Panoramica della migrazione SOAR

Questo documento descrive la procedura e le tempistiche per la migrazione dell'infrastruttura SOAR a Google Cloud. La migrazione mira a modernizzare l'infrastruttura e a migliorarne l'integrazione con Google Cloud i servizi, a vantaggio sia dei clienti unificati di Google Security Operations sia degli utenti SOAR autonomi che eseguono la transizione a Google Cloud.

Questa migrazione è necessaria per fornire upgrade dell'infrastruttura critica tra cui maggiore affidabilità, sicurezza migliorata, maggiore conformità e controllo dell'accesso più granulare. Consente inoltre l'accesso alle funzionalità di AI agentica tramite l'integrazione di Model Context Protocol (MCP) e a servizi di prima qualità, tra cui IAM per il controllo dell'accesso, Cloud Monitoring e Cloud Audit Logs.

La migrazione viene eseguita in due fasi: Fase 1 e Fase 2.

La Fase 1 include le seguenti migrazioni:

• Migrazione del progetto SOAR di proprietà di Google all' Google Cloud infrastruttura. Questa operazione viene eseguita da Google.
• Migrazione dell'autenticazione SOAR a Google Cloud (applicabile solo ai clienti SOAR autonomi).

La Fase 2 include le seguenti migrazioni:

• Migrazione di gruppi di autorizzazioni e autorizzazioni SOAR a Google Cloud IAM.
• Migrazione delle API SOAR alla nuova API Chronicle unificata, che richiede aggiornamenti agli script e alle integrazioni esistenti.
• Migrazione dei webhook.
• Migrazione degli agenti remoti.
• Migrazione degli audit log SOAR.

Fase 1 della migrazione per i clienti unificati di Google SecOps

Controlla la notifica nel prodotto per la data di migrazione della Fase 1 e il modulo Google incluso per confermare la fascia oraria. La Fase 1 include le seguenti migrazioni.

• Esegui la migrazione del progetto SOAR di proprietà di Google a Google Cloud

La migrazione comporta un tempo di inattività fino a 90 minuti durante i quali la piattaforma Google SecOps non è accessibile. Durante questo periodo di inattività, i servizi SIEM continueranno a funzionare in background, mentre i servizi SOAR verranno messi in pausa temporaneamente. Al termine del periodo di inattività, la piattaforma sarà accessibile e i servizi SOAR riprenderanno l'elaborazione di eventuali avvisi generati o inseriti durante il periodo di inattività.

Al termine della migrazione, ti invieremo un'email.

Fase 1 della migrazione per i clienti SOAR autonomi

Quando saremo pronti per avviare la Fase 1, riceverai un messaggio di notifica nel prodotto. Assicurati di eseguire le seguenti operazioni:

1. Configura un Google Cloud progetto. Puoi anche utilizzare un Google Cloud progetto che potrebbe essere stato configurato per accedere all'assistenza Chronicle, ma non ha ancora un'istanza di Google Security Operations.
2. Abilita l'API Chronicle.
3. Configura l'autenticazione Google Cloud per accedere a SOAR. Consulta Configura Google Cloud l'autenticazione per accedere a SOAR.
4. Fornisci l'ID del Google Cloud progetto nel modulo Google nella notifica nel prodotto e conferma la data e la fascia oraria della migrazione prima di inviare il modulo.
5. Accetta l'email di invito alla pagina "Ottieni Google Security Operations" e completa la configurazione. Assicurati che le informazioni sulla regione siano corrette.
6. Verifica che i passaggi precedenti siano stati configurati correttamente consultando la guida alla convalida pre-migrazione.

Dopo aver completato i passaggi, Google esegue la migrazione alla data e all'ora scelte. Durante la migrazione, i servizi SOAR subiranno un periodo di inattività di 2 ore. Al termine, ti invieremo un'email con un nuovo URL per accedere alla piattaforma SOAR. Il vecchio URL funzionerà fino al 30 giugno 2026 reindirizzandoti al nuovo URL.

Configura l'autenticazioneper accedere a SOAR Google Cloud

A seconda del tipo di identità che vuoi configurare e utilizzare, devi configurare una delle seguenti opzioni. Per eseguire queste istruzioni, potresti aver bisogno dell'aiuto del tuo Google Cloud amministratore di e di identità / IDP.

