SOAR 마이그레이션 개요

이 문서에서는 SOAR 인프라를 로 Google Cloud마이그레이션하는 프로세스와 일정에 대해 설명합니다. 이 마이그레이션은 인프라를 현대화하고 서비스와의 통합을 강화하여 Google Security Operations 통합 고객과 로 전환하는 독립형 SOAR 사용자 모두에게 이점을 제공하는 것을 목표로 합니다. Google Cloud Google Cloud

이 마이그레이션은 향상된 안정성, 개선된 보안, 규정 준수 강화, 세분화된 액세스 제어를 포함한 중요한 기반 시설 업그레이드를 제공하는 데 필요합니다. 또한 모델 컨텍스트 프로토콜 (MCP) 통합 및 액세스 제어를 위한 IAM, Cloud Monitoring, Cloud 감사 로그를 비롯한 동급 최고의 서비스를 통해 에이전트 AI 기능에 액세스할 수 있습니다.

마이그레이션은 1단계와 2단계의 두 단계로 진행됩니다.

1단계에는 다음 마이그레이션이 포함됩니다.

• Google 소유 SOAR 프로젝트를 Google Cloud 인프라로 마이그레이션합니다. 이 작업은 Google에서 수행합니다.
• SOAR 인증을 Google Cloud 로 마이그레이션합니다(독립형 SOAR 고객에게만 적용됨).

2단계에는 다음 마이그레이션이 포함됩니다.

• SOAR 권한 그룹 및 권한을 Google Cloud IAM으로 마이그레이션합니다.
• SOAR API를 새 통합 Chronicle API로 마이그레이션합니다. 기존 스크립트와 통합을 업데이트해야 합니다.
• 웹훅을 마이그레이션합니다.
• 원격 에이전트를 마이그레이션합니다.
• SOAR 감사 로그를 마이그레이션합니다.

Google SecOps 통합 고객을 위한 마이그레이션 1단계

제품 내 알림에서 1단계 마이그레이션 날짜와 포함된 Google 양식을 확인하여 시간대를 확인합니다. 1단계에는 다음 마이그레이션이 포함됩니다.

• Google 소유 SOAR 프로젝트를로 마이그레이션합니다. Google Cloud

마이그레이션에는 Google SecOps 플랫폼에 액세스할 수 없는 최대 90분의 다운타임이 포함됩니다. 이 다운타임 동안 SIEM 서비스는 백그라운드에서 계속 작동하지만 SOAR 서비스는 일시적으로 일시중지됩니다. 다운타임 후에는 플랫폼에 액세스할 수 있으며 SOAR 서비스는 다운타임 중에 생성되거나 수집된 모든 알림 처리를 재개합니다.

마이그레이션이 완료되면 이메일이 전송됩니다.

독립형 SOAR 고객을 위한 마이그레이션 1단계

1단계를 시작할 준비가 되면 제품 내 알림 메시지가 표시됩니다. 다음 작업을 수행해야 합니다.

1. 프로젝트를 Google Cloud 설정합니다. Chronicle 지원에 액세스하기 위해 설정되었지만 아직 Google Security Operations 인스턴스가 없는 Google Cloud 프로젝트를 사용할 수도 있습니다.
2. Chronicle API를 사용 설정합니다.
3. SOAR에 액세스하기 위한 Google Cloud 인증을 설정합니다. SOAR에 액세스하기 위한인증 Google Cloud 설정을 참고하세요.
4. 제품 내 알림의 Google 양식에 Google Cloud 프로젝트 ID를 제공하고 양식을 제출하기 전에 마이그레이션 날짜와 시간대를 확인합니다.
5. 'Google Security Operations 페이지 가져오기' 초대 이메일을 수락하고 설정을 완료합니다. 지역 정보가 정확한지 확인합니다.
6. 마이그레이션 전 유효성 검사 가이드를 참고하여 이전 단계를 올바르게 설정했는지 확인합니다.

