Panoramica della migrazione SOAR

Questo documento descrive il processo e le tempistiche per la migrazione dell'infrastruttura SOAR a Google Cloud. La migrazione ha lo scopo di modernizzare l'infrastruttura e migliorare la sua integrazione con i servizi Google Cloud , a vantaggio sia dei clienti unificati di Google Security Operations sia degli utenti SOAR autonomi che eseguono la transizione a Google Cloud.

Questa migrazione è necessaria per fornire aggiornamenti critici dell'infrastruttura, tra cui maggiore affidabilità, sicurezza migliorata, maggiore conformità e controllo dell'accesso più granulare. Consente inoltre l'accesso alle funzionalità di AI agentica tramite l'integrazione del Model Context Protocol (MCP) e a servizi best-in-class, tra cui IAM per controllo dell'accesso'accesso, Cloud Monitoring e Cloud Audit Logs.

La migrazione viene eseguita in due fasi: la fase 1 e la fase 2.

La fase 1 include le seguenti migrazioni:

• Migrazione del tuo progetto SOAR di proprietà di Google all'infrastruttura Google Cloud . Questa operazione viene eseguita da Google.
• Migrazione dell'autenticazione SOAR a Google Cloud (valido solo per i clienti SOAR standalone).

La fase 2 include le seguenti migrazioni:

• Migrazione di gruppi di autorizzazioni e autorizzazioni SOAR a Google Cloud IAM.
• Migrazione delle API SOAR alla nuova API Chronicle unificata, che richiede aggiornamenti agli script e alle integrazioni esistenti.
• Migrazione degli agenti remoti.
• Migrazione degli audit log SOAR.

Fase 1 della migrazione per i clienti unificati di Google SecOps

Controlla la notifica nel prodotto per la data della migrazione della fase 1 e il modulo Google incluso per confermare la fascia oraria. La fase 1 include le seguenti migrazioni.

• Esegui la migrazione del progetto SOAR di proprietà di Google a Google Cloud

La migrazione include un tempo di inattività di 90 minuti durante i quali la piattaforma Google SecOps non è accessibile. Durante questo periodo di inattività, i servizi SIEM continueranno a operare in background, mentre i servizi SOAR verranno temporaneamente sospesi. Al termine del periodo di inattività, la piattaforma sarà accessibile e i servizi SOAR riprenderanno l'elaborazione degli avvisi generati o inseriti durante il periodo di inattività.

Al termine della migrazione, ti invieremo un'email.

Fase 1 della migrazione per i clienti SOAR standalone

Riceverai un messaggio di notifica nel prodotto quando saremo pronti per avviare la Fase 1. Assicurati di svolgere le seguenti operazioni:

1. Configura un progetto Google Cloud . Puoi anche utilizzare un Google Cloud progetto che potrebbe essere stato configurato per accedere all'assistenza Chronicle, ma che non ha ancora un'istanza Google Security Operations.
2. Abilita l'API Chronicle.
3. Configura l' Google Cloud autenticazione per accedere a SOAR. Consulta Configurare l' Google Cloud autenticazione per accedere a SOAR.
4. Fornisci l'ID progetto Google Cloud nel modulo Google nella notifica in-product e conferma la data e l'ora della migrazione prima di inviare il modulo.
5. Accetta l'email di invito alla pagina "Ottieni Google Security Operations" e completa la configurazione. Assicurati che le informazioni sulla regione siano corrette.

Durante la migrazione, i servizi SOAR non saranno disponibili per 2 ore. Al termine, ti invieremo un'email con un nuovo URL per accedere alla piattaforma SOAR. Il vecchio URL funzionerà fino al 30 giugno 2026 reindirizzandoti al nuovo URL.

Configura l'autenticazione Google Cloud per accedere a SOAR

A seconda del tipo di identità che vuoi configurare e utilizzare, devi configurare una delle seguenti opzioni. Per eseguire queste istruzioni, potrebbe essere necessario l'aiuto dell'amministratore di Google Cloud .

