, tendrás que compartir tu Google Cloud ID de proyecto con nosotros.

P: Si un cliente ya ha implementado Google SecOps, ¿debe usar el mismo ID de proyecto que el SIEM o necesita un proyecto independiente?

En el caso de una implementación unificada de Google SecOps (un SIEM y un SOAR), debes usar el ID de proyecto asociado a tu SIEM. Google Cloud Esto permite gestionar de forma unificada los flujos administrativos, como el control de acceso basado en roles y los registros.

P: ¿Qué pasos hay que seguir en las instancias de Google SecOps con consideraciones especiales, como Controles de Servicio de VPC (VPC SC)?

Para habilitar la migración, deberá definir reglas de entrada y de salida en su política de SC de VPC. Si tu Google Cloud proyecto tiene un perímetro de seguridad de VPC, ponte en contacto con el equipo de Asistencia para obtener instrucciones detalladas sobre estas reglas específicas.

Tiempo de inactividad y continuidad

P: ¿Hay algún periodo de inactividad durante la migración? ¿Cómo afecta?

Sí. El tiempo de inactividad previsto es el siguiente:

Hasta 2 horas para los clientes de SOAR independiente.
Hasta 1,5 horas para los clientes de Google SecOps.

Durante este periodo, no podrás iniciar sesión en la plataforma. Los servicios de SOAR (incluidos la ingesta, los cuadernos de estrategias y los trabajos) se pausarán, pero los servicios de SIEM seguirán ejecutándose en segundo plano.

P: ¿Los datos generados durante el tiempo de inactividad se incorporarán automáticamente una vez que se reanuden los servicios de SOAR?

Sí. Cuando el sistema vuelva a estar online, se reanudarán la ingesta y los cuadernos de estrategias, y se procesarán las alertas que se hayan generado o ingerido durante el tiempo de inactividad.

P: ¿Qué ocurre con los manuales que se están ejecutando cuando empieza el tiempo de inactividad?

El servicio de guías se desactivará antes de que empiece la migración. Es posible que algunas guías en ejecución fallen y deban reiniciarse manualmente o se reanuden una vez completada la migración.

P: ¿Hay un plan de reversión o de contingencia si algo sale mal durante la migración?

Sí. El proceso de migración mantiene intacta tu instancia de SOAR (aunque esté desactivada). Si el proceso de migración no se completa correctamente, podemos volver a tu instancia y eliminar la nueva. Este proceso de reversión tarda hasta 30 minutos. Realizaremos pruebas exhaustivas y una monitorización minuciosa, con personal de guardia disponible para asegurar que la migración se realice correctamente.

Si tienes problemas de acceso después de la migración, es probable que la autenticación no esté configurada correctamente. Deberás coordinarte con tu administrador de identidades, IdP o Google Cloud para usar la guía para solucionar problemas para identificar y resolver el problema. Si el problema persiste o no está relacionado con el acceso, abre una incidencia de asistencia para documentar el problema y monitorizar su resolución.

P: ¿Cuándo puedo migrar a los nuevos endpoints de SOAR v1 en la API de Chronicle?

Puedes migrar a los nuevos endpoints de SOAR v1 en la API de Chronicle a partir de mediados de enero del 2026, durante el lanzamiento de la disponibilidad general. Te recomendamos que esperes hasta enero del 2026 para disfrutar de una experiencia de migración más fiable y estable. Si quieres, puedes solicitar acceso a la versión preliminar privada para usar los endpoints alfa de la versión 1 de SOAR en la API de Chronicle a partir del 24 de noviembre del 2025.

La API SOAR antigua y las claves de API se retirarán y dejarán de funcionar después del 30 de junio del 2026. Para que la transición sea fluida, sigue estos dos pasos obligatorios:

Primero debe completar la migración de los grupos de permisos de SOAR a Gestión de Identidades y Accesos de Cloud.
Actualiza tus secuencias de comandos e integraciones para sustituir los endpoints de la API SOAR antigua por los endpoints de la API Chronicle correspondientes.

Autenticación y permisos

P: ¿Cómo migro mis grupos y permisos de SOAR?

Usarás una secuencia de comandos de migración en tu consola Google Cloud para migrar los grupos de permisos a roles personalizados de gestión de identidades y accesos. La secuencia de comandos también asigna roles personalizados a los usuarios (en el caso de los clientes de Cloud Identity) o a los grupos de proveedores de identidades (en el caso de los clientes de la federación de identidades de Workforce).

P: ¿Qué ocurre si prefiero no migrar grupos de permisos personalizados y solo usar roles predefinidos?

Puedes inhabilitar la migración automática y asignar manualmente grupos de proveedores de identidades a roles de gestión de identidades y accesos de Cloud.

P: Somos clientes independientes de SOAR con un proveedor de SAML personalizado con autenticación manual. Si cambiamos a grupos de IdP para la asignación de IdP, ¿cómo afectará a las cuentas de usuario actuales?

Si tus usuarios actuales coinciden con uno de los grupos y los permisos se han asignado correctamente, no debería haber ningún impacto en tus cuentas de usuario. Sin embargo, si los usuarios no están asignados a grupos, no podrán iniciar sesión. Si los permisos se asignan de forma diferente, los usuarios recibirán nuevos permisos en función de la nueva asignación.

P: ¿Hay requisitos específicos para los MSSPs que usan varios proveedores de identidades?

Los clientes que hayan configurado varios proveedores de identidades en la página de autenticación externa de SOAR deben definir la federación de identidades de los empleados para la autenticación y crear un grupo de empleados independiente para cada proveedor. Cada proveedor está asociado a un subdominio diferente. Para obtener más información, consulta la guía de migración de proveedores de servicios de software malicioso.

P: ¿Cómo me autentico en la API Chronicle?

Sigue las instrucciones que se indican en Autenticar en la API de Chronicle.

P: ¿Cuáles son las nuevas IPs necesarias para acceder a la nueva API SOAR? No es necesario incluir ninguna dirección IP en una lista de permitidas para acceder a la API de Chronicle. De forma opcional, puedes incluir en la lista de permitidas el intervalo de direcciones IP indicado aquí y aquí.

Almacenamiento de registros y monitorización

P: Hemos completado la primera fase de la migración, pero no vemos los registros en los registros de auditoría de Cloud.

Los registros se almacenan en la plataforma SOAR una vez completada la primera fase de la migración. Los registros estarán disponibles en tu proyecto Google Cloud una vez que se haya completado la segunda fase de la migración.

P: ¿Podrán los clientes que envíen datos de SOAR a una instancia de BigQuery (BQ) gestionada seguir accediendo a estos datos de BigQuery después de la migración?

Sí. El BigQuery gestionado seguirá funcionando.

Logística y asistencia

P: ¿Puedo elegir otra franja horaria para la migración?

No. No es posible migrar fuera de los periodos sugeridos.

P: ¿Recibiremos actualizaciones de estado en tiempo real durante la migración?

Recibirás una notificación por correo electrónico al inicio y al final del proceso de migración.

P: ¿Con quién debemos ponernos en contacto si surge algún problema después de la migración?

Si tienes problemas de acceso después de la migración, es probable que la configuración de la autenticación sea incorrecta. Deberás coordinarte con tu administrador de identidades, IdP o Google Cloud para usar la guía para solucionar problemas para identificar y resolver el problema. Si el problema persiste o no está relacionado con el acceso, abre una incidencia de asistencia para documentar el problema y monitorizar su resolución.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.