SOAR 마이그레이션 개요

이 문서에서는 SOAR 인프라를 Google Cloud로 마이그레이션하는 프로세스와 일정에 대해 설명합니다. 이번 마이그레이션은 인프라를 현대화하고 Google Cloud 서비스와의 통합을 강화하여 Google Security Operations 통합 고객과 Google Cloud로 전환하는 독립형 SOAR 사용자 모두에게 혜택을 제공하는 것을 목표로 합니다.

이번 이전은 안정성 향상, 보안 개선, 규정 준수 강화, 세분화된 액세스 제어 등 중요 인프라 업그레이드를 제공하기 위해 필요합니다. 또한 Model Context Protocol (MCP) 통합과 액세스 제어를 위한 IAM, Cloud Monitoring, Cloud 감사 로그 등 동급 최고의 서비스를 통해 에이전트 AI 기능에 액세스할 수 있습니다.

이전은 1단계와 2단계의 두 단계로 진행됩니다.

1단계에는 다음 마이그레이션이 포함됩니다.

• Google 소유 SOAR 프로젝트를 Google Cloud 인프라로 마이그레이션 이 작업은 Google에서 실행합니다.
• SOAR 인증을 Google Cloud 로 이전(SOAR 독립형 고객에게만 적용)

2단계에는 다음 마이그레이션이 포함됩니다.

• SOAR 권한 그룹 및 권한을 Google Cloud IAM으로 이전
• SOAR API가 새로운 통합 Chronicle API로 이전되어 기존 스크립트와 통합을 업데이트해야 합니다.
• 원격 에이전트 마이그레이션
• SOAR 감사 로그 마이그레이션

Google SecOps 통합 고객의 이전 1단계

제품 내 알림에서 1단계 이전 날짜와 포함된 Google Forms를 확인하여 시간대를 확인하세요. 1단계에는 다음 마이그레이션이 포함됩니다.

• Google 소유 SOAR 프로젝트를 다음으로 마이그레이션 Google Cloud

마이그레이션에는 Google SecOps 플랫폼에 액세스할 수 없는 90분의 다운타임이 포함됩니다. 이 다운타임 동안 SIEM 서비스는 백그라운드에서 계속 작동하며 SOAR 서비스는 일시적으로 일시중지됩니다. 다운타임이 지나면 플랫폼에 액세스할 수 있으며 SOAR 서비스는 다운타임 중에 생성되거나 수집된 알림 처리를 재개합니다.

마이그레이션이 완료되면 이메일이 전송됩니다.

SOAR 독립형 고객의 마이그레이션 1단계

1단계를 시작할 준비가 되면 제품 내 알림 메시지가 표시됩니다. 다음과 같이 해야 합니다.

1. Google Cloud 프로젝트 설정 Chronicle 지원에 액세스하도록 설정되었지만 아직 Google Security Operations 인스턴스가 없는 Google Cloud 프로젝트를 사용할 수도 있습니다.
2. Chronicle API 사용 설정
3. SOAR에 액세스하기 위한 Google Cloud 인증을 설정합니다. SOAR에 액세스하기 위한 Google Cloud 인증 설정을 참고하세요.
4. 제품 내 알림의 Google 양식에 Google Cloud 프로젝트 ID를 제공하고 양식을 제출하기 전에 이전 날짜와 시간대를 확인합니다.
5. 'Google Security Operations 받기 페이지'의 초대 이메일을 수락하고 설정을 완료합니다. 지역 정보가 정확한지 확인합니다.

마이그레이션 중에 SOAR 서비스의 다운타임이 2시간 발생합니다. 완료되면 SOAR 플랫폼에 액세스할 수 있는 새 URL과 함께 이메일이 전송됩니다. 이전 URL은 새 URL로 리디렉션되어 2026년 6월 30일까지 작동합니다.

SOAR에 액세스하기 위한 Google Cloud 인증 설정

설정하고 사용하려는 ID 유형에 따라 다음 옵션 중 하나를 설정해야 합니다. 이 안내를 따르려면 Google Cloud 관리자의 도움이 필요할 수 있습니다.

옵션 1: Google Cloud 에서 Cloud ID 인증 구성(Google 관리 계정)

이 시나리오는 Google에서 관리하는 사용자 이름과 비밀번호를 사용하여 Cloud ID 내에서 직접 사용자 계정을 관리하는 경우에 적용됩니다. Okta 또는 Azure AD와 같은 서드 파티 ID 공급업체와 SSO에 Cloud ID를 사용하는 경우에는 적용되지 않습니다. 다음 단계를 완료합니다.

