Vista geral da migração de SOAR

Este documento descreve o processo e os prazos para migrar a infraestrutura SOAR para Google Cloud. A migração visa modernizar a infraestrutura e melhorar a respetiva integração com os serviços, o que beneficia os clientes unificados do Google Security Operations e os utilizadores autónomos do SOAR que fazem a transição para o Google Cloud. Google Cloud

Esta migração é necessária para fornecer atualizações de infraestrutura críticas, incluindo maior fiabilidade, segurança melhorada, maior conformidade e controlo de acesso mais detalhado. Também permite o acesso a capacidades de IA com agência através da integração do protocolo Model Context Protocol (MCP) e serviços de excelência, incluindo a IAM para controlo de acesso, o Cloud Monitoring e os registos de auditoria do Google Cloud.

A migração é realizada em duas fases: fase 1 e fase 2.

A fase 1 inclui as seguintes migrações:

• Migração do seu projeto SOAR pertencente à Google para a infraestrutura Google Cloud . Isto é realizado pela Google.
• Migração da autenticação SOAR para o Google Cloud (aplicável apenas a clientes autónomos do SOAR).

A fase 2 inclui as seguintes migrações:

• Migração de grupos de autorizações e autorizações de SOAR para o Google Cloud IAM.
• Migração das APIs SOAR para a nova API Chronicle unificada, que requer atualizações aos scripts e integrações existentes.
• Migração de agentes remotos.
• Migração dos registos de auditoria da SOAR.

Fase 1 da migração para clientes unificados do Google SecOps

Verifique a notificação no produto para ver a data da migração da fase 1 e o formulário Google incluído para confirmar o horário. A fase 1 inclui as seguintes migrações.

• Migre o projeto SOAR pertencente à Google para Google Cloud

A migração inclui um tempo de inatividade de 90 minutos durante o qual a plataforma Google SecOps não está acessível. Durante esta indisponibilidade, os seus serviços SIEM vão continuar a funcionar em segundo plano, enquanto os serviços SOAR vão ser pausados temporariamente. Após a indisponibilidade, a plataforma fica acessível e os serviços SOAR retomam o processamento de quaisquer alertas gerados ou carregados durante a indisponibilidade.

Assim que a migração estiver concluída, enviamos-lhe um email.

Fase 1 da migração para clientes autónomos do SOAR

Vai receber uma mensagem de notificação no produto quando estivermos prontos para iniciar a Fase 1 para si. Certifique-se de que faz o seguinte:

1. Configure um Google Cloud projeto. Também pode usar um Google Cloud projeto que pode ter sido configurado para aceder ao apoio técnico do Chronicle, mas ainda não tem uma instância do Google Security Operations.
2. Ative a API Chronicle.
3. Configurar a Google Cloud autenticação para aceder ao SOAR. Consulte o artigo Configure Google Cloud a autenticação para aceder ao SOAR.
4. Indique o Google Cloud ID do projeto no formulário Google na notificação no produto e confirme a data e a hora da migração antes de enviar o formulário.
5. Aceite o email de convite para a "Página de obtenção do Google Security Operations" e conclua a configuração. Certifique-se de que as informações da região estão corretas.

Vai ter um período de inatividade nos serviços SOAR durante 2 horas durante a migração. Após a conclusão, enviamos um email com um novo URL para aceder à plataforma SOAR. O URL antigo vai funcionar até 30 de junho de 2026, redirecionando-o para o novo URL.

Configure a Google Cloud autenticação para aceder ao SOAR

Consoante o tipo de identidade que quer configurar e usar, tem de configurar uma das seguintes opções. Pode precisar da ajuda do seu Google Cloud administrador para seguir estas instruções.

Opção 1: configure a autenticação do Cloud Identity em Google Cloud (contas geridas pela Google)

Este cenário aplica-se se gerir contas de utilizador diretamente no Cloud Identity através de nomes de utilizador e palavras-passe geridos pela Google. Não se aplica se estiver a usar o Cloud ID para o SSO com um fornecedor de identidade de terceiros, como o Okta ou o Azure AD. Conclua os seguintes passos:

1. Configure o Cloud ID em Google Cloud. Pode ignorar este passo se já tiver o Cloud Identity configurado com um nome de utilizador e uma palavra-passe geridos pela Google.
2. Certifique-se de que todos os utilizadores do SOAR existentes estão configurados na consola do administrador do Cloud ID.
3. Conceda as funções necessárias no IAM seguindo o formato de atribuição de funções para Contas Google.
   1. Atribua as seguintes funções IAM predefinidas no Google Cloud ao especialista de integração:
      • API Chronicle Admin
      • Administrador do serviço Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de IAM do projeto
      • Administrador de utilização de serviços
   2. Atribua uma das seguintes funções IAM predefinidas a todos os utilizadores SOAR existentes:
      • API Chronicle Admin
      • Editor da API Chronicle
      • Visualizador da API Chronicle
      • Visualizador limitado da API Chronicle
4. Conclua a configuração da autenticação no SOAR mapeando cada utilizador (incluindo os administradores) para um grupo de utilizadores de email.
   1. Aceda a Definições > Definições do SOAR > Avançadas > Mapeamento de grupos.
   2. Clique em + e preencha as seguintes informações.
      • Adicionar nome do grupo: o nome que atribui a um grupo de email, como analistas de nível 1 ou analistas da UE.
      • Membros do grupo: adicione os emails dos utilizadores necessários. Prima Enter depois de adicionar cada email.
      • Escolha o acesso necessário aos grupos de autorizações SOAR, aos ambientes e às funções do SOC Sempre que um utilizador inicia sessão na plataforma, é adicionado automaticamente à página Definições > Organização > Gestão de utilizadores.

