Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Pertanyaan Umum (FAQ) tentang migrasi SOAR

Didukung di:

Google secops SOAR

Dapatkan jawaban atas pertanyaan umum tentang proses migrasi SOAR. Temukan solusi untuk masalah yang sering terjadi dan praktik terbaik untuk transisi yang berhasil.

Cakupan dan dampak migrasi

T: Mengapa migrasi ini diperlukan?

Kami memodernisasi infrastruktur SOAR dengan melakukan migrasi ke Google Cloud. Upgrade penting ini memberikan manfaat utama, termasuk peningkatan keandalan, peningkatan keamanan, kepatuhan yang lebih baik, dan kontrol akses yang lebih terperinci. Upgrade ini juga memberikan akses ke kemampuan AI Agentic melalui integrasi Model Context Protocol (MCP).

Migrasi ini memberikan hal berikut:

Meningkatkan keandalan dan kemampuan pemantauan SOAR dengan memanfaatkan lapisan API terbaik di kelasnya dari Google. Lapisan ini menyediakan solusi API terkemuka dengan fitur canggih untuk pengelolaan kuota, audit, dan observabilitas.
Membuka Kontrol Akses Berbasis Peran (RBAC) untuk fitur dan data di seluruh platform.
Menyediakan fungsi kepatuhan yang lebih tinggi, seperti Kontrol Layanan VPC, Residensi Data, dan Kunci Enkripsi yang Dikelola Pelanggan (CMEK).

T: Apa cakupan migrasi ini?

Migrasi ini melibatkan komponen berikut:

Memigrasikan project SOAR ke project milik pelanggan Google Cloud .
Memigrasikan autentikasi dan izin SOAR ke Google Cloud IAM.
Memigrasikan API SOAR ke Chronicle API.
Memigrasikan agen jarak jauh.
Migrasi Log Audit SOAR.

T: Apa perubahan langsung setelah migrasi?

Segera setelah migrasi, Anda akan mengalami beberapa perubahan utama:

Kepemilikan Project GCP: Project SOAR Anda akan dimigrasikan dari kepemilikan Google ke project milik pelanggan Anda Google Cloud .
Autentikasi:
- Pelanggan Unified SecOps: Tidak ada perubahan. Autentikasi akan terus dikelola oleh Google Cloud IAM.
- Pelanggan SOAR Standalone: Autentikasi kini akan dikelola oleh Google Cloud IAM. Untuk pengguna yang menggunakan SAML, hal ini berarti mengadopsi Workforce Identity Federation, dan konfigurasi SAML tidak akan lagi disimpan dan dikelola dalam sistem SOAR itu sendiri, sehingga menghasilkan kontrol keamanan yang lebih kuat.
RBAC: Izin pengguna akan menjadi lebih terperinci dan dikelola menggunakan IAM. Peran lingkungan dan SOC akan terus dikelola dalam modul SOAR menggunakan grup Penyedia Identitas (IdP).
Logging Audit: Log audit akan lebih detail dan dikelola dalam **Cloud Audit Logs **.
URL Baru (khusus SOAR): Pengguna SOAR standalone akan menerima URL baru (domain baru) untuk mengakses SOAR.

T: Bagaimana pelanggan / partner diberi tahu tentang migrasi ini?

Pop-up dalam produk ditampilkan untuk semua pelanggan dan partner yang mencakup tanggal migrasi dan link ke formulir yang harus diisi. Mereka akan diminta untuk mengonfirmasi tanggal dan slot waktu migrasi.

T: Apakah biaya infrastruktur kami akan berubah sebagai akibat dari SOAR yang terikat ke Google Cloud project kami?

Tidak, biaya Anda tidak akan terpengaruh. Anda tidak akan mengalami perubahan apa pun di frontend. Tidak ada resource baru yang akan berjalan di project Anda, sehingga tidak ada biaya terkait.

T: Bagaimana cara menghubungkan project kami ke SOAR?

Google akan memigrasikan project SOAR Anda keproject Anda. Google Cloud Jika Anda adalah pelanggan Unified SecOps, kami sudah memilikiproject ID Anda. Google Cloud Jika Anda adalah pelanggan SOAR standalone, Anda harus membagikan Google Cloud project ID Anda kepada kami.

T: Untuk pelanggan yang sudah memiliki deployment Google SecOps, apakah kami harus menggunakan project ID yang sama dengan SIEM, atau apakah kami memerlukan project terpisah?