1. Google Cloud에서 Cloud ID 설정 Google 관리 사용자 이름과 비밀번호로 Cloud ID를 이미 설정한 경우 이 단계를 건너뛰어도 됩니다.
2. 기존 SOAR 사용자가 모두 Cloud ID 관리 콘솔에서 구성되어 있는지 확인합니다.
3. Google 계정의 역할 할당 형식에 따라 IAM에서 필요한 역할을 부여합니다.
   1. 온보딩 SME에게 Google Cloud 에서 다음 사전 정의된 IAM 역할을 할당합니다.
      • Chronicle API 관리자
      • Chronicle 서비스 관리자
      • Chronicle SOAR 관리자
      • 프로젝트 IAM 관리자
      • 서비스 사용량 관리자
   2. 기존 SOAR 사용자 모두에게 다음 사전 정의된 IAM 역할 중 하나를 할당합니다.
      • Chronicle API 관리자
      • Chronicle API 편집자
      • Chronicle API 뷰어
      • Chronicle API 제한적 뷰어
4. 관리자를 포함한 각 사용자를 이메일 사용자 그룹에 매핑하여 SOAR에서 인증 설정을 완료합니다.
   1. 설정 > SOAR 설정 > 고급 > 그룹 매핑으로 이동합니다.
   2. +를 클릭하고 다음 정보를 입력합니다.
      • 그룹 이름 추가: 이메일 그룹에 할당하는 이름입니다(예: T1 분석가 또는 EU 분석가).
      • 그룹 구성원: 필요한 사용자 이메일을 추가합니다. 이메일을 추가한 후 Enter 키를 누릅니다.
      • SOAR 권한 그룹, 환경, SOC 역할에 대한 필요한 액세스 권한 선택 사용자가 플랫폼에 로그인할 때마다 설정 > 조직 > 사용자 관리 페이지에 사용자가 자동으로 추가됩니다.

옵션 2: Google Cloud에서 직원 ID 제휴 인증 구성

이 시나리오는 Microsoft Azure Active Directory, Okta, Ping Identity, AD FS와 같은 서드 파티 IdP를 사용하여 사용자 ID를 관리하는 경우에 적용됩니다.

1. Google Cloud에서 직원 ID 제휴 설정 이미 설정된 경우 이 단계를 건너뛸 수 있습니다.
2. SOAR의 기존 사용자가 모두 직원 ID 제휴에서 설정된 직원 풀 그룹에 속하는지 확인합니다.
3. Google 계정의 역할 할당 형식에 따라 IAM에서 필요한 역할을 부여합니다.
   1. 온보딩 SME에게 다음 사전 정의된 IAM 역할을 모두 할당합니다.
      • Chronicle API 관리자
      • Chronicle 서비스 관리자
      • Chronicle SOAR 관리자
      • 프로젝트 IAM 관리자
      • 서비스 사용량 관리자
   2. IAM에서 기존 SOAR 사용자 모두에게 다음 역할 중 하나를 할당합니다.
      • Chronicle API 관리자
      • Chronicle API 편집자
      • Chronicle API 뷰어
      • Chronicle API 제한적 뷰어
4. SOAR에 액세스해야 하는 모든 IdP 그룹을 매핑하여 SOAR에서 인증 설정을 완료합니다. 기존 사용자가 하나 이상의 IdP 그룹에 매핑되어 있는지 확인합니다.
   1. 설정 > SOAR 설정 > 고급 > IdP 그룹 매핑으로 이동합니다.
   2. +를 클릭하고 다음 정보를 입력합니다.
      • IdP 그룹 이름: IdP의 그룹 이름을 추가합니다.
      • 권한 그룹, 환경, SOC 역할에 필요한 액세스 권한을 선택합니다.
   3. 권한 그룹, SOC 역할에 대한 관리 권한이 있는 관리 IdP 그룹을 추가하고 모든 환경을 선택했는지 확인합니다.
   4. '외부 인증' 페이지에 기존 IdP 그룹 매핑이 있는 경우 기존 SOAR 인증을 재정의하지 않도록 그대로 두어야 합니다. SOAR에 액세스하기 위한 새로운 Google Cloud 인증을 사용하려면 설정 > SOAR 설정 > 고급 > IDP 그룹 매핑 페이지에서 IDP 그룹 매핑을 설정해야 합니다.
   5. 완료되면 추가를 클릭합니다. 사용자가 플랫폼에 로그인할 때마다 설정 > 조직 > 사용자 관리 페이지에 사용자가 자동으로 추가됩니다.

