MSSP 向けの SOAR の移行

このドキュメントでは、マネージド セキュリティ サービス プロバイダ（MSSP）の SOAR スタンドアロン インスタンスのインフラストラクチャを Google Cloudに移行するステージ 1 について詳しく説明します。

ステージ 1 が完了したら、MSSP は SOAR 移行の概要のステージ 2 に進む必要があります。これは、MSSP と非 MSSP のすべての顧客に共通の手順です。

ステップ 1: Google Cloud プロジェクトの識別と設定

パートナーは、ライセンスに応じて SOAR インスタンスの移行先となる Google Cloud プロジェクトを特定する必要があります。

• テナントの取り込みライセンス（SIEM / 統合 SecOps）があるパートナーは、プライマリ SIEM の Google Cloud プロジェクトを使用してプライマリ SOAR をホストできます。また、SIEM と SOAR を分離するために、別の Google Cloud プロジェクトを作成することもできます。

• パートナーがテナントの従業員ベースのライセンスを所有している場合は、SIEM と SOAR を分離したままにするために、SOAR をホストする別の Google Cloud プロジェクトを作成する必要があります。

パートナーは、Chronicle サポートにアクセスするために設定されているが、まだ Google SecOps テナントがない Google Cloud プロジェクトを使用することもできます。

ステップ 2: お客様の Google Cloud プロジェクトで Chronicle API を有効にする

ステップ 3: SOAR にアクセスするための Google Cloud 認証を設定する

パートナーは、SOAR にアクセスするために Google Cloud 認証を設定する必要があります。

パートナーが単一の IdP を使用している場合は、Cloud Identity（Google 管理アカウント）または Workforce Identity 連携を構成できます。これらは、SOAR 移行の概要ドキュメントでそれぞれオプション 1 とオプション 2 として説明されています。

パートナーが複数の IdP を使用している場合は、次の手順で Workforce Identity 連携を構成する必要があります。

1. SOAR の各フロントエンド パスについて、パートナーは Workforce Identity 連携を介して各フロントエンド パスに外部 IdP を設定する必要があります。
2. パートナーは、IdP ごとに 1 つの Workforce プールを作成し、Workforce プール プロバイダとサードパーティ IdP 間のマッピングを構成する必要があります。この手順をフロントエンド パスごとに繰り返します。
3. オプション 2: Google Cloudで Workforce Identity 連携認証を構成するの手順 3 に沿って、オンボーディング SME とすべての SOAR ユーザーに IAM で必要なロールを付与します。

4. SOAR の新しい [グループ マッピング] ページで、各 Workforce プールと IdP の IdP グループ マッピングを更新します。

   1. [Workforce Pools] の右にある add [追加] をクリックします。
   2. Workforce Identity 連携で構成した Workforce プールの名前を追加します。

   3. IdP グループを [グループ マッピング] テーブルに追加する手順は次のとおりです。

      1. 右側の add [追加] をクリックします。
      2. IdP からグループ名を追加します。
      3. SOAR 権限グループ、環境、SOC ロールに必要なアクセス権を選択します。
      4. [保存] をクリックします。
      5. 権限グループ、SOC ロール、[すべての環境を選択] の管理者権限を持つ管理者 IdP グループも追加されていることを確認します。

   4. 他のワークフォース プールについても手順 a ～ c を繰り返します。

5. [外部認証] ページに既存の IdP グループ マッピングがある場合は、移行が完了するまで SOAR の認証に必要となるため、変更しないでください。

6. 上記の手順を完了したら、[追加] をクリックします。ユーザーがプラットフォームにログインするたびに、[設定> 組織 > ユーザー管理] ページに自動的に追加されます。

ステップ 4: セットアップの検証

設定を検証するには、SOAR 移行の事前検証ガイドの手順に沿って操作することをおすすめします。

ステップ 5: 移行日の確認

プロダクト内通知の Google フォームに Google Cloud プロジェクト ID を入力し、フォームを送信する前に移行の日時枠を確認します。

MSSP に複数のフロントエンド パスがある場合は、Google フォームに記入して、各プロバイダの Workforce プール ID、プロバイダ ID、フロントエンド パスの詳細を追加します。

ステップ 6: 招待メール

Google Security Operations の入手ページへの招待メールに同意し、設定を完了します。招待メールに記載されているとおり、地域情報が正確であることを確認してください。

ステップ 7: 移行

Google が移行を実施します。移行中は、SOAR サービスで 2 時間のダウンタイムが発生します。

移行が完了すると、SOAR プラットフォームにアクセスするための新しい URL が記載されたメールが送信されます。

移行中と移行後にパートナー担当者と連携して、移行後に問題が発生しないようにします。

次のステップ

• SOAR 移行の概要
• SOAR エンドポイントを Chronicle API に移行する
• リモート エージェントを移行する
• よくある質問

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。