Información general sobre la migración de SOAR

Disponible en:

En este documento se describen el proceso y los plazos para migrar la infraestructura de SOAR a Google Cloud. La migración tiene como objetivo modernizar la infraestructura y mejorar su integración con los servicios de Google Cloud , lo que beneficiará tanto a los clientes unificados de Google Security Operations como a los usuarios independientes de SOAR que estén migrando a Google Cloud.

Esta migración es necesaria para proporcionar actualizaciones de infraestructura críticas, como una mayor fiabilidad, una seguridad mejorada, un mayor cumplimiento y un control de acceso más granular. También permite acceder a las funciones de IA de agente a través de la integración del protocolo de contexto de modelo (MCP) y a los mejores servicios de su categoría, como la gestión de identidades y accesos para el control de acceso, Cloud Monitoring y Registros de auditoría de Cloud.

La migración se lleva a cabo en dos fases: la fase 1 y la fase 2.

La fase 1 incluye las siguientes migraciones:

  • Migración de tu proyecto de SOAR propiedad de Google a la infraestructura de Google Cloud . Google se encarga de ello.
  • Migración de la autenticación de SOAR a Google Cloud (solo aplicable a los clientes de SOAR independiente).

La fase 2 incluye las siguientes migraciones:

  • Migración de grupos y permisos de SOAR a Google Cloud gestión de identidades y accesos.
  • Migración de las APIs de SOAR a la nueva API unificada de Chronicle, lo que requiere actualizar las secuencias de comandos y las integraciones actuales.
  • Migración de agentes remotos.
  • Migración de registros de auditoría de SOAR.

Fase 1 de la migración para los clientes unificados de Google SecOps

Consulta la notificación que aparece en el producto para ver la fecha de la migración de la fase 1 y el formulario de Google incluido para confirmar la franja horaria. La fase 1 incluye las siguientes migraciones.

  • Migrar un proyecto de SOAR propiedad de Google a Google Cloud

La migración incluye un tiempo de inactividad de 90 minutos durante el cual no se podrá acceder a la plataforma Google SecOps. Durante este tiempo de inactividad, tus servicios de SIEM seguirán funcionando en segundo plano, mientras que los servicios de SOAR se pausarán temporalmente. Tras el tiempo de inactividad, se podrá acceder a la plataforma y los servicios de SOAR reanudarán el procesamiento de las alertas generadas o insertadas durante el tiempo de inactividad.

Cuando se haya completado la migración, te enviaremos un correo.

Fase 1 de la migración para clientes independientes de SOAR

Recibirás un mensaje de notificación en el producto cuando podamos iniciar la fase 1. Asegúrate de hacer lo siguiente:

  1. Configura un Google Cloud proyecto. También puedes usar un Google Cloud proyecto que se haya configurado para acceder al servicio de asistencia de Chronicle, pero que aún no tenga una instancia de Google Security Operations.
  2. Habilita la API de Chronicle.
  3. Configura la Google Cloud autenticación para acceder a SOAR. Consulta Configurar la autenticación para acceder a SOAR Google Cloud .
  4. Proporcione el Google Cloud ID del proyecto en el formulario de Google de la notificación del producto y confirme la fecha y la hora de la migración antes de enviar el formulario.
  5. Acepta el correo de invitación a la página "Obtener Google Security Operations" y completa la configuración. Asegúrate de que la información de tu región sea correcta.

Los servicios de SOAR no estarán disponibles durante 2 horas durante la migración. Cuando se haya completado, te enviaremos un correo con una nueva URL para acceder a la plataforma SOAR. La URL antigua funcionará hasta el 30 de junio del 2026, ya que te redirigirá a la nueva.

Configurar la Google Cloud autenticación para acceder a SOAR

En función del tipo de identidad que quieras configurar y usar, debes configurar una de las siguientes opciones. Es posible que necesite la ayuda de su Google Cloud administrador para seguir estas instrucciones.