Opzione 1: configura l'autenticazione Cloud Identity in Google Cloud (account gestiti da Google)

Questo scenario è applicabile se gestisci gli account utente direttamente in Cloud Identity utilizzando nomi utente e password gestiti da Google. Non si applica se utilizzi Cloud Identity per il Single Sign-On (SSO) con un provider di identità di terze parti come Okta o Azure AD. Completa i seguenti passaggi:

1. Configura Cloud Identity in Google Cloud. Puoi saltare questo passaggio se hai già configurato Cloud Identity con nome utente e password gestiti da Google.
2. Assicurati che tutti gli utenti SOAR esistenti siano configurati nella Console di amministrazione Cloud Identity.
3. Concedi i ruoli richiesti in IAM seguendo il formato di assegnazione dei ruoli per gli Account Google.
   1. Assegna i seguenti ruoli IAM predefiniti in Google Cloud all'esperto in materia di onboarding:
      • Chronicle API Admin
      • Amministratore del servizio Chronicle
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Amministratore Service Usage
   2. Assegna uno dei seguenti ruoli IAM predefiniti a tutti gli utenti SOAR esistenti:
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. Completa la configurazione dell'autenticazione in SOAR mappando ogni utente (inclusi gli amministratori) a un gruppo di utenti email.
   1. Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi.
   2. Fai clic su + e inserisci le seguenti informazioni.
      • Aggiungi nome gruppo: il nome che assegni a un gruppo email, ad esempio Analisti T1 o Analisti UE.
      • Membri del gruppo: aggiungi le email degli utenti richieste. Premi Invio dopo aver aggiunto ogni email.
      • Scegli l'accesso necessario a gruppi di autorizzazioni SOAR, ambienti e ruoli SOC Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Impostazioni > Organizzazione > Gestione utenti.

Opzione 2: configura l'autenticazione della federazione delle identità per la forza lavoro in Google Cloud

Questo scenario è applicabile se gestisci le identità utente utilizzando IdP di terze parti come Microsoft Azure Active Directory, Okta, Ping Identity e AD FS.

1. Configura la federazione delle identità per la forza lavoro in Google Cloud. Puoi saltare questo passaggio se è già stato configurato.
2. Assicurati che tutti gli utenti esistenti in SOAR facciano parte dei gruppi di pool di forza lavoro configurati nella federazione delle identità per la forza lavoro.
3. Concedi i ruoli richiesti in IAM seguendo il formato di assegnazione dei ruoli per gli Account Google.
   1. Assegna tutti i seguenti ruoli IAM predefiniti all'esperto in materia di onboarding.
      • Chronicle API Admin
      • Amministratore del servizio Chronicle
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Amministratore Service Usage
   2. Assegna uno dei seguenti ruoli in IAM a tutti gli utenti SOAR esistenti:
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. Completa la configurazione dell'autenticazione in SOAR mappando tutti i gruppi IdP che devono accedere a SOAR. Assicurati che gli utenti esistenti siano mappati ad almeno uno dei gruppi IdP.
   1. Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mapping dei gruppi IdP.
   2. Fai clic su + e inserisci le seguenti informazioni.
      • Nome del gruppo IdP: aggiungi il nome del gruppo dal tuo IdP.
      • Scegli l'accesso necessario a gruppi di autorizzazioni, ambienti e ruoli del SOC.
   3. Assicurati di aver aggiunto il gruppo IdP amministratore con autorizzazioni amministrative per i gruppi di autorizzazioni, i ruoli SOC e di aver selezionato Tutti gli ambienti.
   4. Se nella pagina Autenticazione esterna sono presenti mappature di gruppi IdP, lasciale invariate per non eseguire l'override dell'autenticazione SOAR esistente. Per la nuova Google Cloud autenticazione per accedere a SOAR, dovrai comunque configurare la mappatura dei gruppi IDP nella pagina Impostazioni > Impostazioni SOAR > Avanzate > Mappatura dei gruppi IDP.
   5. Al termine, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Impostazioni > Organizzazione > Gestione utenti.