단계를 완료하면 Google에서 선택한 날짜와 시간에 마이그레이션을 실행합니다. 마이그레이션 중에 SOAR 서비스에서 2시간의 다운타임이 발생합니다. 완료 후 SOAR 플랫폼에 액세스할 수 있는 새 URL과 함께 이메일이 전송됩니다. 이전 URL은 2026년 6월 30일까지 새 URL로 리디렉션하여 작동합니다.

SOAR에 액세스하기 위한 Google Cloud 인증 설정

설정하고 사용하려는 ID 유형에 따라 다음 옵션 중 하나를 설정해야 합니다. 이 안내를 실행하려면 Google Cloud 및 ID / IDP 관리자의 도움이 필요할 수 있습니다.

옵션 1: 에서 Cloud ID 인증 구성 Google Cloud (Google 관리 계정)

이 시나리오는 Google 관리 사용자 이름과 비밀번호를 사용하여 Cloud ID 내에서 사용자 계정을 직접 관리하는 경우에 적용됩니다. Okta 또는 Azure AD와 같은 서드 파티 ID 공급업체와 SSO에 Cloud ID를 사용하는 경우에는 적용되지 않습니다. 다음 단계를 완료합니다.

1. 에서 Cloud ID를 설정합니다 Google Cloud. Google 관리 사용자 이름과 비밀번호로 Cloud ID가 이미 설정되어 있는 경우 이 단계를 건너뛰어도 됩니다.
2. 기존 SOAR 사용자가 모두 Cloud ID 관리 콘솔에서 구성되어 있는지 확인합니다.
3. Google 계정의 역할 할당 형식에 따라 IAM에서 필요한 역할을 부여합니다.
   1. 다음과 같이 사전 정의된 IAM 역할을 온보딩 SME에 할당합니다. Google Cloud
      • Chronicle API 관리자
      • Chronicle 서비스 관리자
      • Chronicle SOAR 관리자
      • 프로젝트 IAM 관리자
      • 서비스 사용량 관리자
   2. 다음과 같이 사전 정의된 IAM 역할 중 하나를 기존 SOAR 사용자 모두에게 할당합니다.
      • Chronicle API 관리자
      • Chronicle API 편집자
      • Chronicle API 뷰어
      • Chronicle API 제한적 뷰어
4. 각 사용자 (관리자 포함)를 이메일 사용자 그룹에 매핑하여 SOAR에서 인증 설정을 완료합니다.
   1. 설정 > SOAR 설정 > 고급 > 그룹 매핑으로 이동합니다.
   2. +를 클릭하고 다음 정보를 입력합니다.
      • 그룹 이름 추가: 이메일 그룹에 할당하는 이름(예: T1 분석가 또는 EU 분석가)
      • 그룹 구성원: 필요한 사용자 이메일을 추가합니다. 각 이메일을 추가한 후 Enter 키를 누릅니다.
      • 권한 그룹과 SOC 역할 모두에 관리자 권한이 있는 관리자 사용자 그룹을 선택합니다. 모든 환경 을 선택합니다.
      • 외부 인증 페이지에 기존 이메일 사용자 그룹 매핑이 있는 경우 기존 SOAR 인증을 재정의하지 않도록 그대로 두어야 합니다. SOAR에 액세스하기 위한 새 Google Cloud 인증의 경우 설정 > SOAR 설정 > 고급 > 그룹 매핑 페이지에서 이메일 사용자 그룹 매핑을 설정해야 합니다.
      • 완료되면 추가 를 클릭합니다. 사용자가 플랫폼에 로그인할 때마다 설정 > 조직 > 사용자 관리 페이지에 자동으로 추가됩니다. 마이그레이션된 인스턴스는 이러한 매핑을 유지하며, 이는 SOAR에 대한 사용자 액세스를 결정하는 기준이 됩니다. Google SecOps에 액세스하려면 모든 사용자가 이 페이지에 매핑되어 있어야 합니다.

옵션 2: 에서 직원 ID 제휴 인증 구성 Google Cloud

이 시나리오는 Microsoft Azure Active Directory, Okta, Ping Identity, AD FS와 같은 서드 파티 IdP를 사용하여 사용자 ID를 관리하는 경우에 적용됩니다.

