MSSP를 위한 SOAR 마이그레이션

이 문서에서는 관리형 보안 서비스 제공업체 (MSSP)의 SOAR 독립형 인프라를 Google Cloud로 마이그레이션하는 1단계를 자세히 설명합니다.

1단계를 완료한 후 MSSP는 모든 고객(MSSP 및 비MSSP)에 동일하므로 SOAR 이전 개요의 2단계를 진행해야 합니다.

1단계: Google Cloud 프로젝트 식별 및 설정

파트너는 라이선스에 따라 SOAR 인스턴스를 마이그레이션할 프로젝트를 다음과 같이 식별해야 합니다. Google Cloud

• 파트너가 테넌트에 대한 수집 라이선스 (SIEM / 통합 SecOps)가 있는 경우 기본 SIEM의 Google Cloud 프로젝트를 사용하여 기본 SOAR를 호스팅할 수 있습니다. 또는 SIEM과 SOAR을 별도로 유지하기 위해 별도의 Google Cloud 프로젝트를 만들 수 있습니다.

• 파트너가 테넌트에 직원 기반 라이선스를 보유한 경우 SIEM과 SOAR를 별도로 유지하기 위해 SOAR를 호스팅할 별도의 Google Cloud 프로젝트를 만들어야 합니다.

파트너는 Chronicle 지원에 액세스하도록 설정되었지만 아직 Google SecOps 테넌트가 없는 Google Cloud 프로젝트를 사용할 수도 있습니다.

2단계: 고객 Google Cloud 프로젝트에서 Chronicle API 사용 설정

3단계: SOAR에 액세스하기 위한 Google Cloud 인증 설정

파트너는 SOAR에 액세스하기 위해 Google Cloud 인증을 설정해야 합니다.

파트너가 IdP를 하나만 보유한 경우 Cloud ID (Google 관리 계정) 또는 직원 ID 제휴를 구성할 수 있습니다. SOAR 이전 개요 문서에서 각각 옵션 1과 옵션 2로 설명되어 있습니다.

파트너에게 IdP가 여러 개 있는 경우 다음 단계를 완료하여 직원 ID 제휴를 구성해야 합니다.

1. SOAR의 각 프런트엔드 경로에 대해 파트너는 직원 ID 제휴를 통해 각 프런트엔드 경로에 외부 IdP를 설정해야 합니다.
2. 파트너는 IdP마다 직원 풀을 하나씩 만들고 직원 풀 제공업체와 서드 파티 IdP 간의 매핑을 구성해야 합니다. 각 프런트엔드 경로에 대해 이 단계를 반복합니다.
3. 옵션 2: Google Cloud에서 직원 ID 제휴 인증 구성의 3단계 안내에 따라 온보딩 SME 및 모든 SOAR 사용자에게 IAM의 필수 역할을 부여합니다.

4. 각 직원 풀 및 IdP에 대해 SOAR의 새 그룹 매핑 페이지에서 IdP 그룹 매핑을 업데이트합니다.

   1. 인력 풀 오른쪽의 add 추가를 클릭합니다.
   2. 직원 ID 제휴에서 구성한 직원 풀의 이름을 추가합니다.

   3. 다음과 같이 그룹 매핑 표에 IdP 그룹을 추가합니다.

      1. 오른쪽의 add 추가를 클릭합니다.
      2. IdP의 그룹 이름을 추가합니다.
      3. SOAR 권한 그룹, 환경, SOC 역할에 대한 필요한 액세스 권한을 선택합니다.
      4. 저장을 클릭합니다.
      5. 권한 그룹, SOC 역할, 모든 환경 선택에 대한 관리 권한이 있는 관리 IdP 그룹도 추가했는지 확인합니다.

   4. 다른 워크포스 풀에 대해 a~c단계를 반복합니다.

5. 외부 인증 페이지에 기존 IdP 그룹 매핑이 있는 경우 마이그레이션이 완료될 때까지 SOAR에 인증하는 데 여전히 필요하므로 수정하지 마세요.

6. 이전 단계를 완료한 후 추가를 클릭합니다. 사용자가 플랫폼에 로그인할 때마다 설정 > 조직 > 사용자 관리 페이지에 사용자가 자동으로 추가됩니다.

4단계: 설정 유효성 검사

설정을 검증하려면 SOAR 이전 사전 검증 가이드의 안내를 따르는 것이 좋습니다.

5단계: 이전 날짜 확인

제품 내 알림의 Google 양식에 Google Cloud 프로젝트 ID를 제공하고 양식을 제출하기 전에 이전 날짜와 시간대를 확인합니다.

MSSP에 프런트엔드 경로가 여러 개 있는 경우 Google 양식을 작성하여 각 제공업체의 직원 풀 ID, 제공업체 ID, 프런트엔드 경로에 관한 세부정보를 추가합니다.

6단계: 초대 이메일

Google Security Operations 페이지 받기의 초대 이메일을 수락하고 설정을 완료합니다. 초대 이메일에 공유된 대로 지역 정보가 정확해야 합니다.

7단계: 이전

Google에서 마이그레이션을 수행합니다. 마이그레이션 중에 SOAR 서비스의 다운타임이 2시간 발생합니다.

마이그레이션이 완료되면 SOAR 플랫폼에 액세스할 수 있는 새 URL이 포함된 이메일이 전송됩니다.

이전 중과 이전 후에 파트너 담당자와 협력하여 이전 후 문제가 발생하지 않도록 합니다.

다음 단계

• SOAR 마이그레이션 개요
• SOAR 엔드포인트를 Chronicle API로 이전
• 원격 에이전트 마이그레이션
• 자주 묻는 질문(FAQ)

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.