SOAR 마이그레이션에 관한 자주 묻는 질문(FAQ)

다음에서 지원:

SOAR 마이그레이션 프로세스에 관한 일반적인 질문 및 답변을 확인하세요. 원활한 전환을 위한 자주 발생하는 문제 및 권장사항의 해결 방법을 알아보세요.

마이그레이션 범위 및 영향

Q: 이 마이그레이션이 필요한 이유는 무엇인가요?

Google은 로 마이그레이션하여 SOAR 인프라를 현대화하고 있습니다. Google Cloud 이 중요한 업그레이드는 향상된 안정성, 개선된 보안, 향상된 규정 준수, 더 세분화된 액세스 제어 등 주요 이점을 제공합니다. 또한 모델 컨텍스트 프로토콜 (MCP) 통합을 통해 에이전트 AI 기능에 액세스할 수 있습니다.

마이그레이션은 다음을 제공합니다.

  • Google의 동급 최고의 API 레이어를 활용하여 SOAR의 안정성과 모니터링 기능을 개선합니다. 이 레이어는 할당량 관리, 감사, 모니터링 가능성을 위한 고급 기능을 갖춘 선도적인 API 솔루션을 제공합니다.
  • 전체 플랫폼에서 기능 및 데이터에 대한 역할 기반 액세스 제어 (RBAC)를 지원합니다.
  • VPC 서비스 제어, 데이터 상주, 고객 관리 암호화 키 (CMEK)와 같은 더 높은 규정 준수 기능을 제공합니다.

Q: 마이그레이션의 범위는 무엇인가요?

마이그레이션에는 다음 구성요소가 포함됩니다.

  • SOAR 프로젝트를 고객 소유 Google Cloud 프로젝트로 마이그레이션합니다.
  • SOAR 인증 및 권한을 Google Cloud IAM으로 마이그레이션합니다.
  • SOAR API를 Chronicle API로 마이그레이션합니다.
  • 원격 에이전트를 마이그레이션합니다.
  • SOAR 감사 로그를 마이그레이션합니다.

Q: 마이그레이션 후 즉시 변경되는 사항은 무엇인가요?

마이그레이션 직후 다음과 같은 주요 변경사항이 적용됩니다.

  • GCP 프로젝트 소유권: SOAR 프로젝트가 Google의 소유권에서 고객 소유 프로젝트로 마이그레이션됩니다. Google Cloud
  • 인증:
    • 통합 SecOps 고객: 변경사항이 없습니다. 인증은 계속해서 by Google Cloud IAM에서 관리됩니다.
    • SOAR 독립형 고객: 이제 인증이 Google Cloud IAM에서 관리됩니다. SAML을 사용하는 사용자의 경우 직원 ID 제휴를 채택해야 하며 SAML 구성은 더 이상 SOAR 시스템 자체 내에 저장되고 관리되지 않으므로 보안 제어가 강화됩니다.
  • RBAC: 사용자 권한이 더 세분화되고 IAM을 사용하여 관리됩니다. 환경 및 SOC 역할은 ID 공급업체 (IdP) 그룹을 사용하여 SOAR 모듈 내에서 계속 관리됩니다.
  • 감사 로깅: 감사 로그가 더 자세해지고 **Cloud 감사 로그 ** 내에서 관리됩니다.
  • 새 URL (SOAR만 해당): SOAR 독립형 사용자는 SOAR에 액세스하기 위한 새 URL (새 도메인)을 받게 됩니다.

Q: 고객 / 파트너에게 이 마이그레이션에 대한 알림이 전송되는 방식은 무엇인가요?

마이그레이션 날짜와 작성할 양식 링크가 포함된 제품 내 팝업이 모든 고객과 파트너에게 표시됩니다. 마이그레이션 날짜와 시간대를 확인하라는 메시지가 표시됩니다.

Q: SOAR이 프로젝트에 바인딩되면 인프라 비용이 변경되나요? Google Cloud

아니요. 비용은 영향을 받지 않습니다. 프런트엔드에는 변경사항이 없습니다. 프로젝트에서 새 리소스가 실행되지 않으므로 관련 비용이 발생하지 않습니다.

Q: 프로젝트를 SOAR에 연결하려면 어떻게 해야 하나요?

Google은 SOAR 프로젝트를 Google Cloud 프로젝트로 마이그레이션합니다. 통합 SecOps 고객인 경우 이미 프로젝트 ID가 있습니다. Google Cloud SOAR 독립형 고객인 경우 Google Cloud 프로젝트 ID를 Google에 공유해야 합니다.

Q: 이미 Google SecOps 배포가 있는 고객의 경우 SIEM과 동일한 프로젝트 ID를 사용해야 하나요 아니면 별도의 프로젝트가 필요한가요?

통합 Google SecOps 배포 (SIEM 1개, SOAR 1개)의 경우 SIEM과 연결된 기존 프로젝트 ID를 사용해야 합니다 Google Cloud . 이렇게 하면 RBAC 및 로그와 같은 관리 흐름을 통합 관리할 수 있습니다.

Q: VPC 서비스 제어 (VPC SC)와 같은 특별한 고려사항이 있는 Google SecOps 인스턴스의 경우 어떤 단계를 거쳐야 하나요?

마이그레이션을 사용 설정하려면 VPC SC 정책 내에서 인그레스 및 이그레스 규칙을 모두 정의해야 합니다. 프로젝트에 VPC SC가 있는 경우 지원팀에 문의하여 이러한 특정 규칙에 관한 자세한 안내를 받으세요. Google Cloud

다운타임 및 연속성

Q: 마이그레이션 중에 다운타임이 있나요? 있다면 어떤 영향을 미치나요?

예. 예상되는 다운타임은 다음과 같습니다.

  • SOAR 독립형 고객의 경우 최대 2시간
  • Google SecOps 고객의 경우 최대 1.5시간

이 기간에는 플랫폼에 로그인할 수 없습니다. 수집, 플레이북, 작업을 포함한 SOAR 서비스는 일시중지되지만 SIEM 서비스는 백그라운드에서 계속 실행됩니다.

Q: 다운타임 중에 생성된 데이터는 SOAR 서비스가 재개되면 자동으로 수집되나요?

예. 시스템이 다시 온라인 상태가 되면 수집 및 플레이북이 재개되고 다운타임 중에 생성되거나 수집된 모든 알림이 처리됩니다.

Q: 다운타임이 시작될 때 실행 중인 플레이북은 어떻게 되나요?

마이그레이션이 시작되기 전에 플레이북 서비스가 사용 중지되며 일부 실행 중인 플레이북이 실패할 수 있습니다. 이러한 플레이북은 수동으로 다시 시작하거나 마이그레이션이 완료된 후에 재개해야 합니다.

Q: 마이그레이션 중에 문제가 발생할 경우 롤백 또는 비상 계획이 있나요?

예. 마이그레이션 프로세스는 기존 SOAR 인스턴스를 완전히 그대로 유지합니다 (사용 중지됨). 마이그레이션 프로세스가 완료되지 않으면 기존 인스턴스로 다시 전환하고 새 인스턴스를 삭제할 수 있습니다. 이 롤백 프로세스는 최대 30분이 소요됩니다. Google은 광범위한 테스트와 면밀한 모니터링을 수행하며, 마이그레이션이 성공적으로 완료되도록 대기 중인 직원에게 연락할 수 있습니다.

마이그레이션 후 액세스 문제가 발생하면 인증 설정이 잘못된 것일 수 있습니다. 문제 해결 가이드를 사용하여 식별 및 해결하려면 ID, IdP 또는 Google Cloud 관리자와 협력해야 합니다. 문제가 계속되거나 액세스와 관련이 없는 경우 지원 티켓을 열어 문제를 문서화하고 해결 과정을 모니터링하세요.

Q: Chronicle API의 새 SOAR 엔드포인트 v1로 언제 마이그레이션할 수 있나요?

2026년 1월 중순부터 Chronicle API의 새 SOAR 엔드포인트 v1로 마이그레이션할 수 있습니다.

기존 SOAR API 및 API 키는 지원 중단되며 2026년 9월 30일 이후에는 더 이상 작동하지 않습니다. 원활한 전환을 위해 다음 두 가지 필수 단계를 따르세요.

  1. 먼저 SOAR 권한 그룹을 Cloud IAM으로 마이그레이션해야 합니다.
  2. 기존 스크립트와 통합을 업데이트하여 기존 SOAR API 엔드포인트를 상응하는 Chronicle API 엔드포인트로 바꿉니다.

인증 및 권한

Q: SOAR 권한 그룹과 권한을 마이그레이션하려면 어떻게 해야 하나요?

콘솔에서 마이그레이션 스크립트를 사용하여 기존 권한 그룹을 IAM 커스텀 역할로 마이그레이션합니다. Google Cloud 스크립트는 사용자 (Cloud ID 고객의 경우) 또는 IdP 그룹 (직원 ID 제휴 고객의 경우)에 커스텀 역할을 할당하기도 합니다.

Q: 커스텀 권한 그룹을 마이그레이션하지 않고 사전 정의된 역할만 사용하려면 어떻게 해야 하나요?

자동 마이그레이션을 선택 해제하고 IdP 그룹을 Cloud IAM 역할에 수동으로 매핑할 수 있습니다.

Q: Google은 수동 인증을 사용하는 커스텀 SAML 제공업체가 있는 SOAR 독립형 고객입니다. 이를 IdP 매핑을 위한 IdP 그룹으로 변경하면 기존 사용자 계정에 어떤 영향을 미치나요?

기존 사용자가 그룹 중 하나와 일치하고 권한이 올바르게 매핑된 경우 기존 사용자 계정에 영향을 미치지 않습니다. 하지만 사용자가 그룹에 매핑되지 않으면 로그인할 수 없습니다. 권한이 다르게 매핑되면 사용자는 새 매핑을 기반으로 새 권한을 받게 됩니다.

Q: 여러 ID 공급업체를 사용하는 MSSP에 관한 특정 사전 요구사항이 있나요?

SOAR 외부 인증 페이지에서 여러 ID 공급업체를 구성한 고객은 인증을 위한 직원 ID 제휴를 정의하고 각 제공업체에 대해 별도의 직원 풀을 만들어야 합니다. 각 제공업체는 서로 다른 하위 도메인과 연결됩니다. 자세한 내용은 MSSP 마이그레이션 가이드를 참고하세요.

Q: Chronicle API에 사용자 인증을 하려면 어떻게 해야 하나요?

Chronicle API 인증의 안내를 따르세요.

Q: 새 SOAR API에 액세스하는 데 필요한 새 IP는 무엇인가요? Chronicle API에 액세스하기 위해 IP 주소를 허용 목록에 추가할 필요는 없습니다. 선택적으로 여기여기에 표시된 IP 주소 범위를 허용 목록에 추가할 수 있습니다.

로깅 및 모니터링

Q: 마이그레이션의 첫 번째 단계를 완료했지만 Cloud 감사 로그 로그에 로그가 표시되지 않습니다.

로그는 첫 번째 마이그레이션 단계가 완료된 후 SOAR 플랫폼에 저장됩니다. 로그는 두 번째 마이그레이션 단계가 완료된 후 Google Cloud 프로젝트에서 사용할 수 있게 됩니다.

Q: 관리형 BigQuery (BQ) 인스턴스로 SOAR 데이터를 전송하는 고객은 마이그레이션 후에도 이 BigQuery 데이터에 계속 액세스할 수 있나요?

예. 기존 관리형 BigQuery는 계속 작동합니다.

물류 및 지원

Q: 마이그레이션에 다른 시간대를 선택할 수 있나요?

아니요. 권장 시간대 외에 마이그레이션하는 것은 불가능합니다.

Q: 마이그레이션 중에 실시간 상태 업데이트를 받게 되나요?

마이그레이션 프로세스의 시작과 끝에 이메일 알림이 전송됩니다.

Q: 마이그레이션 후 문제가 발생하면 누구에게 문의해야 하나요?

마이그레이션 후 액세스 문제가 발생하면 인증 설정이 잘못된 것일 수 있습니다. 문제 해결 가이드를 사용하여 식별 및 해결하려면 ID, IdP 또는 Google Cloud 관리자와 협력해야 합니다. 문제가 계속되거나 액세스와 관련이 없는 경우 지원 티켓을 열어 문제를 문서화하고 해결 과정을 모니터링하세요.

SOAR 권한 그룹을 IAM으로 마이그레이션

다음 섹션에서는 권한을 IAM으로 마이그레이션하는 동안 및 마이그레이션 후에 발생하는 일반적인 문제를 다룹니다.

마이그레이션 도구 및 스크립트 문제

Q: Google Cloud 콘솔에서 마이그레이션 스크립트를 보거나 로드할 수 없는 이유는 무엇인가요?

이러한 문제가 발생하는 데는 두 가지 이유가 있을 수 있습니다.

  • 권한 누락: 마이그레이션 도구를 사용하려면 사용자 계정에 Google Cloud 및 Google SecOps 인스턴스 모두에서 충분한 권한이 있어야 합니다. 에 필요한 IAM 역할이 있고 Google SecOps SOAR에서 인식되는 사용자이기도 한 계정으로 로그인해야 합니다. Google Cloud Google Cloud 및 SOAR에 다른 계정을 사용하면 승인 실패가 발생할 수 있습니다. 필요한 권한이 있는데도 마이그레이션 스크립트를 로드할 수 없는 경우 지원 티켓을 여세요.

  • SIEM에서 Cloud IAM을 사용하지 않음: Google SecOps 통합 고객인 경우 IAM을 사용하여 플랫폼의 SIEM 측면의 역할과 권한을 관리해야 합니다. 자세한 내용은 기존 RBAC에서 기능 RBAC 마이그레이션 가이드를 참고하세요.

Q 마이그레이션 스크립트를 실행하려고 할 때 오류가 발생합니다. 어떻게 해야 하나요?

  • 오류 - '그룹이 존재하지 않음': add-iam-policy-binding commands를 사용할 때는 짧은 그룹 이름이 아닌 전체 그룹 이메일 주소 (예: your-group@example.com)를 --member 플래그에 사용해야 합니다.

  • 기존 역할 관련 오류: 조건부 바인딩이 이미 있는 주 구성원에 바인딩할 때 충돌이 발생할 수 있습니다. 이 문제를 해결하려면 스크립트를 다시 실행하고 새 조건 지정 대신 없음 을 선택해야 합니다.

마이그레이션 후 액세스 문제

Q: IAM 마이그레이션 후 특정 페이지 또는 기능 (예: 플레이북 또는 IDE)에 액세스하려고 할 때 '403 Forbidden' 오류가 발생하는 이유는 무엇인가요?

마이그레이션 후 403 오류는 사용자에게 할당된 Google Cloud IAM 역할에 Google SecOps 플랫폼의 SOAR 측면에서 필요한 권한이 누락되었음을 나타낼 수 있습니다. 커스텀 IAM 역할을 사용하는 경우에 흔히 발생합니다.

Google SecOps 역할 및 권한을 확인하세요. 커스텀 IAM 역할에 필요한 SOAR 기능에 액세스하는 데 필요한 모든 권한이 포함되어 있는지 확인합니다.

선택적으로 브라우저의 개발자 도구를 검사하여 403 오류를 반환하는 특정 API 호출을 식별할 수 있습니다. 응답 페이로드에는 누락된 권한이 문서화되어 있으며 인터페이스 내에 필요한 액세스 권한을 자세히 설명하는 알림 배너도 표시됩니다.

이러한 해결 방법으로도 문제가 해결되지 않으면 지원 티켓을 여세요.

권한 및 역할

Q: 제공된 도구를 사용하지 않고 IAM 마이그레이션을 수동으로 실행했는데 이제 권한 문제가 발생합니다. 이 문제를 해결하려면 어떻게 해야 하나요?

수동 IAM 마이그레이션을 실행하면 SOAR 역할에 필요한 권한이 누락될 수 있습니다. 제공된 마이그레이션 스크립트를 사용하여 필요한 모든 권한이 올바르게 설정되도록 하는 것이 좋습니다. 수동 마이그레이션을 계속 실행하려면 Google SecOps IAM 권한을 주의 깊게 검토하여 필요한 권한이 있는 커스텀 역할을 만드세요.

Q: 일부 사용자에게 마이그레이션 후 예상보다 더 많은 SOAR 권한이 있는 것 같습니다. 이러한 문제가 발생하는 이유는 무엇인가요?

마이그레이션 전에 사용자 또는 그룹이 이미 사전 정의된 Chronicle 광범위 Google Cloud 역할에 할당된 경우 이러한 문제가 발생할 수 있습니다. 마이그레이션을 완료하면 chronicle.apiAdmin과 같은 Chronicle 사전 정의된 역할에 SOAR 권한이 자동으로 포함됩니다. 예를 들어 Chronicle API 관리자 역할에 이제 SOAR 관리자 권한이 포함됩니다.

최소 권한 액세스를 보장하려면 다음 단계를 따르세요.

  1. Chronicle API 관리자를 포함하여 IAM 역할 페이지에서 사전 정의된 역할을 검토하여 할당된 모든 주 구성원 (사용자 및 그룹)을 식별합니다.
  2. SOAR 권한이 필요한 사용자만 이러한 역할에 할당되었는지 확인합니다.
  3. 특정 보안 주체의 SOAR 액세스를 제한하려면 사전 정의된 역할에서 보안 주체를 삭제하고 SOAR 관리자 권한을 명시적으로 제외하는 맞춤 역할에 보안 주체를 할당합니다.

Q: 마이그레이션이 완료되었지만 그룹 매핑 페이지에 권한 그룹 열이 계속 표시됩니다. 이러한 문제가 발생하는 이유는 무엇인가요?

마이그레이션이 완료되면 이전 버전과의 호환성을 위해 그룹 매핑 페이지에 권한 그룹 열이 계속 표시됩니다. 이러한 할당을 삭제하지 마세요. 이 열은 고객에게 영향을 미치지 않고 2026년 9월 30일에 삭제됩니다.

권장사항

  • 마이그레이션 스크립트 사용: 가능하면 공식 마이그레이션 스크립트를 사용하여 SOAR 권한 그룹에서 IAM 역할로 전환하세요. Google Cloud
  • IAM 권한 검토: 다양한 SOAR 기능 및 역할에 필요한 Google Cloud IAM 권한을 숙지하세요.
  • 철저한 테스트: 마이그레이션 후 다양한 사용자 역할 및 페르소나에 대한 액세스를 테스트하여 모든 것이 예상대로 작동하는지 확인합니다.
  • 지원팀에 문의: 지속적인 오류 또는 예기치 않은 동작이 발생하면 지원팀에 문의하고 최대한 자세한 내용을 제공하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.