1. 에서 직원 ID 제휴를 설정합니다. Google Cloud 이미 설정되어 있는 경우 이 단계를 건너뛰어도 됩니다.
2. SOAR의 기존 사용자가 모두 직원 ID 제휴에서 설정된 직원 풀 그룹에 속해 있는지 확인합니다.
3. 직원 ID의 역할 할당 형식에 따라 IAM에서 필요한 역할을 부여합니다.
   1. 다음과 같이 사전 정의된 IAM 역할을 모두 온보딩 SME에 할당합니다.
      • Chronicle API 관리자
      • Chronicle 서비스 관리자
      • Chronicle SOAR 관리자
      • 프로젝트 IAM 관리자
      • 서비스 사용량 관리자
   2. 다음과 같이 IAM에서 역할 중 하나를 기존 SOAR 사용자 모두에게 할당합니다.
      • Chronicle API 관리자
      • Chronicle API 편집자
      • Chronicle API 뷰어
      • Chronicle API 제한적 뷰어
4. SOAR에 액세스해야 하는 모든 IdP 그룹을 매핑하여 SOAR에서 인증 설정을 완료합니다. 기존 사용자가 하나 이상의 IdP 그룹에 매핑되어 있는지 확인합니다.
   1. 설정 > SOAR 설정 > 고급 > 그룹 매핑으로 이동합니다.
   2. +를 클릭하고 다음 정보를 입력합니다.
      • IdP 그룹 이름: IdP에서 그룹 이름을 추가합니다.
      • 권한 그룹, 환경, SOC 역할에 필요한 액세스 권한을 선택합니다.
   3. 권한 그룹, SOC 역할에 관리자 권한이 있는 관리자 IdP 그룹을 추가하고 모든 환경을 선택했는지 확인합니다.
   4. 외부 인증 페이지에 기존 IdP 그룹 매핑이 있는 경우 기존 SOAR 인증을 재정의하지 않도록 그대로 두어야 합니다. SOAR에 액세스하기 위한 새 Google Cloud 인증의 경우 설정 > SOAR 설정 > 고급 > 그룹 매핑 페이지에서 IdP 그룹 매핑을 설정해야 합니다.
   5. 완료되면 추가 를 클릭합니다. 사용자가 플랫폼에 로그인할 때마다 설정 > 조직 > 사용자 관리 페이지에 자동으로 추가됩니다. 마이그레이션된 인스턴스는 이러한 매핑을 유지하며, 이는 SOAR에 대한 사용자 액세스를 결정하는 기준이 됩니다. Google SecOps에 액세스하려면 모든 사용자가 이 페이지에 매핑되어 있어야 합니다.

모든 고객을 위한 2단계 마이그레이션

중요: 2단계 마이그레이션을 시작하기 전에 1단계를 완료해야 합니다.

2단계 마이그레이션은 2026년 1월 26일부터 모든 고객에게 일반적으로 제공됩니다.

2단계 전환을 완료하기 위한 최종 기한은 2026년 9월 30일입니다.

SOAR 권한 그룹을 Google Cloud IAM으로 마이그레이션

마이그레이션 스크립트를 한 번 클릭하여 SOAR 권한 그룹과 권한을 IAM으로 마이그레이션합니다. 에서 Google Cloud 스크립트는 각 권한 그룹에 대해 새 커스텀 역할을 만들고 Cloud ID 고객의 사용자 또는 직원 ID 제휴 고객의 IdP 그룹에 할당합니다. Terraform을 사용하여 SOAR 권한을 마이그레이션할 수도 있습니다.

마이그레이션 스크립트 및 Terraform 명령어에 대한 자세한 내용은 SOAR 권한을 Google Cloud IAM으로 마이그레이션을 참고하세요.

권한을 설정하는 방법에 대한 자세한 내용은 기능 액세스 구성을 참고하세요.

권한 마이그레이션 후에는 다음과 같은 일이 발생합니다.

