Übersicht über die SOAR-Migration

Unterstützt in:

In diesem Dokument werden der Prozess und die Zeitpläne für die Migration der SOAR-Infrastruktur zu Google Cloudbeschrieben. Ziel der Migration ist es, die Infrastruktur zu modernisieren und die Integration mit Google Cloud Diensten zu verbessern. Davon profitieren sowohl Kunden von Google Security Operations Unified als auch eigenständige SOAR-Nutzer, die zu wechseln Google Cloud.

Diese Migration ist erforderlich, um kritische Infrastruktur-Upgrades bereitzustellen, darunter eine höhere Zuverlässigkeit, verbesserte Sicherheit, bessere Compliance und eine detailliertere Zugriffssteuerung. Außerdem ermöglicht sie den Zugriff auf agentische KI-Funktionen über die Model Context Protocol (MCP)-Integration und auf erstklassige Dienste wie IAM für die Zugriffssteuerung, Cloud Monitoring und Cloud-Audit-Logs.

Die Migration erfolgt in zwei Phasen: Phase 1 und Phase 2.

Phase 1 umfasst die folgenden Migrationen:

  • Migration Ihres Google-eigenen SOAR-Projekts zu Google Cloud Diese Migration wird von Google durchgeführt.
  • Migration der SOAR-Authentifizierung zu Google Cloud (gilt nur für eigenständige SOAR-Kunden).

Phase 2 umfasst die folgenden Migrationen:

  • Migration von SOAR-Berechtigungsgruppen und ‑berechtigungen zu Google Cloud IAM.
  • Migration von SOAR-APIs zur neuen einheitlichen Chronicle API. Dafür müssen vorhandene Skripts und Integrationen aktualisiert werden.
  • Migration von Webhooks.
  • Migration von Remote-Agents.
  • Migration von SOAR-Audit-Logs.

Phase 1 der Migration für Google Security Operations Unified-Kunden

In der In-Product-Benachrichtigung finden Sie das Datum für die Migration in Phase 1 und das Google-Formular, mit dem Sie den Zeitraum bestätigen können. Phase 1 umfasst die folgenden Migrationen.

  • Google-eigenes SOAR-Projekt zu migrieren Google Cloud

Während der Migration kommt es zu einer Ausfallzeit von bis zu 90 Minuten, in der die Google Security Operations Plattform nicht zugänglich ist. Während dieser Ausfallzeit werden Ihre SIEM-Dienste im Hintergrund weiter ausgeführt, während die SOAR-Dienste vorübergehend pausiert werden. Nach der Ausfallzeit ist die Plattform wieder zugänglich und die SOAR-Dienste werden alle Benachrichtigungen verarbeiten, die während der Ausfallzeit generiert oder aufgenommen wurden.

Sobald die Migration abgeschlossen ist, erhalten Sie eine E‑Mail.

Phase 1 der Migration für eigenständige SOAR-Kunden

Sie erhalten eine In-Product-Benachrichtigung, wenn wir bereit sind, Phase 1 für Sie zu starten. Gehen Sie so vor:

  1. Richten Sie ein Google Cloud Projekt ein. Sie können auch ein Google Cloud Projekt verwenden, das möglicherweise für den Zugriff auf den Chronicle-Support eingerichtet wurde, aber noch keine Google Security Operations-Instanz hat.
  2. Aktivieren Sie die Chronicle API.
  3. Richten Sie die Google Cloud Authentifizierung für den Zugriff auf SOAR ein. Weitere Informationen finden Sie unter Authentifizierung für den Zugriff auf SOAR Google Cloud einrichten.
  4. Geben Sie die Google Cloud Projekt-ID im Google-Formular in der In-Product-Benachrichtigung an und bestätigen Sie das Migrationsdatum und den Zeitraum, bevor Sie das Formular senden.
  5. Nehmen Sie die E‑Mail-Einladung zur Seite „Google Security Operations erhalten“ an und schließen Sie die Einrichtung ab. Achten Sie darauf, dass die Informationen zu Ihrer Region korrekt sind.
  6. Prüfen Sie anhand der Anleitung zur Validierung vor der Migration, ob die vorherigen Schritte korrekt eingerichtet wurden.

