Présentation de la migration SOAR

Ce document décrit le processus et le calendrier de migration de l'infrastructure SOAR vers Google Cloud. La migration vise à moderniser l'infrastructure et à améliorer son intégration aux services Google Cloud , ce qui profitera à la fois aux clients unifiés Google Security Operations et aux utilisateurs SOAR autonomes qui passent à Google Cloud.

Cette migration est nécessaire pour fournir des mises à niveau essentielles de l'infrastructure, y compris une fiabilité améliorée, une sécurité renforcée, une conformité accrue et un contrôle des accès plus précis. Il permet également d'accéder aux fonctionnalités d'IA agentique grâce à l'intégration du protocole MCP (Model Context Protocol) et à des services de pointe tels qu'IAM pour le contrôle des accès, Cloud Monitoring et Cloud Audit Logs.

La migration se déroule en deux étapes : l'étape 1 et l'étape 2.

L'étape 1 inclut les migrations suivantes :

• Migration de votre projet SOAR appartenant à Google vers l'infrastructure Google Cloud . Cette opération est effectuée par Google.
• Migration de l'authentification SOAR vers Google Cloud (uniquement applicable aux clients SOAR autonomes).

L'étape 2 inclut les migrations suivantes :

• Migration des groupes et autorisations SOAR vers Google Cloud  IAM.
• Migration des API SOAR vers la nouvelle API Chronicle unifiée, ce qui nécessite de mettre à jour les scripts et les intégrations existants.
• Migration des agents à distance.
• Migration des journaux d'audit SOAR.

Étape 1 de la migration pour les clients Google SecOps Unified

Consultez la notification dans le produit pour connaître la date de la migration de l'étape 1 et le Google Form inclus pour confirmer le créneau horaire. L'étape 1 inclut les migrations suivantes.

• Migrer le projet SOAR appartenant à Google vers Google Cloud

La migration inclut un temps d'arrêt de 90 minutes pendant lequel la plate-forme Google SecOps n'est pas accessible. Pendant cette période d'indisponibilité, vos services SIEM continueront de fonctionner en arrière-plan, tandis que les services SOAR seront temporairement suspendus. Une fois la plate-forme de nouveau accessible, les services SOAR reprendront le traitement des alertes générées ou ingérées pendant l'indisponibilité.

Une fois la migration terminée, nous vous enverrons un e-mail.

Étape 1 de la migration pour les clients SOAR autonome

Vous recevrez une notification dans le produit lorsque nous serons prêts à lancer l'étape 1 pour vous. Assurez-vous de procéder comme suit :

1. Configurer un projet Google Cloud Vous pouvez également utiliser un projet Google Cloud qui a peut-être été configuré pour accéder à l'assistance Chronicle, mais qui ne dispose pas encore d'instance Google Security Operations.
2. Activez l'API Chronicle.
3. Configurez l' Google Cloud authentification pour accéder à SOAR. Consultez Configurer l'authentification Google Cloud pour accéder à SOAR.
4. Indiquez l'ID du projet Google Cloud dans le formulaire Google de la notification dans le produit, puis confirmez la date et la plage horaire de la migration avant d'envoyer le formulaire.
5. Acceptez l'invitation par e-mail à la page "Obtenir Google Security Operations" et terminez la configuration. Assurez-vous que les informations sur votre région sont exactes.

Les services SOAR seront indisponibles pendant deux heures lors de la migration. Nous vous enverrons un e-mail une fois l'opération terminée, ainsi qu'une nouvelle URL pour accéder à la plate-forme SOAR. L'ancienne URL fonctionnera jusqu'au 30 juin 2026 en vous redirigeant vers la nouvelle URL.

Configurer l'authentification Google Cloud pour accéder à SOAR

Selon le type d'identité que vous souhaitez configurer et utiliser, vous devez configurer l'une des options suivantes. Vous aurez peut-être besoin de l'aide de votre administrateur Google Cloud pour suivre ces instructions.