• SOAR 설정 > 조직 > 권한 페이지는 2026년 9월 30일까지 계속 사용할 수 있습니다 (기존 API와의 이전 버전과의 호환성). 이 페이지를 변경하지 마세요. 권한은 모두 IAM을 통해 관리됩니다.
• 그룹 매핑 페이지의 권한 그룹 열은 기존 SOAR API와의 이전 버전과의 호환성을 위해 표시됩니다. 이러한 할당을 삭제하지 마세요. 이 열은 고객에게 영향을 미치지 않고 2026년 9월 30일까지 자동으로 삭제됩니다.
• 권한 페이지의 제한된 작업 섹션이 그룹 매핑 페이지로 이동합니다.

SOAR API를 Chronicle API로 마이그레이션

API 호출 또는 통합을 통해 프로그래매틱 방식으로 SOAR API를 사용하는 경우 Chronicle API의 일부로 제공되는 새 SOAR v1 베타 엔드포인트로 마이그레이션할 수 있습니다.

스크립트와 통합을 업데이트하여 SOAR API 엔드포인트를 상응하는 Chronicle API 엔드포인트로 바꿔야 합니다. 기존 SOAR API 및 API 키는 2026년 9월 30일까지 사용할 수 있으며 그 이후에는 더 이상 작동하지 않습니다. 자세한 내용은 엔드포인트를 Chronicle API로 마이그레이션을 참고하세요.

웹훅 마이그레이션

2026년 9월 30일 전에 다음을 실행하여 SOAR 웹훅을 Chronicle API로 마이그레이션해야 합니다.

새 새 요청 형식을 사용하여 기존 siemplify-soar.com 도메인을 새 googleapis.com 도메인으로 바꿔 클라이언트 측에서 웹훅 URL을 업데이트합니다. 기존 siemplify-soar.com 도메인은 2026년 9월 30일까지 계속 작동합니다.

예를 들어 https://xxxx.siemplify-soar.com/api/external/v1/webhooks/{webhook_id}?api_key=xxxx에 정의된 웹훅은

https://us-chronicle.googleapis.com/v1alpha/projects/{project_id}/locations/{location}/instances/{instance/{instance_id}/webhooks/{webhook_id}?api_key=xxxx로 업데이트해야 합니다.

웹훅 인증은 변경되지 않습니다. 웹훅은 웹훅 링크와 함께 처음 생성된 API 키를 계속 사용합니다.

원격 에이전트 마이그레이션

다음을 실행하여 원격 에이전트를 Google Cloud 로 마이그레이션할 수 있습니다.

1. 원격 에이전트의 API 키 대신 서비스 계정을 만듭니다.
2. 원격 에이전트의 메이저 버전 업그레이드를 실행합니다.

기존 원격 에이전트는 2026년 9월 30일까지 사용할 수 있으며 그 이후에는 더 이상 작동하지 않습니다. 자세한 안내는 원격 에이전트를 Google Cloud로 마이그레이션을 참고하세요.

SOAR 감사 로그 마이그레이션

IAM으로 권한 마이그레이션을 완료하면 Google Cloud 에서 SOAR 로그를 사용할 수 있게 됩니다. 2026년 9월 30일까지 기존 SOAR API에 대한 모든 호출은 SOAR 감사 로그 에서 계속 액세스할 수 있습니다. Google SecOps 고객의 경우 Google SecOps SOAR 로그 수집을 참고하세요. 독립형 SOAR 고객의 경우 SOAR 로그 수집을 참고하세요.

마이그레이션 후 추가 변경사항:

라이선스 유형 이제 라이선스 유형은 IAM에서 사용자에게 할당된 권한에 따라 결정됩니다.

방문 페이지 방문 페이지는 권한 페이지에서 아바타에서 액세스할 수 있는 사용자 환경설정 메뉴로 이동합니다.

다음 단계

• SOAR 마이그레이션 사전 유효성 검사 가이드
• MSSP의 독립형 SOAR 인스턴스 마이그레이션
• SOAR 엔드포인트를 Chronicle API로 마이그레이션
• 원격 에이전트 마이그레이션
• SOAR 권한을 Google Cloud IAM으로 마이그레이션
• 자주 묻는 질문(FAQ)

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.