Nachdem Sie die Schritte ausgeführt haben, führt Google die Migration zum ausgewählten Datum und zur ausgewählten Uhrzeit durch. Während der Migration kommt es zu einer Ausfallzeit von zwei Stunden bei den SOAR-Diensten. Nach Abschluss der Migration senden wir Ihnen eine E‑Mail mit einer neuen URL für den Zugriff auf die SOAR-Plattform. Die alte URL funktioniert noch bis zum 30. Juni 2026 und leitet Sie zur neuen URL weiter.

Authentifizierung für den Zugriff auf SOAR einrichten Google Cloud

Je nachdem, welche Art von Identität Sie einrichten und verwenden möchten, müssen Sie eine der folgenden Optionen einrichten. Möglicherweise benötigen Sie die Hilfe Ihres Google Cloud und Identity-/IDP-Administrators, um diese Anleitung auszuführen.

Option 1: Cloud Identity-Authentifizierung in Google Cloud konfigurieren(von Google verwaltete Konten)

Dieses Szenario gilt, wenn Sie Nutzerkonten direkt in Cloud Identity mit von Google verwalteten Nutzernamen und Passwörtern verwalten. Es gilt nicht, wenn Sie Cloud Identity für die Einmalanmeldung (SSO) mit einem externen Identitätsanbieter wie Okta oder Azure AD verwenden. Gehen Sie folgendermaßen vor:

  1. Richten Sie Cloud Identity in Google Cloud ein. Sie können diesen Schritt überspringen, wenn Sie Cloud Identity bereits mit einem von Google verwalteten Nutzernamen und Passwort eingerichtet haben.
  2. Achten Sie darauf, dass alle vorhandenen SOAR-Nutzer in der Cloud Identity Admin-Konsole konfiguriert sind.
  3. Weisen Sie die erforderlichen Rollen in IAM zu, indem Sie dem Format für die Rollenzuweisung für Google-Konten folgen.
    1. Weisen Sie dem Onboarding-Experten die folgenden vordefinierten IAM-Rollen in Google Cloud zu:
    2. Weisen Sie allen vorhandenen SOAR-Nutzern eine der folgenden vordefinierten IAM-Rollen zu:
  4. Schließen Sie die Authentifizierungseinrichtung in SOAR ab, indem Sie jeden Nutzer (einschließlich Administratoren) einer E‑Mail-Nutzergruppe zuordnen.
    1. Rufen Sie Einstellungen > SOAR-Einstellungen > Erweitert > Gruppenzuordnung auf.
    2. Klicken Sie auf „+“ und geben Sie die folgenden Informationen ein.
      • Gruppennamen hinzufügen: Der Name, den Sie einer E‑Mail-Gruppe zuweisen, z. B. „T1-Analysten“ oder „EU-Analysten“.
      • Gruppenmitglieder: Fügen Sie die erforderlichen E‑Mail-Adressen der Nutzer hinzu. Drücken Sie nach dem Hinzufügen jeder E‑Mail-Adresse die Eingabetaste.
      • Wählen Sie die Administrator-Nutzergruppe mit Administratorberechtigungen für beide Berechtigungsgruppen und SOC-Rollen aus. Wählen Sie Alle Umgebungen aus.
      • Wenn Sie auf der Seite „Externe Authentifizierung“ bereits Zuordnungen zu E‑Mail-Nutzergruppen haben, sollten Sie diese beibehalten, um Ihre vorhandene SOAR-Authentifizierung nicht zu überschreiben. Für die neue Google Cloud Authentifizierung für den Zugriff auf SOAR müssen Sie weiterhin die Zuordnung zu E‑Mail-Nutzergruppen auf der Seite Einstellungen > SOAR-Einstellungen > Erweitert > Gruppenzuordnung einrichten.
      • Klicken Sie nach Abschluss der Einrichtung auf Hinzufügen. Jedes Mal, wenn sich ein Nutzer in der Plattform anmeldet, wird er automatisch auf der Seite Einstellungen > Organisation > Nutzerverwaltung hinzugefügt. Die migrierte Instanz behält diese Zuordnungen bei, die als Grundlage für die Bestimmung des Nutzerzugriffs auf SOAR dienen. Achten Sie darauf, dass jeder Nutzer auf dieser Seite zugeordnet ist, um auf Google Security Operations zugreifen zu können.