Option 1 : Configurer l'authentification Cloud Identity dans Google Cloud (comptes gérés par Google)

Ce scénario s'applique si vous gérez les comptes utilisateur directement dans Cloud Identity à l'aide de noms d'utilisateur et de mots de passe gérés par Google. Il ne s'applique pas si vous utilisez Cloud Identity pour l'authentification unique avec un fournisseur d'identité tiers tel qu'Okta ou Azure AD. Procédez comme suit :

1. Configurez Cloud Identity dans Google Cloud. Vous pouvez ignorer cette étape si vous avez déjà configuré Cloud Identity avec un nom d'utilisateur et un mot de passe gérés par Google.
2. Assurez-vous que tous les utilisateurs SOAR existants sont configurés dans la console d'administration Cloud Identity.
3. Attribuez les rôles requis dans IAM en suivant le format d'attribution des rôles pour les comptes Google.
   1. Attribuez les rôles IAM prédéfinis suivants dans Google Cloud à l'expert en intégration :
      • Administrateur de l'API Chronicle
      • Administrateur du service Chronicle
      • Administrateur Chronicle SOAR
      • Administrateur de projet IAM
      • Administrateur Service Usage
   2. Attribuez l'un des rôles IAM prédéfinis suivants à tous les utilisateurs SOAR existants :
      • Administrateur de l'API Chronicle
      • Éditeur de l'API Chronicle
      • Lecteur de l'API Chronicle
      • Lecteur limité de l'API Chronicle
4. Terminez la configuration de l'authentification dans SOAR en mappant chaque utilisateur (y compris les administrateurs) à un groupe d'utilisateurs d'adresse e-mail.
   1. Accédez à Paramètres> Paramètres SOAR> Avancé> Mappage des groupes.
   2. Cliquez sur +, puis saisissez les informations suivantes.
      • Nom du groupe : nom que vous attribuez à un groupe de diffusion, par exemple "Analystes T1" ou "Analystes UE".
      • Membres du groupe : ajoutez les adresses e-mail des utilisateurs requis. Appuyez sur Entrée après avoir ajouté chaque adresse e-mail.
      • Choisissez l'accès nécessaire aux groupes d'autorisations SOAR, aux environnements et aux rôles SOC. Chaque fois qu'un utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Paramètres> Organisation> Gestion des utilisateurs.

Option 2 : Configurer l'authentification de la fédération des identités des employés dans Google Cloud

Ce scénario s'applique si vous gérez vos identités utilisateur à l'aide de fournisseurs d'identité tiers tels que Microsoft Azure Active Directory, Okta, Ping Identity et AD FS.

1. Configurez la fédération d'identité des employés dans Google Cloud. Vous pouvez ignorer cette étape si elle a déjà été effectuée.
2. Assurez-vous que tous les utilisateurs existants dans SOAR font partie des groupes de pools de personnel configurés dans la fédération d'identité de personnel.
3. Attribuez les rôles requis dans IAM en suivant le format d'attribution des rôles pour les comptes Google.
   1. Attribuez tous les rôles IAM prédéfinis suivants à l'expert en la matière chargé de l'intégration.
      • Administrateur de l'API Chronicle
      • Administrateur du service Chronicle
      • Administrateur Chronicle SOAR
      • Administrateur de projet IAM
      • Administrateur Service Usage
   2. Attribuez l'un des rôles suivants dans IAM à tous les utilisateurs SOAR existants :
      • Administrateur de l'API Chronicle
      • Éditeur de l'API Chronicle
      • Lecteur de l'API Chronicle
      • Lecteur limité de l'API Chronicle
4. Configurez l'authentification dans SOAR en mappant tous les groupes IdP qui doivent avoir accès à SOAR. Assurez-vous que les utilisateurs existants sont mappés à au moins l'un des groupes du fournisseur d'identité.
   1. Accédez à Paramètres> Paramètres SOAR> Avancé> Mappage des groupes IdP.
   2. Cliquez sur + et saisissez les informations suivantes.
      • Nom du groupe IdP : ajoutez le nom du groupe de votre IdP.
      • Choisissez l'accès nécessaire aux groupes d'autorisations, aux environnements et aux rôles SOC.
   3. Assurez-vous d'avoir ajouté le groupe IdP administrateur avec les autorisations d'administrateur pour les groupes d'autorisations et les rôles SOC, et d'avoir sélectionné "Tous les environnements".
   4. Si des mappages de groupes IdP existent déjà sur la page "Authentification externe", vous devez les laisser tels quels afin de ne pas remplacer votre authentification SOAR existante. Pour la nouvelle authentification Google Cloud permettant d'accéder à SOAR, vous devrez toujours configurer le mappage des groupes IdP sur la page Paramètres > Paramètres SOAR > Avancé > Mappage des groupes IdP.
   5. Lorsque vous avez terminé, cliquez sur Ajouter. Chaque fois qu'un utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Paramètres> Organisation> Gestion des utilisateurs.