Opzione 1: configura l'autenticazione Cloud Identity in Google Cloud (account gestiti da Google)

Questo scenario è applicabile se gestisci gli account utente direttamente in Cloud Identity utilizzando nomi utente e password gestiti da Google. Non si applica se utilizzi Cloud Identity per il servizio SSO con un provider di identità di terze parti come Okta o Azure AD. Completa i seguenti passaggi:

1. Configura Cloud Identity in Google Cloud. Puoi saltare questo passaggio se hai già configurato Cloud Identity con nome utente e password gestiti da Google.
2. Assicurati che tutti gli utenti SOAR esistenti siano configurati nella Console di amministrazione Cloud Identity.
3. Concedi i ruoli richiesti in IAM seguendo il formato di assegnazione dei ruoli per gli Account Google.
   1. Assegna i seguenti ruoli IAM predefiniti in Google Cloud all'esperto di onboarding:
      • Amministratore API Chronicle
      • Amministratore servizi Chronicle
      • Amministratore Chronicle SOAR
      • Amministratore IAM progetto
      • Amministratore Service Usage
   2. Assegna uno dei seguenti ruoli IAM predefiniti a tutti gli utenti SOAR esistenti:
      • Amministratore API Chronicle
      • Editor API Chronicle
      • Visualizzatore API Chronicle
      • Visualizzatore limitato API Chronicle
4. Completa la configurazione dell'autenticazione in SOAR mappando ogni utente (inclusi gli amministratori) a un gruppo di utenti email.
   1. Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura di gruppi.
   2. Fai clic su + e inserisci le seguenti informazioni.
      • Aggiungi nome gruppo: il nome che assegni a un gruppo di email, ad esempio analisti di livello 1 o analisti UE.
      • Membri del gruppo: aggiungi le email utente richieste. Premi Invio dopo aver aggiunto ogni email.
      • Seleziona il gruppo di utenti amministratori con autorizzazioni di amministratore sia per i gruppi di autorizzazioni sia per i ruoli SOC. Seleziona Tutti gli ambienti.
      • Se hai mappature di gruppi di utenti email esistenti nella pagina Autenticazione esterna, lasciale invariate per non sostituire l'autenticazione SOAR esistente. Per la nuova Google Cloud autenticazione per accedere a SOAR, devi comunque configurare la mappatura dei gruppi di utenti email nella pagina Impostazioni > Impostazioni SOAR > Avanzate > Mappatura di gruppi.
      • Al termine, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Impostazioni > Organizzazione > Gestione utenti. L'istanza sottoposta a migrazione conserva queste mappature, che fungono da base per determinare l'accesso degli utenti a SOAR. Per accedere a Google SecOps, devi assicurarti che ogni utente sia mappato in questa pagina.

Opzione 2: configura l'autenticazione della federazione delle identità per la forza lavoro in Google Cloud

Questo scenario è applicabile se gestisci le identità utente utilizzando IDP di terze parti come Microsoft Azure Active Directory, Okta, Ping Identity e AD FS.

1. Configura la federazione delle identità per la forza lavoro in Google Cloud Puoi saltare questo passaggio se è già stato configurato.
2. Assicurati che tutti gli utenti esistenti in SOAR facciano parte dei gruppi di pool della forza lavoro configurati nella federazione delle identità per la forza lavoro.
3. Concedi i ruoli richiesti in IAM seguendo il formato di assegnazione dei ruoli per le identità della forza lavoro.
   1. Assegna tutti i seguenti ruoli IAM predefiniti all'esperto di onboarding.
      • Amministratore API Chronicle
      • Amministratore servizi Chronicle
      • Amministratore Chronicle SOAR
      • Amministratore IAM progetto
      • Amministratore Service Usage
   2. Assegna uno dei seguenti ruoli in IAM a tutti gli utenti SOAR esistenti:
      • Amministratore API Chronicle
      • Editor API Chronicle
      • Visualizzatore API Chronicle
      • Visualizzatore limitato API Chronicle
4. Completa la configurazione dell'autenticazione in SOAR mappando tutti i gruppi IDP che devono accedere a SOAR. Assicurati che gli utenti esistenti siano mappati ad almeno uno dei gruppi IDP.
   1. Vai a Impostazioni > Impostazioni SOAR > Avanzate > Mappatura di gruppi.
   2. Fai clic su + e inserisci le seguenti informazioni.
      • Nome gruppo IDP: aggiungi il nome del gruppo dal tuo IDP.
      • Scegli l'accesso necessario a gruppi di autorizzazioni, ambienti e ruoli SOC.
   3. Assicurati di aver aggiunto il gruppo IDP amministratore con autorizzazioni di amministratore per i gruppi di autorizzazioni, i ruoli SOC e seleziona Tutti gli ambienti.
   4. Se hai mappature di gruppi IDP esistenti nella pagina Autenticazione esterna, lasciale invariate per non sostituire l'autenticazione SOAR esistente. Per la nuova Google Cloud autenticazione per accedere a SOAR, devi comunque configurare la mappatura dei gruppi IDP nella pagina Impostazioni > Impostazioni SOAR > Avanzate > Mappatura di gruppi.
   5. Al termine, fai clic su Aggiungi. Ogni volta che un utente accede alla piattaforma, viene aggiunto automaticamente alla pagina Impostazioni > Organizzazione > Gestione utenti. L'istanza sottoposta a migrazione conserva queste mappature, che fungono da base per determinare l'accesso degli utenti a SOAR. Per accedere a Google SecOps, devi assicurarti che ogni utente sia mappato in questa pagina.

Fase 2 della migrazione per tutti i clienti

Importante: devi completare la Fase 1 prima di iniziare la migrazione della Fase 2.

La migrazione della Fase 2 è in disponibilità generale per tutti i clienti dal 26 gennaio 2026.