Untuk deployment Google SecOps terpadu (satu SIEM, satu SOAR), Anda harus menggunakan Google Cloud project ID yang ada dan terkait dengan SIEM Anda. Hal ini memungkinkan pengelolaan alur administratif yang terpadu, seperti RBAC dan log.

T: Untuk instance Google SecOps dengan pertimbangan khusus seperti Kontrol Layanan VPC (VPC SC), langkah apa yang diperlukan?

Untuk mengaktifkan migrasi, Anda harus menentukan aturan Ingress dan Egress dalam kebijakan VPC SC Anda. Jika Google Cloud Project Anda memiliki VPC SC, hubungi tim Dukungan untuk mendapatkan panduan mendetail tentang aturan khusus ini.

Waktu nonaktif dan kontinuitas

T: Apakah ada waktu nonaktif selama migrasi, dan apa dampaknya?

Ya. Waktu nonaktif yang diharapkan adalah sebagai berikut:

Hingga 2 jam untuk pelanggan SOAR standalone.
Hingga 1,5 jam untuk pelanggan Google SecOps.

Selama periode ini, Anda tidak akan dapat login ke platform. Layanan SOAR (termasuk penyerapan, playbook, tugas) akan dijeda, tetapi layanan SIEM akan terus berjalan di latar belakang.

T: Apakah data yang dibuat selama waktu nonaktif akan otomatis diserap setelah layanan SOAR dilanjutkan?

Ya. Setelah sistem kembali online, penyerapan dan playbook akan dilanjutkan dan memproses semua pemberitahuan yang dibuat atau diserap selama waktu nonaktif.

T: Apa yang terjadi pada playbook yang berjalan saat waktu nonaktif dimulai?

Layanan playbook akan dinonaktifkan sebelum migrasi dimulai. Beberapa playbook yang berjalan mungkin gagal dan harus dimulai ulang secara manual atau akan dilanjutkan setelah migrasi selesai.

T: Apakah ada rencana penggantian atau kontingensi jika terjadi masalah selama migrasi?

Ya. Proses migrasi akan menjaga instance SOAR Anda yang ada tetap utuh (meskipun dinonaktifkan). Jika proses migrasi tidak berhasil diselesaikan, kami dapat beralih kembali ke instance Anda yang ada dan menghapus instance baru. Proses penggantian ini memerlukan waktu hingga 30 menit. Kami akan melakukan pengujian ekstensif dan pemantauan ketat, dengan staf siap sedia untuk memastikan migrasi berhasil.

Jika Anda mengalami masalah akses setelah migrasi, kemungkinan Anda memiliki penyiapan autentikasi yang salah. Anda harus berkoordinasi dengan Identitas, IDP, atau Google Cloud administrator Anda untuk menggunakan panduan pemecahan masalah untuk identifikasi dan penyelesaian. Jika masalah berlanjut atau jika tidak terkait dengan akses, buka tiket Dukungan untuk mendokumentasikan masalah dan memantau penyelesaiannya.

T: Kapan saya dapat bermigrasi ke SOAR Endpoint v1 baru di Chronicle API?

Anda dapat bermigrasi ke SOAR endpoint v1 baru di Chronicle API mulai pertengahan Januari 2026.

SOAR API dan Kunci API lama akan tidak digunakan lagi dan tidak akan berfungsi lagi setelah 30 September 2026. Untuk memastikan transisi yang lancar, ikuti dua langkah wajib berikut:

Anda harus menyelesaikan migrasi Grup Izin SOAR ke Cloud IAM terlebih dahulu.
Perbarui skrip dan integrasi yang ada untuk mengganti SOAR API endpoint lama dengan Chronicle API endpoint yang sesuai.

Autentikasi dan izin

T: Bagaimana cara memigrasikan grup izin dan izin SOAR saya?

Anda akan menggunakan skrip migrasi di Google Cloud konsol Anda untuk memigrasikan grup izin yang ada ke peran khusus IAM. Skrip ini juga menetapkan peran khusus kepada pengguna (untuk pelanggan Cloud Identity) atau ke grup IdP (untuk pelanggan Workforce Identity Federation).

T: Bagaimana jika saya lebih memilih untuk tidak memigrasikan grup izin khusus dan hanya menggunakan peran yang telah ditentukan?

Anda dapat memilih untuk tidak ikut migrasi otomatis dan memetakan grup IdP ke peran Cloud IAM secara manual.