Option 2: Authentifizierung der Mitarbeiteridentitätsföderation in konfigurieren Google Cloud

Dieses Szenario gilt, wenn Sie Ihre Nutzeridentitäten mit externen Identitätsanbietern wie Microsoft Azure Active Directory, Okta, Ping Identity und AD FS verwalten.

  1. Richten Sie die Mitarbeiteridentitätsföderation in Google Cloud ein. Sie können diesen Schritt überspringen, wenn sie bereits eingerichtet ist.
  2. Achten Sie darauf, dass alle vorhandenen Nutzer in SOAR zu den Mitarbeiterpool-Gruppen gehören, die in der Mitarbeiteridentitätsföderation eingerichtet sind.
  3. Weisen Sie die erforderlichen Rollen in IAM zu, indem Sie dem Format für die Rollenzuweisung für Mitarbeiteridentitäten folgen.
    1. Weisen Sie dem Onboarding-Experten alle folgenden vordefinierten IAM-Rollen zu.
    2. Weisen Sie allen vorhandenen SOAR-Nutzern eine der folgenden Rollen in IAM zu:
  4. Schließen Sie die Authentifizierungseinrichtung in SOAR ab, indem Sie alle IdP-Gruppen zuordnen, die Zugriff auf SOAR benötigen. Achten Sie darauf, dass die vorhandenen Nutzer mindestens einer der IdP-Gruppen zugeordnet sind.
    1. Rufen Sie Einstellungen > SOAR-Einstellungen > Erweitert > Gruppenzuordnung auf.
    2. Klicken Sie auf „+“ und geben Sie die folgenden Informationen ein.
      • IdP-Gruppenname: Fügen Sie den Gruppennamen aus Ihrem IdP hinzu.
      • Wählen Sie den erforderlichen Zugriff auf Berechtigungsgruppen, Umgebungen und SOC-Rollen aus.
    3. Achten Sie darauf, dass Sie die Admin-IdP-Gruppe mit Administratorberechtigungen für Berechtigungsgruppen und SOC-Rollen hinzugefügt und „Alle Umgebungen“ ausgewählt haben.
    4. Wenn Sie auf der Seite „Externe Authentifizierung“ bereits Zuordnungen zu IdP-Gruppen haben, sollten Sie diese beibehalten, um Ihre vorhandene SOAR-Authentifizierung nicht zu überschreiben. Für die neue Google Cloud Authentifizierung für den Zugriff auf SOAR müssen Sie weiterhin die Zuordnung zu IdP-Gruppen auf der Seite Einstellungen > SOAR-Einstellungen > Erweitert > Gruppenzuordnung einrichten.
    5. Klicken Sie nach Abschluss der Einrichtung auf Hinzufügen. Jedes Mal, wenn sich ein Nutzer in der Plattform anmeldet, wird er automatisch auf der Seite Einstellungen > Organisation > Nutzerverwaltung hinzugefügt. Die migrierte Instanz behält diese Zuordnungen bei, die als Grundlage für die Bestimmung des Nutzerzugriffs auf SOAR dienen. Achten Sie darauf, dass jeder Nutzer auf dieser Seite zugeordnet ist, um auf Google Security Operations zugreifen zu können.

Phase 2 der Migration für alle Kunden

Wichtig: Sie müssen Phase 1 abschließen, bevor Sie mit Phase 2 der Migration beginnen.

Phase 2 der Migration ist ab dem 26. Januar 2026 für alle Kunden allgemein verfügbar.

Die endgültige Frist für den Abschluss der Migration in Phase 2 ist der 30. September 2026.

SOAR-Berechtigungsgruppen zu Google Cloud IAM migrieren

Migrieren Sie die SOAR-Berechtigungsgruppen und ‑berechtigungen mit einem einzigen Klick auf das Migrationsskript in zu IAM durch einen einzigen Klick auf das Migrationsskript in Google Cloud. Das Skript erstellt für jede Berechtigungsgruppe neue benutzerdefinierte Rollen und weist sie Nutzern für Cloud Identity-Kunden oder IdP-Gruppen für Kunden der Mitarbeiteridentitätsföderation zu. Sie können die SOAR-Berechtigungen auch mit Terraform migrieren.

Ausführliche Informationen zum Migrationsskript und zu Terraform-Befehlen finden Sie unter SOAR-Berechtigungen zu Google Cloud IAM migrieren.

