Übersicht über die SOAR-Migration

In diesem Dokument werden der Prozess und die Zeitpläne für die Migration der SOAR-Infrastruktur zu Google Cloudbeschrieben. Ziel der Migration ist es, die Infrastruktur zu modernisieren und die Integration mit Google Cloud Diensten zu verbessern. Davon profitieren sowohl Kunden von Google Security Operations Unified als auch eigenständige SOAR-Nutzer, die zu Google Cloudwechseln.

Diese Migration ist erforderlich, um wichtige Infrastruktur-Upgrades durchzuführen, darunter eine höhere Zuverlässigkeit, verbesserte Sicherheit, bessere Compliance und eine detailliertere Zugriffssteuerung. Außerdem ermöglicht sie den Zugriff auf Agentic AI-Funktionen durch die Integration des Model Context Protocol (MCP) und erstklassige Dienste wie IAM für die Zugriffssteuerung, Cloud Monitoring und Cloud-Audit-Logs.

Die Migration erfolgt in zwei Phasen: Phase 1 und Phase 2.

Phase 1 umfasst die folgenden Migrationen:

• Migration Ihres Google-eigenen SOAR-Projekts zur Google Cloud -Infrastruktur. Dies erfolgt durch Google.
• Migration der SOAR-Authentifizierung zu Google Cloud (gilt nur für eigenständige SOAR-Kunden).

Phase 2 umfasst die folgenden Migrationen:

• Migration von SOAR-Berechtigungsgruppen und ‑Berechtigungen zu Google Cloud IAM.
• Die SOAR-APIs werden zur neuen einheitlichen Chronicle API migriert. Daher müssen vorhandene Skripts und Integrationen aktualisiert werden.
• Migration von Remote-Agents.
• Migration von SOAR-Audit-Logs.

Migrationsphase 1 für Google SecOps Unified-Kunden

Sehen Sie in der Benachrichtigung im Produkt nach, wann die Migration in Phase 1 stattfindet, und bestätigen Sie den Zeitrahmen im enthaltenen Google-Formular. Phase 1 umfasst die folgenden Migrationen.

• Google-eigenes SOAR-Projekt zu Google Cloudmigrieren

Die Migration umfasst eine Ausfallzeit von 90 Minuten, in der die Google SecOps-Plattform nicht zugänglich ist. Während dieser Ausfallzeit werden Ihre SIEM-Dienste im Hintergrund weiter ausgeführt, während SOAR-Dienste vorübergehend pausiert werden. Nach der Ausfallzeit ist die Plattform wieder zugänglich und SOAR-Dienste verarbeiten alle während der Ausfallzeit generierten oder aufgenommenen Benachrichtigungen.

Sobald die Migration abgeschlossen ist, senden wir Ihnen eine E‑Mail.

Phase 1 der Migration für SOAR-Standalone-Kunden

Sie erhalten eine In-Product-Benachrichtigung, wenn wir bereit sind, Phase 1 für Sie zu starten. Beachte Folgendes:

1. Richten Sie ein Google Cloud Projekt ein. Sie können auch ein Google Cloud Projekt verwenden, das möglicherweise für den Zugriff auf den Chronicle-Support eingerichtet wurde, aber noch keine Google Security Operations-Instanz hat.
2. Chronicle API aktivieren
3. Richten Sie die Google Cloud Authentifizierung für den Zugriff auf SOAR ein. Weitere Informationen finden Sie unter Authentifizierung für den Zugriff auf SOAR einrichten. Google Cloud
4. Geben Sie die Google Cloud Projekt-ID im Google-Formular in der In-Product-Benachrichtigung an und bestätigen Sie das Migrationsdatum und den Zeitrahmen, bevor Sie das Formular senden.
5. Nehmen Sie die E‑Mail-Einladung zur Seite „Google Security Operations erhalten“ an und schließen Sie die Einrichtung ab. Achten Sie darauf, dass Ihre Regionsinformationen korrekt sind.

Während der Migration kommt es zu einer zweistündigen Ausfallzeit der SOAR-Dienste. Nach Abschluss des Vorgangs senden wir Ihnen eine E-Mail mit einer neuen URL für den Zugriff auf die SOAR-Plattform. Die alte URL funktioniert noch bis zum 30. Juni 2026. Sie werden dann zur neuen URL weitergeleitet.

Google Cloud Authentifizierung für den Zugriff auf SOAR einrichten

Je nachdem, welche Art von Identität Sie einrichten und verwenden möchten, müssen Sie eine der folgenden Optionen einrichten. Möglicherweise benötigen Sie die Hilfe Ihres Google Cloud -Administrators, um diese Anleitung auszuführen.