La scadenza finale per completare la transizione della Fase 2 è il 30 settembre 2026.

Esegui la migrazione dei gruppi di autorizzazioni SOAR a Google Cloud IAM

Esegui la migrazione dei gruppi di autorizzazioni e delle autorizzazioni SOAR a IAM tramite un solo clic sullo script di migrazione in Google Cloud. Lo script crea nuovi ruoli personalizzati per ogni gruppo di autorizzazioni e li assegna agli utenti per i clienti Cloud Identity o ai gruppi IDP per i clienti della federazione delle identità per la forza lavoro. Puoi anche eseguire la migrazione delle autorizzazioni SOAR utilizzando Terraform.

Per tutti i dettagli sullo script di migrazione e sui comandi Terraform, consulta Esegui la migrazione delle autorizzazioni SOAR a Google Cloud IAM.

Per saperne di più su come configurare le autorizzazioni, consulta Configurare l'accesso alle funzionalità.

Dopo la migrazione delle autorizzazioni, si verifica quanto segue:

• La pagina Impostazioni SOAR > Organizzazione > Autorizzazioni è ancora disponibile fino al 30 settembre 2026 (per la compatibilità con le API legacy). Non apportare modifiche a questa pagina. Le autorizzazioni vengono gestite tutte tramite IAM.
• La colonna Gruppo di autorizzazioni nella pagina Mappatura di gruppi viene visualizzata per la compatibilità con l'API SOAR legacy. Non eliminare queste assegnazioni. La colonna verrà rimossa automaticamente entro il 30 settembre 2026 senza alcun impatto sui clienti.
• La sezione delle azioni limitate nella pagina Autorizzazioni verrà spostata nella pagina Mappatura di gruppi.

Esegui la migrazione delle API SOAR all'API Chronicle

Se utilizzi l'API SOAR a livello di programmazione tramite chiamate API o integrazioni, puoi eseguirne la migrazione ai nuovi endpoint beta SOAR v1 disponibili nell'ambito dell'API Chronicle.

Devi aggiornare gli script e le integrazioni per sostituire gli endpoint dell'API SOAR con gli endpoint dell'API Chronicle corrispondenti. L'API SOAR legacy e le chiavi API saranno disponibili fino al 30 settembre 2026, dopodiché non funzioneranno più. Per saperne di più, consulta Esegui la migrazione degli endpoint all'API Chronicle.

Esegui la migrazione dei webhook

Prima del 30 settembre 2026, devi eseguire la migrazione dei webhook SOAR all'API Chronicle procedendo nel seguente modo:

Aggiorna l'URL webhook sul lato client sostituendo il dominio legacy siemplify-soar.com con il nuovo dominio googleapis.com utilizzando il nuovo formato della richiesta. Il dominio legacy siemplify-soar.com continuerà a funzionare fino al 30 settembre 2026.

Ad esempio, un webhook definito su: https://xxxx.siemplify-soar.com/api/external/v1/webhooks/{webhook_id}?api_key=xxxx

dovrà essere aggiornato a: https://us-chronicle.googleapis.com/v1alpha/projects/{project_id}/locations/{location}/instances/{instance/{instance_id}/webhooks/{webhook_id}?api_key=xxxx

L'autenticazione per i webhook rimane invariata. I webhook continuano a utilizzare la chiave API creata inizialmente insieme al link del webhook.

Esegui la migrazione degli agenti remoti

Puoi eseguire la migrazione degli agenti remoti a Google Cloud nel seguente modo:

1. Crea un service account anziché una chiave API per l'agente remoto.
2. Esegui un upgrade della versione principale dell'agente remoto.

Gli agenti remoti esistenti saranno disponibili fino al 30 settembre 2026, dopodiché non funzioneranno più. Per istruzioni dettagliate, consulta Esegui la migrazione degli agenti remoti a Google Cloud.

Esegui la migrazione degli audit log SOAR

I log SOAR diventeranno disponibili in Google Cloud una volta completata la migrazione delle autorizzazioni a IAM. Tutte le chiamate effettuate all'API SOAR legacy fino al 30 settembre 2026 rimarranno accessibili in gli audit log SOAR Per i clienti di Google SecOps, consulta Raccogli i log SOAR di Google SecOps. Per i clienti SOAR autonomi, consulta Raccogli i log SOAR

Ulteriori modifiche dopo la migrazione:

Tipo di licenza Il tipo di licenza è ora determinato dalle autorizzazioni assegnate all'utente in IAM.

Pagina di destinazione La pagina di destinazione verrà spostata dalla pagina Autorizzazioni al menu Preferenze utente, accessibile dal tuo avatar.

Passaggi successivi

• Guida alla pre-convalida della migrazione SOAR
• Esegui la migrazione di un'istanza autonoma SOAR di un MSSP
• Esegui la migrazione degli endpoint SOAR all'API Chronicle
• Esegui la migrazione degli agenti remoti
• Esegui la migrazione delle autorizzazioni SOAR a Google Cloud IAM
• Domande frequenti

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.