面向 MSSP 的 SOAR 迁移

支持的服务:

本文档详细介绍了将托管式安全服务提供商 (MSSP) 的 SOAR 独立实例的基础架构迁移到 Google Cloud的第 1 阶段。

完成第 1 阶段后,MSSP 应继续执行 SOAR 迁移概览中的第 2 阶段,因为该阶段对于所有客户(MSSP 和非 MSSP)都是相同的。

第 1 步: Google Cloud 项目识别和设置

合作伙伴需要根据许可识别要将 SOAR 实例迁移到的 Google Cloud 项目,如下所示:

  • 如果合作伙伴为其租户拥有注入许可(SIEM / 统一 SecOps),则可以选择使用 Google Cloud 主 SIEM 的项目来托管主 SOAR。或者,他们可以创建一个单独的 Google Cloud 项目,以将 SIEM 和 SOAR 分开。

  • 如果合作伙伴为其租户拥有基于员工的许可,则需要创建单独的 Google Cloud 项目来托管 SOAR,以将 SIEM 和 SOAR 分开。

合作伙伴还可以使用可能已设置为访问 Chronicle 支持但尚未拥有 Google SecOps 租户的 Google Cloud 项目。

第 2 步:在客户项目中启用 Chronicle API Google Cloud

第 3 步:设置 Google Cloud 身份验证以访问 SOAR

合作伙伴需要设置 Google Cloud 身份验证以访问 SOAR。

如果合作伙伴只有一个 IdP,则可以选择配置 Cloud Identity(Google 管理的账号)或 员工身份联合。在 SOAR 迁移概览 文档中,这些分别被描述为选项 1 和选项 2。

如果合作伙伴有多个 IdP,则需要完成以下步骤来配置员工身份联合:

  1. 对于 SOAR 中的每个前端路径,合作伙伴都需要通过员工身份联合为每个前端路径设置外部 IdP。
  2. 合作伙伴需要创建一个员工池,并配置员工池提供方与第三方 IdP 之间的映射。针对每个前端路径重复此操作。
  3. 按照选项 2:在 Google Cloud中配置员工身份联合身份验证的第 3 步中的说明,在 IAM 中向入职 SME 和所有 SOAR 用户授予所需角色。

  4. 在 SOAR 的新群组映射 页面中,为每个员工池和 IdP 更新 IdP 群组映射。

    1. 点击员工池 右侧的“添加”图标 Add
    2. 添加您在员工身份联合中配置的员工池的名称。

    3. 执行以下操作,将您的 IdP 群组添加到群组映射 表格。

      1. 点击右侧的“添加”图标 Add
      2. 从您的 IdP 添加群组名称。
      3. 选择对 SOAR 权限组、环境和 SOC 角色的必要访问权限。
      4. 点击保存
      5. 确保您还添加了具有权限组、SOC 角色和“选择所有环境”的管理员权限的管理员 IdP 群组。

    4. 针对其他员工池重复执行步骤 a-c。

  5. 如果您在外部身份验证 页面中已有任何 IdP 群组映射,请勿修改这些映射,因为在迁移之前,您仍然需要这些映射来向 SOAR 进行身份验证。

  6. 完成上述步骤后,点击添加 。每当用户登录平台时,系统都会自动将其添加到设置 > 组织 > 用户管理 页面。

SOAR 设置 - IAM 角色映射

第 4 步:确认迁移日期

在提交表单之前,请在产品内通知的 Google 表单中提供 Google Cloud 项目 ID,并确认迁移日期和时间段。

如果 MSSP 有多个前端路径,请填写 Google 表单,为每个提供方添加有关员工池 ID、提供方 ID 和前端路径的详细信息。

提供方详细信息

第 5 步:邮件邀请

接受邮件邀请,前往Google Security Operations 页面 并完成设置。确保您的区域信息准确无误,如邮件邀请中所述。

第 6 步:设置验证

如需验证您的设置,我们建议您按照 SOAR 迁移预验证指南 中的说明进行操作。

第 7 步:迁移

Google 将执行迁移。在迁移期间,SOAR 服务将停机两小时。

迁移完成后,我们会发送一封电子邮件,其中包含访问 SOAR 平台的新网址。

在迁移期间和迁移后,请与您的合作伙伴代表协调,以确保您在迁移后不会遇到任何问题。

后续步骤

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。