Option 1: Cloud Identity-Authentifizierung in Google Cloud konfigurieren(von Google verwaltete Konten)

Dieses Szenario ist anwendbar, wenn Sie Nutzerkonten direkt in Cloud Identity mit von Google verwalteten Nutzernamen und Passwörtern verwalten. Sie gilt nicht, wenn Sie Cloud Identity für die Einmalanmeldung (SSO) mit einem externen Identitätsanbieter wie Okta oder Azure AD verwenden. Gehen Sie folgendermaßen vor:

1. Cloud Identity in Google Cloudeinrichten Sie können diesen Schritt überspringen, wenn Sie Cloud Identity bereits mit einem von Google verwalteten Nutzernamen und Passwort eingerichtet haben.
2. Prüfen Sie, ob alle vorhandenen SOAR-Nutzer in der Cloud Identity Admin-Konsole konfiguriert sind.
3. Weisen Sie die erforderlichen Rollen in IAM zu. Folgen Sie dabei dem Format für die Rollenzuweisung für Google-Konten.
   1. Weisen Sie dem Onboarding-SME die folgenden vordefinierten IAM-Rollen in Google Cloud zu:
      • Chronicle API Admin
      • Administrator von Chronicle-Dienst
      • Chronicle SOAR Admin
      • Projekt-IAM-Administrator
      • Service Usage-Administrator
   2. Weisen Sie allen vorhandenen SOAR-Nutzern eine der folgenden vordefinierten IAM-Rollen zu:
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API-Betrachter
      • Chronicle API Limited Viewer
4. Schließen Sie die Einrichtung der Authentifizierung in SOAR ab, indem Sie jeden Nutzer (einschließlich Administratoren) einer E-Mail-Nutzergruppe zuordnen.
   1. Gehen Sie zu Einstellungen> SOAR-Einstellungen> „Erweitert“> Gruppenzuordnung.
   2. Klicken Sie auf das Pluszeichen (+) und geben Sie die folgenden Informationen ein.
      • Gruppennamen hinzufügen: Der Name, den Sie einer E‑Mail-Gruppe zuweisen, z. B. „T1-Analysten“ oder „EU-Analysten“.
      • Gruppenmitglieder: Fügen Sie die erforderlichen E‑Mail-Adressen der Nutzer hinzu. Drücken Sie nach dem Hinzufügen jeder E‑Mail-Adresse die Eingabetaste.
      • Erforderlichen Zugriff auf SOAR-Berechtigungsgruppen, Umgebungen und SOC-Rollen auswählen Jedes Mal, wenn sich ein Nutzer in der Plattform anmeldet, wird er automatisch auf der Seite Einstellungen > Organisation > Nutzerverwaltung hinzugefügt.

Option 2: Workforce Identity-Föderationsauthentifizierung in Google Cloudkonfigurieren

Dieses Szenario ist anwendbar, wenn Sie Ihre Nutzeridentitäten mit externen IdPs wie Microsoft Azure Active Directory, Okta, Ping Identity und AD FS verwalten.

1. Mitarbeiteridentitätsföderation in Google Cloudeinrichten: Sie können diesen Schritt überspringen, wenn er bereits eingerichtet wurde.
2. Achten Sie darauf, dass alle vorhandenen Nutzer in SOAR Teil der Workforce Identity-Pool-Gruppen sind, die in der Workforce Identity-Föderation eingerichtet wurden.
3. Weisen Sie die erforderlichen Rollen in IAM zu. Folgen Sie dabei dem Format für die Rollenzuweisung für Google-Konten.
   1. Weisen Sie dem Onboarding-SME alle der folgenden vordefinierten IAM-Rollen zu.
      • Chronicle API Admin
      • Administrator von Chronicle-Dienst
      • Chronicle SOAR Admin
      • Projekt-IAM-Administrator
      • Service Usage-Administrator
   2. Weisen Sie allen vorhandenen SOAR-Nutzern eine der folgenden Rollen in IAM zu:
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API-Betrachter
      • Chronicle API Limited Viewer
4. Schließen Sie die Authentifizierungseinrichtung in SOAR ab, indem Sie alle IdP-Gruppen zuordnen, die Zugriff auf SOAR benötigen. Achten Sie darauf, dass die vorhandenen Nutzer mindestens einer der IdP-Gruppen zugeordnet sind.
   1. Gehen Sie zu Einstellungen> SOAR-Einstellungen> Erweitert> IdP-Gruppenzuordnung.
   2. Klicken Sie auf das Pluszeichen (+) und geben Sie die folgenden Informationen ein.
      • IdP-Gruppenname: Fügen Sie den Gruppennamen aus Ihrem IdP hinzu.
      • Wählen Sie den erforderlichen Zugriff auf Berechtigungsgruppen, Umgebungen und SOC-Rollen aus.
   3. Achten Sie darauf, dass Sie die Admin-IdP-Gruppe mit Administratorberechtigungen für Berechtigungsgruppen und SOC-Rollen hinzugefügt und „Alle Umgebungen“ ausgewählt haben.
   4. Wenn Sie auf der Seite „Externe Authentifizierung“ bereits IdP-Gruppenzuordnungen haben, sollten Sie diese beibehalten, um die vorhandene SOAR-Authentifizierung nicht zu überschreiben. Für die neue Google Cloud Authentifizierung für den Zugriff auf SOAR müssen Sie weiterhin die IdP-Gruppenzuordnung auf der Seite Einstellungen > SOAR-Einstellungen > Erweitert > IdP-Gruppenzuordnung einrichten.
   5. Wenn Sie fertig sind, klicken Sie auf Hinzufügen. Jedes Mal, wenn sich ein Nutzer in der Plattform anmeldet, wird er automatisch auf der Seite Einstellungen> Organisation> Nutzerverwaltung hinzugefügt.