Migrazione di fase 2 per tutti i clienti

L'accesso in anteprima alla fase 2 sarà disponibile a partire dal 1° novembre 2025 e sarà disponibile per tutti i clienti a partire dal 1° gennaio 2025. Puoi avviare la fase 2 in qualsiasi momento, dopo aver completato la fase 1, con una scadenza per il completamento del 30 giugno 2026.

Eseguire la migrazione dei gruppi di autorizzazioni SOAR a Google Cloud IAM

Esegui la migrazione dei gruppi di autorizzazioni SOAR e delle autorizzazioni a IAM con un solo clic dello script di migrazione in Google Cloud (accesso in anteprima da lanciare prima del 1° novembre 2025). Lo script crea nuovi ruoli personalizzati per ogni gruppo di autorizzazioni e li assegna agli utenti per i clienti Cloud Identity o ai gruppi IdP per i clienti della federazione delle identità della forza lavoro.

Per saperne di più su come configurare le autorizzazioni, consulta Configurare l'accesso alle funzionalità. I nuovi ruoli SOAR predefiniti sono:

• Chronicle SOAR Admin
• Chronicle SOAR Engineer
• Chronicle SOAR Analyst
• Chronicle SOAR Viewer
• Chronicle SOAR Service Agent

Dopo la migrazione delle autorizzazioni, si verifica quanto segue:

• La pagina Impostazioni SOAR > Organizzazione > Autorizzazioni è ancora disponibile fino al 30 giugno 2026 (per la compatibilità con le versioni precedenti con le chiavi dell'app). Non apportare modifiche a questa pagina. Le autorizzazioni sono tutte gestite tramite IAM.
• La colonna Gruppo di autorizzazioni nelle pagine di mapping viene rimossa.
• La sezione delle azioni con limitazioni nella pagina Autorizzazioni verrà spostata nella pagina Mappatura dei gruppi IDP (o nella pagina Gruppo email).

Esegui la migrazione delle API SOAR all'API Chronicle

L'API SOAR viene sostituita dall'API Chronicle. Prima di utilizzare l'API Chronicle, devi completare la migrazione dai gruppi di autorizzazioni a IAM. Puoi attivare l'accesso in anteprima per utilizzare gli endpoint SOAR v1 beta nell'API Chronicle a partire dal 1° novembre 2025. Una versione più recente, la v1, sarà disponibile per tutti i clienti per l'accesso generale a partire dal 1° gennaio 2026.

Devi aggiornare gli script e le integrazioni per sostituire gli endpoint API SOAR con gli endpoint API Chronicle corrispondenti. L'API SOAR legacy e le chiavi API saranno disponibili fino al 30 giugno 2026, dopodiché non funzioneranno più. Per ulteriori informazioni, consulta Eseguire la migrazione degli endpoint all'API Chronicle.

Esegui la migrazione degli agenti remoti

Per eseguire la migrazione degli agenti remoti a Google Cloud :

1. Crea un service account anziché una chiave API per l'agente remoto.
2. Esegui l'upgrade della versione principale dell'agente remoto.

Gli agenti remoti esistenti saranno disponibili fino al 30 giugno 2026, dopodiché non funzioneranno più. Per istruzioni dettagliate, vedi Eseguire la migrazione degli agenti remoti a Google Cloud.

Esegui la migrazione degli audit log SOAR

I log SOAR diventeranno disponibili in Google Cloud una volta completata la migrazione delle autorizzazioni a IAM. Tutte le chiamate effettuate alla vecchia API SOAR fino al 30 giugno 2026 rimarranno accessibili nei log di controllo SOAR. Per i clienti Google SecOps, consulta Raccogliere i log di Google SecOps SOAR. Per i clienti SOAR autonomi, consulta Raccogliere i log SOAR.

Ulteriori modifiche post-migrazione:

Tipo di licenza Il tipo di licenza ora è determinato dalle autorizzazioni assegnate all'utente in IAM.

Pagina di destinazione La pagina di destinazione verrà spostata dalla pagina Autorizzazioni al menu Preferenze utente, accessibile dal tuo avatar.

Passaggi successivi

• Esegui la migrazione degli endpoint SOAR all'API Chronicle
• Eseguire la migrazione degli agenti remoti
• Domande frequenti

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.