SOAR 遷移常見問題

支援的國家/地區:

取得有關 SOAR 遷移程序的常見問題解答。尋找常見問題的解決方法,並瞭解成功轉換的最佳做法。

遷移範圍和影響

問:為什麼必須進行這項遷移作業?

我們正在遷移至 Google Cloud,以翻新 SOAR 基礎架構。這項重大升級可帶來多項優點,包括提升可靠性、加強安全性、提高法規遵循度,以及更精細的存取權控管。此外,透過 Model Context Protocol (MCP) 整合,還能存取代理 AI 功能。

遷移作業包括:

  • 運用 Google 頂尖的 API 層,提升 SOAR 的可靠性和監控功能。這個層級提供領先的 API 解決方案,具備配額管理、稽核和可觀測性等進階功能。
  • 在整個平台中,為功能和資料解鎖角色式存取控管 (RBAC)。
  • 提供更完善的法規遵循功能,例如 VPC Service Controls、資料落地機制和客戶自行管理的加密金鑰 (CMEK)。

問:遷移範圍為何?

遷移作業涉及下列元件:

  • 將 SOAR 專案遷移至客戶擁有的專案。 Google Cloud
  • 將 SOAR 驗證和權限遷移至 Google Cloud IAM。
  • 將 SOAR API 遷移至 Chronicle API。
  • 遷移遠端代理程式。
  • 遷移 SOAR 稽核記錄。

問:遷移後會立即出現哪些變化?

遷移完成後,您會立即感受到幾項重大變化:

  • GCP 專案擁有權:您的 SOAR 專案會從 Google 擁有的專案遷移至客戶擁有的專案 Google Cloud 。
  • 驗證
    • Unified SecOps 客戶:不會有任何變更。驗證作業仍由 Google Cloud IAM 管理。
    • SOAR Standalone 客戶:驗證程序現在由 Google Cloud IAM 管理。如果使用者採用 SAML,這表示他們將改用員工身分聯盟,且 SAML 設定不會再儲存於 SOAR 系統中,也不會由該系統管理,進而提升安全控管強度。
  • RBAC:使用者權限會變得更加精細,並透過 IAM 管理。環境和 SOC 角色將繼續在 SOAR 模組中,使用身分識別提供者 (IdP) 群組進行管理。
  • 稽核記錄:稽核記錄會更加詳細,並在 **Cloud 稽核記錄 **中管理。
  • 新網址 (僅限 SOAR):SOAR 獨立版使用者會收到新的網址 (新網域),用來存取 SOAR。

問:Google 如何通知客戶 / 合作夥伴這項遷移作業?

所有客戶和合作夥伴都會看到產品內彈出式視窗,當中包含遷移日期和表單連結。系統會提示他們確認遷移日期和時間。

問:SOAR 繫結至 Google Cloud 專案後,基礎架構費用會變更嗎?

不會,您的費用不會受到影響。前端不會有任何變更。專案中不會執行任何新資源,因此不會產生相關費用。

問:如何將專案連結至 SOAR?

Google 會將 SOAR 專案遷移至您的 Google Cloud 專案。如果您是 Unified SecOps 客戶,我們已有您的 Google Cloud 專案 ID。如果您是 SOAR 獨立客戶,請將 Google Cloud 專案 ID 提供給我們。

問:如果客戶已部署 Google SecOps,我們應該使用與 SIEM 相同的專案 ID,還是需要另外建立專案?

如要部署統一的 Google SecOps (一個 SIEM、一個 SOAR),請使用與 SIEM 相關聯的現有 Google Cloud 專案 ID。方便統一管理 RBAC 和記錄等管理流程。

問:如果 Google SecOps 執行個體有特殊考量,例如 VPC Service Controls (VPC SC),需要採取哪些步驟?

如要啟用遷移作業,您必須在虛擬私有雲安全控制項政策中定義輸入和輸出規則。如需這些特定規則的詳細指引,請與支援團隊聯絡。

停機時間和連續性

問:遷移期間是否會停機?停機會有什麼影響?