T: Kami adalah pelanggan SOAR standalone dengan penyedia SAML khusus dengan autentikasi manual. Jika kami mengubahnya menjadi grup IdP untuk pemetaan IdP, apa dampaknya terhadap akun pengguna yang ada?

Dengan asumsi pengguna Anda yang ada cocok dengan salah satu grup dan izin dipetakan dengan benar, tidak akan ada dampak pada akun pengguna Anda yang sudah ada. Namun, jika pengguna tidak dipetakan ke grup, mereka tidak akan dapat login. Jika izin dipetakan secara berbeda, pengguna akan menerima izin baru berdasarkan pemetaan baru.

T: Apakah ada prasyarat khusus untuk MSSP yang menggunakan beberapa penyedia identitas?

Pelanggan yang telah mengonfigurasi beberapa penyedia identitas di halaman autentikasi eksternal SOAR, harus menentukan Workforce Identity Federation untuk autentikasi dan membuat Workforce Pool terpisah untuk setiap penyedia. Setiap penyedia dikaitkan dengan subdomain yang berbeda. Untuk mengetahui informasi selengkapnya, baca panduan migrasi MSSP.

T: Bagaimana cara mengautentikasi ke Chronicle API?

Ikuti petunjuk di Mengautentikasi ke Chronicle API.

T: Apa IP baru yang diperlukan untuk mengakses SOAR API baru? Anda tidak perlu membuat daftar yang diizinkan untuk alamat IP apa pun guna mengakses Chronicle API. Secara opsional, Anda dapat membuat daftar yang diizinkan untuk rentang alamat IP yang ditunjukkan di sini dan di sini.

Logging dan pemantauan

T: Kami telah menyelesaikan tahap pertama migrasi, tetapi kami tidak melihat log di Cloud Audit Logs Logs.

Log disimpan di platform SOAR setelah tahap pertama migrasi selesai. Log akan tersedia di Google Cloud project Anda setelah tahap kedua migrasi selesai.

T: Apakah pelanggan yang mengirim data SOAR ke instance BigQuery (BQ) Terkelola masih dapat mengakses data BigQuery ini setelah migrasi?

Ya. BigQuery terkelola yang ada akan terus berfungsi.

Logistik dan dukungan

T: Dapatkah saya memilih slot waktu yang berbeda untuk migrasi?

Tidak. Migrasi di luar slot waktu yang disarankan tidak dapat dilakukan.

T: Apakah kami akan menerima pembaruan status real-time selama migrasi?

Anda akan menerima notifikasi email pada awal dan akhir proses migrasi.

T: Siapa yang harus kami hubungi jika terjadi masalah setelah migrasi?

Jika Anda mengalami masalah akses setelah migrasi, kemungkinan penyiapan autentikasi salah. Anda harus berkoordinasi dengan Identitas, IDP, atau Google Cloud administrator Anda untuk menggunakan panduan pemecahan masalah untuk identifikasi dan penyelesaian. Jika masalah berlanjut atau jika tidak terkait dengan akses, buka tiket Dukungan untuk mendokumentasikan masalah dan memantau penyelesaiannya.

Memigrasikan grup izin SOAR ke IAM

Bagian berikut membahas masalah umum yang dihadapi selama dan setelah memigrasikan izin ke IAM.

Masalah skrip dan alat migrasi

T: Mengapa saya tidak dapat melihat atau memuat skrip migrasi di Konsol Google Cloud?

Ada dua kemungkinan alasan untuk hal ini:

Izin tidak ada: Alat migrasi memerlukan akun pengguna Anda untuk memiliki izin yang memadai di Google Cloud instance Google SecOps dan. Pastikan Anda login dengan akun yang memiliki peran IAM yang diperlukan di Google Cloud dan juga merupakan pengguna yang dikenali di Google SecOps SOAR. Menggunakan akun yang berbeda untuk Google Cloud dan SOAR dapat menyebabkan kegagalan otorisasi. Jika Anda memiliki izin yang diperlukan dan masih tidak dapat memuat skrip migrasi, buka tiket Dukungan.
SIEM tidak menggunakan Cloud IAM: Jika Anda adalah pelanggan terpadu Google SecOps, pastikan Anda menggunakan IAM untuk mengelola peran dan izin untuk sisi SIEM platform. Untuk mengetahui informasi selengkapnya, lihat panduan migrasi RBAC lama ke RBAC Fitur.

T: Saya mendapatkan error saat mencoba menjalankan skrip migrasi. Apa yang harus saya lakukan?

