Migrazione SOAR per MSP

Questo documento descrive la Fase 1 della migrazione dell'infrastruttura dell'istanza autonoma SOAR di un provider di servizi di sicurezza gestiti (MSP) a Google Cloud.

Dopo aver completato la Fase 1, l'MSSP deve procedere con la Fase 2 nella panoramica della migrazione SOAR, perché è uguale per tutti i clienti: MSSP e non MSSP.

Passaggio 1: Google Cloud identificazione e configurazione del progetto

Il partner deve identificare un Google Cloud progetto in cui eseguire la migrazione dell'istanza SOAR in base alle licenze, come segue:

• Se il partner dispone di una licenza di importazione (SIEM / SecOps unificato) per i propri tenant, può scegliere di utilizzare il Google Cloud progetto del SIEM principale per ospitare il SOAR principale. In alternativa, può creare un Google Cloud progetto separato per mantenere separati SIEM e SOAR.

• Se il partner dispone di licenze basate sui dipendenti per i propri tenant, deve creare un Google Cloud progetto separato per ospitare SOAR, mantenendo separati SIEM e SOAR.

Il partner può anche utilizzare un Google Cloud progetto che potrebbe essere stato configurato per accedere all'assistenza Chronicle, ma non ha ancora un tenant Google SecOps.

Passaggio 2: attiva l'API Chronicle nel progetto del cliente Google Cloud

Passaggio 3: configura l'autenticazione per accedere a SOAR Google Cloud

Il partner deve configurare l'autenticazione per accedere a SOAR. Google Cloud

Se il partner ha un singolo IdP, può scegliere di configurare Cloud Identity (account gestiti da Google) o la federazione delle identità per la forza lavoro. Queste sono descritte rispettivamente come Opzione 1 e Opzione 2 nel documento di panoramica della migrazione SOAR.

Se il partner ha più IdP, deve completare i seguenti passaggi per configurare la federazione delle identità per la forza lavoro:

1. Per ogni percorso frontend in SOAR, il partner deve configurare un IdP esterno tramite la federazione delle identità per la forza lavoro per ogni percorso frontend.
2. Il partner deve creare un pool di forza lavoro per ogni IdP e configurare i mapping tra il provider del pool di forza lavoro e l'IdP di terze parti. Ripeti questa operazione per ogni percorso frontend.
3. Concedi i ruoli richiesti in IAM all'esperto di onboarding e a tutti gli utenti SOAR seguendo le istruzioni del passaggio 3 dell'Opzione 2: Configura l'autenticazione della federazione delle identità per la forza lavoro in Google Cloud.

4. Aggiorna il mapping dei gruppi IdP nella nuova pagina Mappatura gruppi in SOAR per ogni pool di forza lavoro e IdP.

   1. Fai clic su add Aggiungi a destra di Pool di forza lavoro.
   2. Aggiungi il nome del pool di forza lavoro che hai configurato nella federazione delle identità per la forza lavoro.

   3. Per aggiungere i gruppi IdP alla tabella Mappatura gruppi :

      1. Fai clic su add Aggiungi a destra.
      2. Aggiungi il nome del gruppo dal tuo IdP.
      3. Scegli l'accesso necessario ai gruppi di autorizzazioni, agli ambienti e ai ruoli SOC di SOAR.
      4. Fai clic su Salva.
      5. Assicurati di aver aggiunto anche il gruppo IdP amministratore con autorizzazioni di amministratore per i gruppi di autorizzazioni, i ruoli SOC e Seleziona tutti gli ambienti.

   4. Ripeti i passaggi da a a c per gli altri pool di forza lavoro.

5. Se hai mapping dei gruppi IdP esistenti nella pagina Autenticazione esterna, non modificarli, perché sono ancora necessari per l'autenticazione a SOAR fino alla migrazione.

6. Dopo aver completato i passaggi precedenti, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Impostazioni > Organizzazione > Gestione utenti.

Passaggio 4: conferma della data di migrazione

Fornisci l'ID progetto nel modulo Google nella notifica in-app e conferma la data e la fascia oraria di migrazione prima di inviare il modulo. Google Cloud

Se l'MSP ha più percorsi frontend, compila il modulo Google per aggiungere i dettagli relativi all'ID del pool di forza lavoro, all'ID del provider e al percorso frontend per ogni provider.

Passaggio 5: email di invito

Accetta l'email di invito alla pagina Ricevi Google Security Operations e completa la configurazione. Assicurati che le informazioni sulla regione siano accurate, come indicato nell'email di invito.

Passaggio 6: convalida della configurazione

Per convalidare la configurazione, ti consigliamo di seguire le istruzioni riportate nella guida alla pre-convalida della migrazione SOAR .

Passaggio 7: migrazione

Google eseguirà la migrazione. Durante la migrazione, i servizi SOAR subiranno un downtime di due ore.

Al termine della migrazione, ti invieremo un'email con un nuovo URL per accedere alla piattaforma SOAR.

Coordina con il rappresentante del partner durante e dopo la migrazione per assicurarti di non riscontrare problemi dopo la migrazione.

Passaggi successivi

• Panoramica della migrazione SOAR
• Esegui la migrazione degli endpoint SOAR all'API Chronicle
• Esegui la migrazione degli agenti remoti
• Domande frequenti

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.