Migración de SOAR para MSSPs

En este documento se detalla la fase 1 de la migración de la infraestructura de una instancia independiente de SOAR de un proveedor de servicios de seguridad gestionados (MSSP) a Google Cloud.

Una vez completada la fase 1, el proveedor de servicios de seguridad gestionados debe continuar con la fase 2 de la descripción general de la migración de SOAR, ya que es la misma para todos los clientes (proveedores de servicios de seguridad gestionados y otros).

Paso 1: Google Cloud identificación y configuración del proyecto

El partner debe identificar un Google Cloud proyecto al que migrar la instancia de SOAR según las licencias, de la siguiente manera:

• Si el partner tiene una licencia de ingesta (SIEM o SecOps unificado) para sus inquilinos, puede usar el Google Cloud proyecto del SIEM principal para alojar el SOAR principal. También pueden crear un proyecto independiente Google Cloud para mantener separados el SIEM y el SOAR.

• Si el partner tiene licencias basadas en empleados para sus arrendatarios, debe crear un proyecto Google Cloud independiente para alojar SOAR y mantener separados SIEM y SOAR.

El partner también puede usar un Google Cloud proyecto que se haya configurado para acceder a la asistencia de Chronicle, pero que aún no tenga un arrendatario de Google SecOps.

Paso 2: Habilita la API de Chronicle en el proyecto del cliente Google Cloud

Paso 3: Configura la Google Cloud autenticación para acceder a SOAR

El partner debe configurar la Google Cloud autenticación para acceder a SOAR.

Si el partner tiene un solo proveedor de identidades, puede configurar Cloud Identity (cuentas gestionadas por Google) o la federación de identidades de Workforce. Se describen como Opción 1 y Opción 2 respectivamente en el documento Descripción general de la migración de SOAR.

Si el partner tiene varios IdPs, debe completar los siguientes pasos para configurar la federación de identidades de los empleados:

1. Para cada ruta de frontend de SOAR, el partner debe configurar un IdP externo mediante la federación de identidades de los empleados.
2. El partner debe crear un grupo de trabajadores para cada proveedor de identidades y configurar las asignaciones entre el proveedor del grupo de trabajadores y el proveedor de identidades externo. Repite este proceso con cada ruta de frontend.
3. Sigue las instrucciones del paso 3 de la opción 2: Configurar la autenticación de la federación de identidades de la plantilla Google Cloud para asignar los roles necesarios de Gestión de Identidades y Accesos (IAM) al experto en la materia (SME) de la incorporación y a todos los usuarios de SOAR.

4. Actualiza la asignación de grupos de IdP en la nueva página Asignación de grupos de SOAR para cada grupo de personal y cada IdP.

   1. Haz clic en add Añadir a la derecha de Grupos de personal.
   2. Añada el nombre del grupo de trabajadores que haya configurado en la federación de identidades de Workforce.

   3. Sigue estos pasos para añadir tus grupos de IdP a la tabla Asignación de grupos.

      1. A la derecha, haz clic en add Añadir.
      2. Añade el nombre del grupo de tu proveedor de identidades.
      3. Elige el acceso necesario a los grupos de permisos, los entornos y los roles de SOC de SOAR.
      4. Haz clic en Guardar.
      5. Asegúrate de que también has añadido el grupo de IdP de administrador con permisos de administrador para grupos de permisos, roles de SOC y seleccionar todos los entornos.

   4. Repite los pasos a-c para el resto de los grupos de colaboradores.

5. Si tienes alguna asignación de grupos de IdP en la página Autenticación externa, no la modifiques, ya que la necesitarás para autenticarte en SOAR hasta que se complete la migración.

6. Cuando hayas completado los pasos anteriores, haz clic en Añadir. Cada vez que un usuario inicia sesión en la plataforma, se le añade automáticamente a la página Configuración > Organización > Gestión de usuarios.

Paso 4: Validación de la configuración

Para validar la configuración, te recomendamos que sigas las instrucciones de la guía de prevalidación de la migración a SOAR.

Paso 5: Confirmación de la fecha de migración

Proporcione el Google Cloud ID de proyecto en el formulario de Google de la notificación del producto y confirme la fecha y la hora de la migración antes de enviar el formulario.

Si el proveedor de servicios de seguridad gestionados tiene varias rutas de frontend, rellene el formulario de Google para añadir detalles sobre el ID del grupo de trabajadores, el ID del proveedor y la ruta de frontend de cada proveedor.

Paso 6: Correo de invitación

Acepta el correo de invitación a la página Obtener Google Security Operations y completa la configuración. Asegúrate de que la información de tu región sea correcta, tal como se indica en el correo de invitación.

Paso 7: Migración

Google realizará la migración. Durante la migración, los servicios de SOAR no estarán disponibles durante dos horas.

Cuando se complete la migración, te enviaremos un correo con una nueva URL para acceder a la plataforma SOAR.

Coordínate con el representante de tu partner durante y después de la migración para asegurarte de que no tienes ningún problema tras la migración.

Siguientes pasos

• Descripción general de la migración de SOAR
• Migrar endpoints de SOAR a la API de Chronicle
• Migrar agentes remotos
• Preguntas frecuentes

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.