Phase 2: Migration für alle Kunden

Der Vorabzugriff auf Phase 2 ist ab dem 1. November 2025 verfügbar. Ab dem 1. Januar 2025 ist die Funktion allgemein für alle Kunden verfügbar. Sie können Phase 2 jederzeit nach Abschluss von Phase 1 starten. Die Frist für den Abschluss ist der 30. Juni 2026.

SOAR-Berechtigungsgruppen zu Google Cloud IAM migrieren

Migrieren Sie die SOAR-Berechtigungsgruppen und -Berechtigungen mit einem einzigen Klick auf das Migrationsskript in Google Cloud zu IAM(der Vorabzugriff wird vor dem 1. November 2025 eingeführt). Das Skript erstellt für jede Berechtigungsgruppe neue benutzerdefinierte Rollen und weist sie Nutzern für Cloud Identity-Kunden oder IdP-Gruppen für Kunden mit Workforce Identity-Föderation zu.

Weitere Informationen zum Einrichten von Berechtigungen finden Sie unter Funktionszugriff konfigurieren. Die neuen vordefinierten SOAR-Rollen sind:

• Chronicle SOAR Admin
• Chronicle SOAR Engineer
• Chronicle SOAR Analyst
• Chronicle SOAR Viewer
• Chronicle SOAR Service Agent

Nach der Migration der Berechtigungen passiert Folgendes:

• Die Seite SOAR-Einstellungen > Organisation > Berechtigungen ist bis zum 30. Juni 2026 verfügbar (zur Abwärtskompatibilität mit App-Schlüsseln). Nehmen Sie keine Änderungen an dieser Seite vor. Alle Berechtigungen werden über IAM verwaltet.
• Die Spalte Berechtigungsgruppe auf den Zuordnungsseiten wurde entfernt.
• Der Abschnitt „Eingeschränkte Aktionen“ auf der Seite Berechtigungen wird auf die Seite IDP-Gruppenzuordnung (oder E‑Mail-Gruppe) verschoben.

SOAR-APIs zur Chronicle API migrieren

Die SOAR API wird durch die Chronicle API ersetzt. Sie müssen die Migration von Berechtigungsgruppen zu IAM abschließen, bevor Sie die Chronicle API verwenden können. Sie können sich für den Vorabzugriff auf die SOAR-Endpunkte v1 beta in der Chronicle API ab dem 1. November 2025 registrieren. Eine neuere Version, v1, ist ab dem 1. Januar 2026 für alle Kunden allgemein verfügbar.

Sie müssen Ihre Skripts und Integrationen aktualisieren, um die SOAR API-Endpunkte durch die entsprechenden Chronicle API-Endpunkte zu ersetzen. Die alte SOAR API und API-Schlüssel sind bis zum 30. Juni 2026 verfügbar. Danach funktionieren sie nicht mehr. Weitere Informationen finden Sie unter Endpunkte zur Chronicle API migrieren.

Remote-Agents migrieren

So migrieren Sie die Remote Agents zu Google Cloud :

1. Erstellen Sie ein Dienstkonto anstelle eines API-Schlüssels für den Remote-Agent.
2. Führen Sie ein Upgrade der Hauptversion des Remote-Agents durch.

Bestehende Remote Agents sind bis zum 30. Juni 2026 verfügbar. Danach funktionieren sie nicht mehr. Eine detaillierte Anleitung finden Sie unter Remote-Agents zu Google Cloud migrieren.

SOAR-Audit-Logs migrieren

SOAR-Logs sind in Google Cloud verfügbar, sobald Sie die Berechtigungen zu IAM migriert haben. Alle Aufrufe der alten SOAR API bis zum 30. Juni 2026 sind weiterhin in den SOAR-Audit-Logs verfügbar. Google SecOps-Kunden finden weitere Informationen unter Google SecOps SOAR-Logs erfassen. Informationen für SOAR-Standalone-Kunden finden Sie unter SOAR-Logs erfassen.

Weitere Änderungen nach der Migration:

Lizenztyp Der Lizenztyp wird jetzt durch die zugewiesenen Berechtigungen des Nutzers in IAM bestimmt.

Landingpage Die Landingpage wird von der Seite „Berechtigungen“ in das Menü Nutzereinstellungen verschoben, auf das Sie über Ihren Avatar zugreifen können.

Weitere Informationen

• SOAR-Endpunkte zur Chronicle API migrieren
• Remote-Kundenservicemitarbeiter migrieren
• FAQ

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten