Descripción general de la migración de SOAR

En este documento, se describen el proceso y los plazos para migrar la infraestructura de SOAR a Google Cloud. El objetivo de la migración es modernizar la infraestructura y mejorar su integración con los Google Cloud servicios, lo que beneficiará tanto a los clientes unificados de Operaciones de seguridad de Google como a los usuarios independientes de SOAR que realicen la transición a Google Cloud.

Esta migración es necesaria para proporcionar actualizaciones de infraestructura críticas, como mayor confiabilidad, mejor seguridad, mayor cumplimiento y control de acceso más detallado. También permite el acceso a las capacidades de IA agentiva a través de la integración del Protocolo de contexto del modelo (MCP) y los mejores servicios de su clase, incluidos IAM para el control de acceso, Cloud Monitoring y los Registros de auditoría de Cloud.

La migración se lleva a cabo en dos etapas: la etapa 1 y la etapa 2.

La etapa 1 incluye las siguientes migraciones:

• Migración de tu proyecto de SOAR propiedad de Google a la infraestructura de Google Cloud Google realiza esta verificación.
• Migración de la autenticación de SOAR a Google Cloud (solo se aplica a los clientes independientes de SOAR).

La etapa 2 incluye las siguientes migraciones:

• Migración de los grupos y permisos de SOAR a Google Cloud IAM.
• Se migraron las APIs de SOAR a la nueva API unificada de Chronicle, lo que requiere actualizaciones en las integraciones y los secuencias de comandos existentes.
• Migración de agentes remotos
• Migración de los registros de auditoría de SOAR

Etapa 1 de la migración para los clientes unificados de Google SecOps

Consulta la notificación en el producto para conocer la fecha de migración de la etapa 1 y el formulario de Google incluido para confirmar el horario. La etapa 1 incluye las siguientes migraciones.

• Migra el proyecto SOAR propiedad de Google a Google Cloud

La migración incluye un tiempo de inactividad de 90 minutos en el que no se podrá acceder a la plataforma de Google SecOps. Durante este tiempo de inactividad, los servicios de SIEM seguirán funcionando en segundo plano, mientras que los servicios de SOAR se pausarán temporalmente. Después del tiempo de inactividad, se podrá acceder a la plataforma y los servicios de SOAR reanudarán el procesamiento de las alertas generadas o incorporadas durante el tiempo de inactividad.

Cuando se complete la migración, te enviaremos un correo electrónico.

Etapa 1 de la migración para los clientes independientes de SOAR

Recibirás un mensaje de notificación en el producto cuando estemos listos para iniciar la etapa 1. Asegúrate de hacer lo siguiente:

1. Configura un Google Cloud proyecto. También puedes usar un proyecto Google Cloud que se haya configurado para acceder al equipo de asistencia de Chronicle, pero que aún no tenga una instancia de Google Security Operations.
2. Habilita la API de Chronicle.
3. Configura la Google Cloud autenticación para acceder a SOAR. Consulta Configura la autenticación para acceder a SOAR. Google Cloud
4. Proporciona el ID del proyecto Google Cloud en el formulario de Google que se incluye en la notificación del producto y confirma la fecha y el horario de la migración antes de enviar el formulario.
5. Acepta la invitación por correo electrónico a la página "Get Google Security Operations" y completa la configuración. Asegúrate de que la información de tu región sea correcta.

Experimentarás un tiempo de inactividad de 2 horas en los servicios de SOAR durante la migración. Cuando se complete el proceso, te enviaremos un correo electrónico con una nueva URL para acceder a la plataforma de SOAR. La URL anterior funcionará hasta el 30 de junio de 2026, ya que te redireccionará a la nueva URL.

Configura la Google Cloud autenticación para acceder a SOAR

Según el tipo de identidad que quieras configurar y usar, debes configurar una de las siguientes opciones. Es posible que necesites la ayuda de tu administrador de Google Cloud para seguir estas instrucciones.