모든 고객의 2단계 이전

2단계의 사전 체험판은 2025년 11월 1일부터 제공되며, 2025년 1월 1일부터 모든 고객에게 정식 버전으로 제공됩니다. 1단계를 완료한 후 언제든지 2단계를 시작할 수 있으며, 완료 기한은 2026년 6월 30일입니다.

SOAR 권한 그룹을 Google Cloud IAM으로 마이그레이션

Google Cloud (2025년 11월 1일 전에 출시되는 사전 체험판)에서 마이그레이션 스크립트를 한 번 클릭하여 SOAR 권한 그룹과 권한을 IAM으로 마이그레이션합니다. 스크립트는 각 권한 그룹에 대해 새 맞춤 역할을 만들고 Cloud ID 고객의 사용자 또는 직원 ID 제휴 고객의 IdP 그룹에 할당합니다.

권한을 설정하는 방법에 대한 자세한 내용은 기능 액세스 구성을 참고하세요. 새로운 사전 정의된 SOAR 역할은 다음과 같습니다.

• Chronicle SOAR 관리자
• Chronicle SOAR 엔지니어
• Chronicle SOAR 분석가
• Chronicle SOAR 뷰어
• Chronicle SOAR 서비스 에이전트

권한 이전 후에는 다음과 같은 결과가 발생합니다.

• SOAR 설정 > 조직 > 권한 페이지는 2026년 6월 30일까지 계속 사용할 수 있습니다(Appkey와의 하위 호환성). 이 페이지를 변경하지 마세요. 권한은 모두 IAM을 통해 관리됩니다.
• 매핑 페이지의 권한 그룹 열이 삭제됩니다.
• 권한 페이지의 제한된 작업 섹션이 IDP 그룹 매핑 페이지 (또는 이메일 그룹 페이지)로 이동합니다.

SOAR API를 Chronicle API로 이전

SOAR API가 Chronicle API로 대체됩니다. Chronicle API를 사용하기 전에 권한 그룹에서 IAM으로의 이전을 완료해야 합니다. 2025년 11월 1일부터 Chronicle API에서 SOAR 엔드포인트 v1 베타를 사용할 수 있는 사전 체험에 참여할 수 있습니다. 최신 버전인 v1은 2026년 1월 1일부터 모든 고객이 일반 액세스할 수 있습니다.

스크립트와 통합을 업데이트하여 SOAR API 엔드포인트를 해당 Chronicle API 엔드포인트로 바꿔야 합니다. 기존 SOAR API 및 API 키는 2026년 6월 30일까지 사용할 수 있으며, 이후에는 더 이상 작동하지 않습니다. 자세한 내용은 엔드포인트를 Chronicle API로 이전을 참고하세요.

원격 에이전트 마이그레이션

다음을 실행하여 원격 에이전트를 Google Cloud 로 마이그레이션할 수 있습니다.

1. 원격 에이전트의 API 키 대신 서비스 계정을 만듭니다.
2. 원격 에이전트의 메이저 버전 업그레이드를 실행합니다.

기존 원격 에이전트는 2026년 6월 30일까지 사용할 수 있으며 그 이후에는 더 이상 작동하지 않습니다. 자세한 안내는 원격 에이전트를 Google Cloud로 마이그레이션을 참고하세요.

SOAR 감사 로그 마이그레이션

IAM으로 권한 이전을 완료하면 Google Cloud 에서 SOAR 로그를 사용할 수 있습니다. 2026년 6월 30일까지 기존 SOAR API에 이루어진 모든 호출은 SOAR 감사 로그에서 계속 액세스할 수 있습니다. Google SecOps 고객의 경우 Google SecOps SOAR 로그 수집을 참고하세요. SOAR 독립형 고객의 경우 SOAR 로그 수집을 참고하세요.

이전 후 추가 변경사항:

라이선스 유형 이제 라이선스 유형은 IAM에서 사용자에게 할당된 권한에 따라 결정됩니다.

방문 페이지 방문 페이지가 권한 페이지에서 아바타를 통해 액세스할 수 있는 사용자 환경설정 메뉴로 이동합니다.

다음 단계

• SOAR 엔드포인트를 Chronicle API로 이전
• 원격 에이전트 마이그레이션
• 자주 묻는 질문(FAQ)

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.