Migration de phase 2 pour tous les clients

L'accès anticipé à l'étape 2 sera disponible à partir du 1er novembre 2025 et la disponibilité générale pour tous les clients à partir du 1er janvier 2025. Vous pouvez commencer l'étape 2 à tout moment après avoir terminé l'étape 1. La date limite pour la terminer est le 30 juin 2026.

Migrer les groupes d'autorisations SOAR vers Google Cloud  IAM

Migrez les groupes et les autorisations SOAR vers IAM en un seul clic à l'aide du script de migration dans Google Cloud (l'accès anticipé sera lancé avant le 1er novembre 2025). Le script crée des rôles personnalisés pour chaque groupe d'autorisations et les attribue aux utilisateurs pour les clients Cloud Identity ou aux groupes IdP pour les clients Workforce Identity Federation.

Pour savoir comment configurer les autorisations, consultez Configurer l'accès aux fonctionnalités. Voici les nouveaux rôles SOAR prédéfinis :

• Administrateur Chronicle SOAR
• Ingénieur Chronicle SOAR
• Analyste Chronicle SOAR
• Lecteur Chronicle SOAR
• Agent de service Chronicle SOAR

Une fois les autorisations migrées, voici ce qui se passe :

• La page Paramètres SOAR> Organisation> Autorisations reste disponible jusqu'au 30 juin 2026 (pour la rétrocompatibilité avec les clés d'application). N'apportez aucune modification à cette page. Les autorisations sont toutes gérées par IAM.
• La colonne Groupe d'autorisations a été supprimée des pages de mappage.
• La section "Actions restreintes" de la page Autorisations sera déplacée vers la page Mappage des groupes IdP (ou Groupe de diffusion d'e-mails).

Migrer les API SOAR vers l'API Chronicle

L'API SOAR est remplacée par l'API Chronicle. Vous devez migrer des groupes d'autorisations vers IAM avant d'utiliser l'API Chronicle. Vous pouvez demander un accès anticipé aux points de terminaison SOAR v1 bêta dans l'API Chronicle à partir du 1er novembre 2025. Une version plus récente, v1, sera disponible pour tous les clients en accès général à partir du 1er janvier 2026.

Vous devez mettre à jour vos scripts et intégrations pour remplacer les points de terminaison de l'API SOAR par les points de terminaison de l'API Chronicle correspondants. L'ancienne API SOAR et les clés API seront disponibles jusqu'au 30 juin 2026, après quoi elles ne fonctionneront plus. Pour en savoir plus, consultez Migrer les points de terminaison vers l'API Chronicle.

Migrer les agents distants

Pour migrer les agents distants vers Google Cloud , procédez comme suit :

1. Créez un compte de service au lieu d'une clé API pour l'agent à distance.
2. Effectuez une mise à niveau de version majeure de l'agent distant.

Les agents à distance existants seront disponibles jusqu'au 30 juin 2026, après quoi ils ne fonctionneront plus. Pour obtenir des instructions détaillées, consultez Migrer des agents à distance vers Google Cloud.

Migrer les journaux d'audit SOAR

Les journaux SOAR seront disponibles dans Google Cloud une fois que vous aurez terminé la migration des autorisations vers IAM. Tous les appels effectués vers l'ancienne API SOAR jusqu'au 30 juin 2026 resteront accessibles dans les journaux d'audit SOAR. Pour les clients Google SecOps, consultez Collecter les journaux Google SecOps SOAR. Si vous êtes un client SOAR autonome, consultez Collecter les journaux SOAR.

Autres modifications après la migration :

Type de licence Le type de licence est désormais déterminé par les autorisations attribuées à l'utilisateur dans IAM.

Page de destination La page de destination sera déplacée de la page "Autorisations" vers le menu Préférences utilisateur, accessible depuis votre avatar.

Étape suivante

• Migrer les points de terminaison SOAR vers l'API Chronicle
• Migrer les agents à distance
• Questions fréquentes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.