Opción 1: Configurar la autenticación de Cloud Identity en Google Cloud (cuentas gestionadas por Google)

Este caso se aplica si gestionas las cuentas de usuario directamente en Cloud Identity con nombres de usuario y contraseñas gestionados por Google. No se aplica si usas Cloud Identity para el SSO con un proveedor de identidades de terceros, como Okta o Azure AD. Este agente debe seguir estos pasos:

  1. Configura Cloud Identity en Google Cloud. Puedes saltarte este paso si ya has configurado Cloud Identity con un nombre de usuario y una contraseña gestionados por Google.
  2. Asegúrate de que todos los usuarios de SOAR estén configurados en la consola de administración de Cloud Identity.
  3. Concede los roles necesarios en gestión de identidades y accesos siguiendo el formato de asignación de roles para cuentas de Google.
    1. Asigna los siguientes roles de gestión de identidades y accesos predefinidos en Google Cloud al experto en la materia de incorporación:
    2. Asigna uno de los siguientes roles de gestión de identidades y accesos predefinidos a todos los usuarios de SOAR:
  4. Completa la configuración de la autenticación en SOAR asignando cada usuario (incluidos los administradores) a un grupo de usuarios de correo electrónico.
    1. Ve a Ajustes > Ajustes de SOAR > Avanzado > Asignación de grupos.
    2. Haz clic en + y rellena la siguiente información.
      • Añadir nombre de grupo: el nombre que asignes a un grupo de correo, como Analistas de la zona horaria 1 o Analistas de la UE.
      • Miembros del grupo: añade las direcciones de correo de los usuarios que quieras. Pulsa Intro después de añadir cada correo.
      • Elige el acceso necesario a los grupos de permisos de SOAR, los entornos y los roles de SOC. Cada vez que un usuario inicia sesión en la plataforma, se añade automáticamente a la página Configuración > Organización > Gestión de usuarios.

Opción 2: Configurar la autenticación de Workforce Identity Federation en Google Cloud

Este caso se aplica si gestionas las identidades de tus usuarios con IdPs de terceros, como Microsoft Azure Active Directory, Okta, Ping Identity y AD FS.

  1. Configura la federación de identidades de los trabajadores en Google Cloud. Puedes saltarte este paso si ya la has configurado.
  2. Asegúrate de que todos los usuarios de SOAR formen parte de los grupos de la reserva de personal configurados en Workforce Identity Federation.
  3. Concede los roles necesarios en gestión de identidades y accesos siguiendo el formato de asignación de roles para cuentas de Google.
    1. Asigna todos los siguientes roles de gestión de identidades y accesos predefinidos al experto en la materia de la incorporación.
    2. Asigna uno de los siguientes roles de gestión de identidades y accesos a todos los usuarios de SOAR:
  4. Completa la configuración de la autenticación en SOAR mapeando todos los grupos de IdP que necesiten acceder a SOAR. Asegúrate de que los usuarios ya estén asignados a al menos uno de los grupos del proveedor de identidades.
    1. Ve a Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP.
    2. Haz clic en + y rellena la siguiente información.
      • Nombre del grupo del IdP: añade el nombre del grupo de tu IdP.
      • Elige el acceso necesario a Grupos de permisos, Entornos y Roles de SOC.
    3. Asegúrate de haber añadido el grupo de IdP de administrador con permisos de administrador para los grupos de permisos y los roles de SOC, y de haber seleccionado Todos los entornos.
    4. Si tienes alguna asignación de grupos de IdP en la página Autenticación externa, debes dejarla tal cual para no anular la autenticación SOAR que ya tengas. Para acceder a SOAR con la nueva Google Cloud autenticación, tendrás que configurar la asignación de grupos de IdP en la página Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP.
    5. Cuando hayas terminado, haz clic en Añadir. Cada vez que un usuario inicia sesión en la plataforma, se añade automáticamente a la página Configuración > Organización > Gestión de usuarios.