Weitere Informationen zum Einrichten von Berechtigungen finden Sie unter Zugriff auf Funktionen konfigurieren.

Nach der Migration der Berechtigungen passiert Folgendes:

  • SOAR-Einstellungen > Organisation > Berechtigungen Seite ist bis zum 30. September 2026 verfügbar (zur Abwärtskompatibilität mit Legacy-APIs). Nehmen Sie keine Änderungen auf dieser Seite vor. Die Berechtigungen werden alle über IAM verwaltet.
  • Die Spalte Berechtigungsgruppe auf der Seite Gruppenzuordnung wird zur Abwärtskompatibilität mit der Legacy-SOAR-API angezeigt. Löschen Sie diese Zuweisungen nicht. Die Spalte wird bis zum 30. September 2026 automatisch entfernt, ohne dass sich dies auf die Kunden auswirkt.
  • Der Abschnitt „Eingeschränkte Aktionen“ auf der Seite Berechtigungen wird auf die Seite Gruppenzuordnung verschoben.

SOAR-APIs zu Chronicle API migrieren

Wenn Sie die SOAR API programmatisch mit API-Aufrufen oder über Integrationen verwenden, können Sie sie zu den neuen SOAR v1-Beta-Endpunkten migrieren, die Teil der Chronicle API sind.

Sie müssen Ihre Skripts und Integrationen aktualisieren, um die SOAR API-Endpunkte durch die entsprechenden Chronicle API-Endpunkte zu ersetzen. Die Legacy-SOAR-API und die API-Schlüssel sind bis zum 30. September 2026 verfügbar. Danach funktionieren sie nicht mehr. Weitere Informationen finden Sie unter Endpunkte zu Chronicle API migrieren.

Webhooks migrieren

Sie müssen die SOAR-Webhooks bis zum 30. September 2026 zu Chronicle API migrieren. Gehen Sie dazu so vor:

Aktualisieren Sie die Webhook-URL auf der Clientseite, indem Sie die Legacy-siemplify-soar.com Domain durch die neue googleapis.com Domain ersetzen und das neue Anfrageformat verwenden. Die Legacy-Domain siemplify-soar.com funktioniert noch bis zum 30. September 2026.

Beispiel: Ein Webhook, der unter https://xxxx.siemplify-soar.com/api/external/v1/webhooks/{webhook_id}?api_key=xxxx definiert ist,

muss zu: https://us-chronicle.googleapis.com/v1alpha/projects/{project_id}/locations/{location}/instances/{instance/{instance_id}/webhooks/{webhook_id}?api_key=xxxx aktualisiert werden.

Die Authentifizierung für Webhooks bleibt unverändert. Webhooks verwenden weiterhin den API-Schlüssel, der ursprünglich zusammen mit dem Webhook-Link erstellt wurde.

Remote-Agents migrieren

Sie können die Remote-Agents zu Google Cloud migrieren. Gehen Sie dazu so vor:

  1. Erstellen Sie ein Dienstkonto anstelle eines API-Schlüssels für den Remote-Agent.
  2. Führen Sie ein Upgrade der Hauptversion des Remote-Agents durch.

Vorhandene Remote-Agents sind bis zum 30. September 2026 verfügbar. Danach funktionieren sie nicht mehr. Eine detaillierte Anleitung finden Sie unter Remote-Agents zu Google Cloud migrieren.

SOAR-Audit-Logs migrieren

SOAR-Logs sind in Google Cloud verfügbar, sobald Sie die Migration der Berechtigungen zu IAM abgeschlossen haben. Alle Aufrufe, die bis zum 30. September 2026 an die Legacy-SOAR-API gesendet werden, bleiben in den SOAR-Audit-Logs zugänglich. Informationen für Google Security Operations-Kunden finden Sie unter Google Security Operations SOAR-Logs erfassen. Informationen für eigenständige SOAR-Kunden finden Sie unter SOAR-Logs erfassen.

Weitere Änderungen nach der Migration:

Lizenztyp Der Lizenztyp wird jetzt durch die dem Nutzer in IAM zugewiesenen Berechtigungen bestimmt.

Landingpage Die Landingpage wird von der Seite „Berechtigungen“ in das Menü Nutzereinstellungen verschoben, das über Ihr Avatar zugänglich ist.

Weitere Informationen

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google Security Operations-Experten erhalten