Opción 1: Configura la autenticación de Cloud Identity en Google Cloud (cuentas administradas por Google)

Este caso es aplicable si administras las cuentas de usuario directamente en Cloud Identity con nombres de usuario y contraseñas administrados por Google. No se aplica si usas Cloud Identity para el SSO con un proveedor de identidad externo, como Okta o Azure AD. Completa los siguientes pasos:

1. Configura Cloud Identity en Google Cloud. Puedes omitir este paso si ya configuraste Cloud Identity con un nombre de usuario y una contraseña administrados por Google.
2. Asegúrate de que todos los usuarios existentes de SOAR estén configurados en la Consola del administrador de Cloud Identity.
3. Otorga los roles necesarios en IAM siguiendo el formato de asignación de roles para las Cuentas de Google.
   1. Asigna los siguientes roles predefinidos de IAM en Google Cloud al SME de incorporación:
      • Administrador de la API de Chronicle
      • Administrador del servicio de Chronicle
      • Administrador de Chronicle SOAR
      • Administrador de IAM de proyecto
      • Administrador de Service Usage
   2. Asigna uno de los siguientes roles de IAM predefinidos a todos los usuarios existentes de SOAR:
      • Administrador de la API de Chronicle
      • Editor de la API de Chronicle
      • Visualizador de API de Chronicle
      • Visualizador limitado de la API de Chronicle
4. Completa la configuración de autenticación en SOAR asignando cada usuario (incluidos los administradores) a un grupo de usuarios de correo electrónico.
   1. Ve a Configuración > Configuración de SOAR > Avanzada > Asignación de grupos.
   2. Haz clic en el signo + y completa la siguiente información.
      • Add Group Name: Es el nombre que le asignas a un grupo de correos electrónicos, como analistas del T1 o analistas de la UE.
      • Miembros del grupo: Agrega los correos electrónicos de los usuarios necesarios. Presiona Intro después de agregar cada correo electrónico.
      • Elige el acceso necesario a los grupos de permisos de SOAR, los entornos y los roles del SOC. Cada vez que un usuario accede a la plataforma, se lo agrega automáticamente a la página Configuración > Organización > Administración de usuarios.

Opción 2: Configura la autenticación de la federación de identidades de personal en Google Cloud

Este caso de uso es aplicable si administras las identidades de los usuarios con IdP externos, como Microsoft Azure Active Directory, Okta, Ping Identity y AD FS.

1. Configura la federación de identidades de la fuerza laboral en Google Cloud. Puedes omitir este paso si ya se configuró.
2. Asegúrate de que todos los usuarios existentes en SOAR formen parte de los grupos del grupo de personal configurados en la federación de identidades de personal.
3. Otorga los roles necesarios en IAM siguiendo el formato de asignación de roles para las Cuentas de Google.
   1. Asigna todos los siguientes roles predefinidos de IAM al SME de incorporación.
      • Administrador de la API de Chronicle
      • Administrador del servicio de Chronicle
      • Administrador de Chronicle SOAR
      • Administrador de IAM de proyecto
      • Administrador de Service Usage
   2. Asigna uno de los siguientes roles en IAM a todos los usuarios existentes de SOAR:
      • Administrador de la API de Chronicle
      • Editor de la API de Chronicle
      • Visualizador de API de Chronicle
      • Visualizador limitado de la API de Chronicle
4. Completa la configuración de autenticación en SOAR asignando todos los grupos de IdP que necesitan acceso a SOAR. Asegúrate de que los usuarios existentes estén asignados a al menos uno de los grupos del IdP.
   1. Ve a Configuración > Configuración de SOAR > Avanzada > Asignación de grupos de IdP.
   2. Haz clic en el signo + y completa la siguiente información.
      • Nombre del grupo de IdP: Agrega el nombre del grupo de tu IdP.
      • Elige el acceso necesario a los grupos de permisos, los entornos y los roles de SOC.
   3. Asegúrate de haber agregado el grupo de IdP de administrador con permisos de administrador para los grupos de permisos y los roles de SOC, y de haber seleccionado Todos los entornos.
   4. Si tienes alguna asignación de grupos de IdP existente en la página de autenticación externa, debes dejarla como está para no anular la autenticación de SOAR existente. Para la nueva autenticación para acceder a SOAR, aún deberás configurar la asignación de grupos de IdP en la página Configuración > Configuración de SOAR > Avanzado > Asignación de grupos de IdP. Google Cloud
   5. Cuando termines, haz clic en Agregar. Cada vez que un usuario accede a la plataforma, se agrega automáticamente a la página Configuración > Organización > Administración de usuarios.