可以。預期停機時間如下:

  • SOAR 獨立版客戶最多 2 小時。
  • Google SecOps 客戶最多可使用 1.5 小時。

在這段期間,你將無法登入平台。SOAR 服務 (包括擷取、劇本、工作) 將暫停,但 SIEM 服務會在背景繼續執行。

問:SOAR 服務恢復運作後,系統是否會自動擷取停機期間產生的資料?

可以。系統恢復連線後,就會繼續擷取資料和執行教戰手冊,並處理停機期間產生或擷取的任何快訊。

問:停機期間正在執行的劇本會怎麼樣?

遷移作業開始前,應對手冊服務會關閉,部分執行中的應對手冊可能會失敗,必須手動重新啟動,或在遷移作業完成後繼續執行。

問:如果遷移期間發生錯誤,是否有復原或應變計畫?

可以。遷移程序會完整保留現有的 SOAR 執行個體 (但會關閉)。如果遷移程序未順利完成,我們可以切換回現有執行個體,並移除新的執行個體。這項復原程序最多需要 30 分鐘。我們會進行廣泛測試和密切監控,並安排待命人員,確保遷移作業順利完成。

問:何時可以遷移至 Chronicle API 中的新 SOAR 端點?

自 2025 年 11 月 1 日起,您可搶先使用 Chronicle API V1 Beta 版的全新 SOAR 端點。 自 2026 年 1 月 1 日起,您將可一般存取 Chronicle API V1。您必須先完成 SOAR 權限群組至 Cloud IAM 的遷移作業,才能從舊版 SOAR API 遷移。 您必須更新指令碼和整合項目,將 SOAR API 端點替換為對應的 Chronicle API 端點。 舊版 SOAR API 和 API 金鑰將於 2026 年 6 月 30 日前正常運作,

驗證和權限

問:如何遷移 SOAR 權限群組和權限?

我們即將推出遷移精靈,方便您在 Google Cloud 控制台中使用,將現有權限群組遷移至 IAM 自訂角色。此外,這個指令碼也會將自訂角色指派給使用者 (適用於 Cloud Identity 客戶) 或 IdP 群組 (適用於員工身分聯盟客戶)。

問:如果我不想遷移自訂權限群組,只想使用預先定義的角色,該怎麼做?

您可以選擇不採用自動遷移功能,改為手動將 IdP 群組對應至 Cloud IAM 角色。

問:我們是 SOAR 獨立客戶,使用手動驗證的自訂 SAML 供應商。如果我們將 IdP 對應改為 IdP 群組,現有使用者帳戶會受到什麼影響?

假設現有使用者符合其中一個群組,且權限對應正確,則現有使用者帳戶應不會受到任何影響。不過,如果使用者未對應至群組,就無法登入。 如果權限對應方式不同,使用者會根據新的對應方式取得新權限。

問:如果 MSSP 使用多個身分識別提供者,是否有特定先決條件?

如果客戶在 SOAR 外部驗證頁面設定多個身分提供者,則應為驗證定義工作團隊身分聯盟,並為每個提供者建立個別的工作團隊集區。每個供應商都會與不同的子網域建立關聯。

記錄和監控

問:我們已完成第一階段的遷移作業,但 Cloud Audit Logs 記錄檔中沒有記錄。

第一階段遷移作業完成後,記錄檔會儲存在 SOAR 平台。第二階段遷移作業完成後,您就能在專案中查看記錄。 Google Cloud

問:將 SOAR 資料傳送至 Managed BigQuery (BQ) 執行個體的客戶,在遷移後是否仍可存取這些 BigQuery 資料?

可以。現有的代管 BigQuery 仍會繼續運作。

物流和支援

問:我可以選擇其他遷移時間嗎?

不行。您無法在建議時段以外的時間遷移。

問:遷移期間會收到即時狀態更新嗎?

遷移程序開始和結束時,您都會收到電子郵件通知。

問:如果遷移後發生問題,該與誰聯絡?

您應建立支援單來記錄問題並追蹤進度。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。