Fase 2: migración para todos los clientes

El acceso anticipado a la fase 2 estará disponible a partir del 1 de noviembre del 2025 y, en general, para todos los clientes a partir del 1 de enero del 2025. Puedes iniciar la fase 2 en cualquier momento después de completar la fase 1. La fecha límite para completar la fase 2 es el 30 de junio del 2026.

Migrar grupos de permisos de SOAR a Google Cloud gestión de identidades y accesos

Migra los grupos y permisos de SOAR a IAM con un solo clic en la secuencia de comandos de migración en Google Cloud (el acceso anticipado se lanzará antes del 1 de noviembre del 2025). La secuencia de comandos crea roles personalizados para cada grupo de permisos y los asigna a usuarios de clientes de Cloud Identity o a grupos de proveedores de identidades de clientes de la federación de identidades de trabajo.

Para obtener más información sobre cómo configurar permisos, consulta el artículo Configurar el acceso a funciones. Los nuevos roles predefinidos de SOAR son los siguientes:

  • Administrador de Chronicle SOAR
  • Ingeniero de Chronicle SOAR
  • Analista de Chronicle SOAR
  • Visor de Chronicle SOAR
  • Agente del servicio de Chronicle SOAR

Después de migrar los permisos, ocurre lo siguiente:

  • La página Ajustes de SOAR > Organización > Permisos seguirá estando disponible hasta el 30 de junio del 2026 (para que sea compatible con versiones anteriores de las claves de aplicación). No hagas ningún cambio en esta página. Todos los permisos se gestionan a través de la gestión de identidades y accesos.
  • Se ha eliminado la columna Grupo de permisos de las páginas de asignación.
  • La sección de acciones restringidas de la página Permisos se trasladará a la página Asignación de grupos de IDP (o Grupo de correo).

Migrar las APIs de SOAR a la API Chronicle

La API SOAR se va a sustituir por la API Chronicle. Debes completar la migración de grupos de permisos a IAM antes de usar la API Chronicle. Puedes solicitar acceso anticipado para usar los endpoints de SOAR de la versión 1 beta en la API de Chronicle a partir del 1 de noviembre del 2025. La versión v1 estará disponible para todos los clientes a partir del 1 de enero del 2026.

Debes actualizar tus secuencias de comandos e integraciones para sustituir los endpoints de la API SOAR por los endpoints de la API Chronicle correspondientes. La API SOAR antigua y las claves de API estarán disponibles hasta el 30 de junio del 2026, fecha a partir de la cual dejarán de funcionar. Para obtener más información, consulta Migrar endpoints a la API Chronicle.

Migrar agentes remotos

Para migrar los agentes remotos a Google Cloud , sigue estos pasos:

  1. Crea una cuenta de servicio en lugar de una clave de API para el agente remoto.
  2. Realiza una actualización de la versión principal del agente remoto.

Los agentes remotos actuales estarán disponibles hasta el 30 de junio del 2026, fecha en la que dejarán de funcionar. Para obtener instrucciones detalladas, consulta Migrar agentes remotos a Google Cloud.

Migrar registros de auditoría de SOAR

Los registros de SOAR estarán disponibles en Google Cloud una vez que completes la migración de permisos a gestión de identidades y accesos. Las llamadas que se hagan a la API SOAR antigua hasta el 30 de junio del 2026 seguirán estando accesibles en los registros de auditoría de SOAR. Los clientes de Google SecOps pueden consultar el artículo Recoger registros de Google SecOps SOAR. Si eres cliente de SOAR independiente, consulta Recoger registros de SOAR.

Otros cambios después de la migración:

Tipo de licencia El tipo de licencia ahora se determina en función de los permisos asignados al usuario en IAM.

Página de destino La página de destino se trasladará de la página Permisos al menú Preferencias de usuario, al que puedes acceder desde tu avatar.

Siguientes pasos

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.