有关 SOAR 迁移的常见问题解答

支持的平台:

获取有关 SOAR 迁移流程的常见问题解答。查找常见问题的解决方案,并了解成功过渡的最佳实践。

迁移范围和影响

问:为什么必须进行此次迁移?

我们正在通过迁移到 Google Cloud来对 SOAR 基础架构进行现代化改造。 此重大升级可带来诸多好处,包括增强可靠性、提高安全性、提升合规性以及实现更精细的访问权限控制。它还通过 Model Context Protocol (MCP) 集成提供对 Agentic AI 功能的访问权限。

迁移提供以下功能:

  • 利用 Google 顶尖的 API 层,增强 SOAR 的可靠性和监控功能。此层提供领先的 API 解决方案,其中包含用于配额管理、审核和可观测性的高级功能。
  • 解锁整个平台的功能和数据的基于角色的访问权限控制 (RBAC)。
  • 提供更高的合规性功能,例如 VPC Service Controls、数据驻留和客户管理的加密密钥 (CMEK)。

问:迁移范围是什么?

迁移涉及以下组件:

  • 将 SOAR 项目迁移到客户拥有的 Google Cloud 项目。
  • 将 SOAR 身份验证和权限迁移到 Google Cloud IAM。
  • 将 SOAR API 迁移到 Chronicle API。
  • 迁移远程代理。
  • SOAR 审核日志的迁移。

问:迁移后会立即发生哪些变化?

迁移完成后,您会立即感受到以下几项重大变化:

  • GCP 项目所有权:您的 SOAR 项目将从 Google 所有权迁移到客户拥有的 Google Cloud 项目。
  • 身份验证
    • 统一 SecOps 客户:无变化。身份验证将继续由 Google Cloud IAM 管理。
    • SOAR 独立版客户:身份验证现在将由 Google Cloud IAM 管理。对于使用 SAML 的用户,这意味着采用员工身份联合,并且 SAML 配置将不再存储在 SOAR 系统本身中并由其管理,从而实现更强大的安全控制。
  • RBAC:用户权限将更加精细,并使用 IAM 进行管理。环境和 SOC 角色将继续在 SOAR 模块中使用身份提供方 (IdP) 群组进行管理。
  • 审核日志记录:审核日志将更加详细,并将在 **Cloud Audit Logs ** 中进行管理。
  • 新网址(仅限 SOAR):SOAR 独立用户将收到一个用于访问 SOAR 的新网址(新网域)。

问:如何通知客户 / 合作伙伴此次迁移?

系统会向所有客户和合作伙伴显示产品内弹出式窗口,其中包含迁移日期以及指向待填写的表单的链接。系统会提示他们确认迁移日期和时间段。

问:将 SOAR 绑定到我们的 Google Cloud 项目后,我们的基础架构费用是否会发生变化?

不会,您的费用不会受到影响。您应该不会在前端看到任何变化。您的项目中不会运行任何新资源,因此不会产生相关费用。

问:如何将项目与 SOAR 相关联?

Google 会将您的 SOAR 项目迁移到您的 Google Cloud 项目。如果您是 Unified SecOps 客户,我们已经有您的 Google Cloud 项目 ID。如果您是 SOAR 独立版客户,则需要向我们提供您的 Google Cloud 项目 ID。

问:对于已部署 Google SecOps 的客户,我们应该使用与 SIEM 相同的项目 ID,还是需要单独的项目?

对于统一的 Google SecOps 部署(一个 SIEM,一个 SOAR),您应使用与 SIEM 关联的现有 Google Cloud 项目 ID。这样一来,就可以统一管理 RBAC 和日志等管理流程。

问:对于具有特殊注意事项(例如 VPC Service Controls [VPC SC])的 Google SecOps 实例,需要执行哪些步骤?

如需启用迁移,您需要在 VPC SC 政策中同时定义入站和出站规则。如需详细了解这些具体规则,请与支持团队联系。

停机时间和连续性

问:迁移期间是否会停机?停机会带来哪些影响?

可以。预期停机时间如下:

  • 对于 SOAR 独立版客户,最长为 2 小时。
  • Google SecOps 客户最长可享受 1.5 小时的支持服务。

在此期间,您将无法登录该平台。SOAR 服务(包括提取、剧本、作业)将暂停,但 SIEM 服务将在后台继续运行。

问:SOAR 服务恢复后,停机期间生成的数据是否会自动提取?

可以。系统恢复在线状态后,数据提取和 playbook 将恢复,并处理停机期间生成或提取的任何提醒。

问:停机开始时正在运行的策略方案会怎么样?

在迁移开始之前,playbook 服务将被关闭,一些正在运行的 playbook 可能会失败,需要手动重启或在迁移完成后恢复。

问:如果迁移期间出现问题,是否有回滚或应急方案?

可以。迁移过程会使现有 SOAR 实例保持完全完整(但处于关闭状态)。 如果迁移过程未成功完成,我们可以切换回现有实例并移除新实例。此回滚过程最多需要 30 分钟。我们将进行广泛的测试和密切的监控,并安排随叫随到的工作人员随时待命,以确保成功迁移。

问:何时可以迁移到 Chronicle API 中的新 SOAR 端点?

自 2025 年 11 月 1 日起,您可以抢先体验 Chronicle API V1 Beta 版中的全新 SOAR 端点。自 2026 年 1 月 1 日起,您将可以公开访问 Chronicle API V1。 您需要先完成从 SOAR 权限组到 Cloud IAM 的迁移,然后才能从旧版 SOAR API 进行迁移。 您必须更新脚本和集成,将 SOAR API 端点替换为相应的 Chronicle API 端点。 旧版 SOAR API 和 API 密钥将一直正常运行到 2026 年 6 月 30 日,

身份验证和权限

问:如何迁移 SOAR 权限组和权限?

我们正在准备一个迁移向导,以便您在 Google Cloud 控制台中使用该向导将现有权限组迁移到 IAM 自定义角色。该脚本还会向用户(对于 Cloud Identity 客户)或 IdP 群组(对于员工身份联合客户)分配自定义角色。

问:如果我不想迁移自定义权限组,只想使用预定义角色,该怎么办?

您可以选择不进行自动迁移,而是手动将 IdP 群组映射到 Cloud IAM 角色。

问:我们是 SOAR 独立客户,使用自定义 SAML 提供商进行手动身份验证。如果我们将其更改为 IdP 映射的 IdP 群组,会对现有用户账号产生什么影响?

假设您的现有用户与某个群组匹配,并且权限映射正确,那么您的现有用户账号应该不会受到任何影响。不过,如果用户未映射到群组,则无法登录。 如果权限映射方式不同,用户将根据新的映射获得新的权限。

问:使用多个身份提供方的 MSSP 是否需要满足特定前提条件?

如果客户在 SOAR 外部身份验证页面上配置了多个身份提供方,则应为身份验证定义员工身份联合,并为每个提供方创建一个单独的员工身份池。每个提供商都将与不同的子网域相关联。

日志记录和监控

问:我们已完成迁移的第一阶段,但在 Cloud Audit Logs 日志中看不到日志。

在完成第一个迁移阶段后,日志会存储在 SOAR 平台中。在完成第二阶段的迁移后,您可以在 Google Cloud 项目中查看日志。

问:将 SOAR 数据发送到受管 BigQuery (BQ) 实例的客户在迁移后是否仍能访问此 BigQuery 数据?

可以。现有的托管 BigQuery 将继续正常运行。

物流和支持

问:我可以为迁移选择其他时间段吗?

不可以。无法在建议的时间段之外进行迁移。

问:在迁移过程中,我们会收到实时状态更新吗?

在迁移过程开始和结束时,您都会收到电子邮件通知。

问:如果迁移后出现问题,我们应该与谁联系?

您应创建支持服务工单来记录问题并跟踪进度。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。