Migración de la etapa 2 para todos los clientes

El acceso anticipado a la etapa 2 estará disponible a partir del 1 de noviembre de 2025 y la disponibilidad general para todos los clientes comenzará el 1 de enero de 2025. Puedes iniciar la etapa 2 en cualquier momento después de completar la etapa 1, con una fecha límite de finalización del 30 de junio de 2026.

Migra los grupos de permisos de SOAR a Google Cloud IAM

Migra los grupos y permisos de SOAR a IAM con un solo clic en la secuencia de comandos de migración en Google Cloud (el acceso anticipado se lanzará antes del 1 de noviembre de 2025). La secuencia de comandos crea nuevos roles personalizados para cada grupo de permisos y los asigna a los usuarios para los clientes de Cloud Identity o a los grupos de IdP para los clientes de la federación de identidades de personal.

Para obtener más información sobre cómo configurar permisos, consulta Configura el acceso a las funciones. Los nuevos roles predefinidos de SOAR son los siguientes:

• Administrador de Chronicle SOAR
• Ingeniero de Chronicle SOAR
• Analista de Chronicle SOAR
• Visualizador de Chronicle SOAR
• Agente de servicio de Chronicle SOAR

Después de la migración de los permisos, ocurre lo siguiente:

• La página Configuración de SOAR > Organización > Permisos seguirá disponible hasta el 30 de junio de 2026 (para la retrocompatibilidad con las claves de API). No realices ningún cambio en esta página. Todos los permisos se administran a través de IAM.
• Se quitó la columna Grupo de permisos de las páginas de asignación.
• La sección de acciones restringidas de la página Permisos se trasladará a la página IDP Group Mapping (o a la página Email group).

Migra las APIs de SOAR a la API de Chronicle

La API de SOAR se reemplazará por la API de Chronicle. Debes completar la migración de los grupos de permisos a IAM antes de usar la API de Chronicle. Puedes habilitar el acceso anticipado para usar la versión beta 1 de los extremos de SOAR en la API de Chronicle a partir del 1 de noviembre de 2025. A partir del 1 de enero de 2026, estará disponible una versión más reciente, la v1, para todos los clientes con acceso general.

Debes actualizar tus secuencias de comandos e integraciones para reemplazar los extremos de la API de SOAR por los extremos correspondientes de la API de Chronicle. La API de SOAR heredada y las claves de API estarán disponibles hasta el 30 de junio de 2026, después de lo cual dejarán de funcionar. Para obtener más información, consulta Migra los extremos a la API de Chronicle

Migra agentes remotos

Para migrar los agentes remotos a Google Cloud , haz lo siguiente:

1. Crea una cuenta de servicio en lugar de una clave de API para el agente remoto.
2. Realiza una actualización de la versión principal del agente remoto.

Los agentes remotos existentes estarán disponibles hasta el 30 de junio de 2026, después de lo cual dejarán de funcionar. Para obtener instrucciones detalladas, consulta Migra agentes remotos a Google Cloud.

Migra los registros de auditoría de SOAR

Los registros de SOAR estarán disponibles en Google Cloud una vez que completes la migración de permisos a IAM. Todas las llamadas realizadas a la API heredada de SOAR hasta el 30 de junio de 2026 seguirán siendo accesibles en los registros de auditoría de SOAR. Para los clientes de Google SecOps, consulta Cómo recopilar registros de Google SecOps SOAR. Para los clientes independientes de SOAR, consulta Cómo recopilar registros de SOAR

Otros cambios posteriores a la migración:

Tipo de licencia El tipo de licencia ahora se determina según los permisos asignados al usuario en IAM.

Página de destino La página de destino se trasladará de la página Permisos al menú Preferencias del usuario, al que se puede acceder desde tu avatar.

Pasos siguientes

• Migra los extremos de SOAR a la API de Chronicle
• Migra agentes remotos
• Preguntas frecuentes

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.