Error - "Group does not exist": Saat menggunakan add-iam-policy-binding commands, pastikan Anda menggunakan alamat email grup lengkap (misalnya, your-group@example.com) untuk flag --member, bukan hanya nama grup singkat.
Error terkait peran yang sudah ada: Konflik dapat terjadi saat mengikat ke akun utama yang sudah memiliki pengikatan bersyarat. Untuk mengatasinya, jalankan kembali skrip dan pastikan untuk memilih None , bukan Specify a new condition.

Masalah akses setelah migrasi

T: Mengapa saya mendapatkan error "403 Forbidden" saat mencoba mengakses halaman atau fitur tertentu (seperti Playbook atau IDE) setelah migrasi IAM?

Error 403 setelah migrasi mungkin menunjukkan bahwa peran Google Cloud IAM yang ditetapkan ke pengguna Anda tidak memiliki izin yang diperlukan oleh sisi SOAR platform Google SecOps. Hal ini umum terjadi jika Anda menggunakan peran IAM khusus.

Periksa peran dan izin Google SecOps. Pastikan peran IAM khusus Anda menyertakan semua izin yang diperlukan untuk mengakses fitur SOAR yang diperlukan.

Secara opsional, periksa alat developer browser Anda untuk mengidentifikasi panggilan API tertentu yang menampilkan error 403. Payload respons mendokumentasikan izin yang tidak ada, dan banner notifikasi juga muncul dalam antarmuka yang menjelaskan akses yang diperlukan.

Jika tidak ada solusi ini yang membantu, buka tiket Dukungan.

Izin dan peran

T: Saya melakukan migrasi IAM secara manual tanpa menggunakan alat yang disediakan, dan sekarang saya mengalami masalah izin. Bagaimana cara memperbaikinya?

Migrasi IAM manual terkadang dapat mengakibatkan izin yang diperlukan untuk peran SOAR tidak ada. Sebaiknya gunakan skrip migrasi yang disediakan untuk memastikan semua izin yang diperlukan disiapkan dengan benar. Jika Anda masih berencana melakukan migrasi manual, tinjau dengan cermat izin IAM Google SecOps untuk membuat peran khusus dengan izin yang diperlukan.

T: Beberapa pengguna tampaknya memiliki lebih banyak izin di SOAR daripada yang diharapkan setelah migrasi. Mengapa hal ini terjadi?

Hal ini dapat terjadi jika pengguna atau grup sudah ditetapkan ke peran luas Chronicle yang telah ditentukan sebelum migrasi. Google Cloud Setelah Anda menyelesaikan migrasi, peran yang telah ditentukan Chronicle (seperti chronicle.apiAdmin) akan otomatis menyertakan izin SOAR. Misalnya, peran Admin Chronicle API kini akan menyertakan izin Admin SOAR.

Untuk memastikan akses hak istimewa terendah, ikuti langkah-langkah berikut:

Tinjau peran yang telah ditentukan di halaman Peran IAM, termasuk Admin Chronicle API, untuk mengidentifikasi semua akun utama yang ditetapkan (pengguna dan grup).
Konfirmasi bahwa hanya pengguna yang memerlukan izin SOAR yang ditetapkan ke peran ini.
Untuk membatasi akses SOAR bagi akun utama tertentu, hapus akun utama tersebut dari peran yang telah ditentukan dan tetapkan ke peran khusus yang secara eksplisit mengecualikan izin administrator SOAR.

T: Migrasi berhasil, tetapi saya masih dapat melihat kolom Grup Izin di halaman Pemetaan Grup. Mengapa?

Setelah migrasi berhasil, kolom Grup Izin masih ditampilkan di halaman Pemetaan Grup untuk kompatibilitas mundur. Jangan hapus penetapan ini. Kolom ini akan dihapus pada 30 September 2026 tanpa memengaruhi pelanggan.

Praktik terbaik

Gunakan skrip Migrasi: Jika memungkinkan, gunakan skrip migrasi resmi di Google Cloud untuk menangani transisi dari grup izin SOAR ke peran IAM.
Tinjau Izin IAM: Pahami izin IAM yang diperlukan untuk berbagai fungsi dan peran SOAR. Google Cloud
Uji Secara Menyeluruh: Setelah migrasi, uji akses untuk berbagai peran dan persona pengguna guna memastikan semuanya berfungsi seperti yang diharapkan.
Hubungi Dukungan: Untuk error yang terus-menerus atau perilaku yang tidak terduga, hubungi Dukungan dan berikan detail sebanyak mungkin.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.