Opção 2: configure a autenticação da federação de identidade da força de trabalho no Google Cloud

Este cenário é aplicável se gerir as identidades dos utilizadores através de IdPs de terceiros, como o Microsoft Azure Active Directory, o Okta, o Ping Identity e o AD FS.

1. Configure a federação de identidade da força de trabalho no Google Cloud Pode ignorar este passo se já tiver sido configurada.
2. Certifique-se de que todos os utilizadores existentes no SOAR fazem parte dos grupos do grupo de trabalhadores configurados na federação de identidades da força de trabalho.
3. Conceda as funções necessárias no IAM seguindo o formato de atribuição de funções para Contas Google.
   1. Atribua todas as seguintes funções de IAM predefinidas ao especialista em integração.
      • API Chronicle Admin
      • Administrador do serviço Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de IAM do projeto
      • Administrador de utilização de serviços
   2. Atribua uma das seguintes funções no IAM a todos os utilizadores existentes do SOAR:
      • API Chronicle Admin
      • Editor da API Chronicle
      • Visualizador da API Chronicle
      • Visualizador limitado da API Chronicle
4. Conclua a configuração da autenticação no SOAR mapeando todos os grupos de IdP que precisam de acesso ao SOAR. Certifique-se de que os utilizadores existentes estão mapeados para, pelo menos, um dos grupos do IdP.
   1. Aceda a Definições > Definições de SOAR > Avançadas > Mapeamento de grupos de IdP.
   2. Clique em + e preencha as seguintes informações.
      • Nome do grupo do IdP: adicione o nome do grupo do seu IdP.
      • Escolha o acesso necessário aos grupos de autorizações, aos ambientes e às funções SOC.
   3. Certifique-se de que adicionou o grupo IdP de administrador com autorizações de administrador para grupos de autorizações, funções da SOC e selecionou Todos os ambientes.
   4. Se tiver mapeamentos de grupos do IdP existentes na página Autenticação externa, deve deixá-los como estão para não substituir a sua autenticação SOAR existente. Para a nova Google Cloud autenticação para aceder ao SOAR, continua a ter de configurar o mapeamento de grupos do IdP na página Definições > Definições do SOAR > Avançadas > Mapeamento de grupos do IdP.
   5. Quando terminar, clique em Adicionar. Sempre que um utilizador inicia sessão na plataforma, é adicionado automaticamente à página Definições > Organização > Gestão de utilizadores.

Migração da fase 2 para todos os clientes

O acesso antecipado à Fase 2 vai estar disponível a partir de 1 de novembro de 2025 e vai estar geralmente disponível para todos os clientes a partir de 1 de janeiro de 2025. Pode iniciar a Fase 2 em qualquer altura, após concluir a Fase 1, com um prazo de conclusão de 30 de junho de 2026.

Migre grupos de autorizações SOAR para o Google Cloud IAM

Migre os grupos de autorizações e as autorizações da SOAR para a IAM através de um único clique no script de migração Google Cloud (o acesso antecipado vai ser lançado antes de 1 de novembro de 2025). O script cria novas funções personalizadas para cada grupo de autorizações e atribui-as a utilizadores para clientes do Cloud ID ou a grupos de IdP para clientes da Workforce Identity Federation.

Para mais informações sobre como configurar autorizações, consulte o artigo Configure o acesso a funcionalidades. As novas funções SOAR predefinidas são:

• Administrador do Chronicle SOAR
• Chronicle SOAR Engineer
• Analista do Chronicle SOAR
• Leitor do Chronicle SOAR
• Agente de serviço do Chronicle SOAR

Após a migração das autorizações, ocorre o seguinte

• A página Definições do SOAR > Organização > Autorizações continua disponível até 30 de junho de 2026 (para compatibilidade retroativa com chaves de apps). Não faça alterações a esta página. As autorizações são todas geridas através do IAM.
• A coluna Grupo de autorizações nas páginas de mapeamento é removida.
• A secção de ações restritas na página Autorizações vai ser movida para a página Mapeamento de grupos de IDP (ou página Grupo de email).

Migre as APIs SOAR para a API Chronicle

A API SOAR está a ser substituída pela API Chronicle. Tem de concluir a migração dos grupos de autorizações para o IAM antes de usar a API Chronicle. Pode optar pelo acesso antecipado para usar os pontos finais SOAR v1 beta na API Chronicle a partir de 1 de novembro de 2025. Uma versão mais recente, a v1, vai estar disponível para todos os clientes para acesso geral a partir de 1 de janeiro de 2026.

Tem de atualizar os seus scripts e integrações para substituir os pontos finais da API SOAR pelos pontos finais da API Chronicle correspondentes. A API SOAR antiga e as chaves de API vão estar disponíveis até 30 de junho de 2026, após o que vão deixar de funcionar. Para mais informações, consulte o artigo Migre pontos finais para a API Chronicle

Migre agentes remotos

Pode migrar os agentes remotos para o Google Cloud fazendo o seguinte:

1. Crie uma conta de serviço em vez de uma chave da API para o agente remoto.
2. Faça uma atualização da versão principal do agente remoto.

Os agentes remotos existentes vão estar disponíveis até 30 de junho de 2026, após o que vão deixar de funcionar. Para ver instruções detalhadas, consulte o artigo Migre agentes remotos para o Google Cloud.

Migre registos de auditoria de SOAR

Os registos SOAR ficam disponíveis no Google Cloud depois de concluir a migração das autorizações para o IAM. Todas as chamadas feitas à API SOAR antiga até 30 de junho de 2026 vão permanecer acessíveis nos registos de auditoria do SOAR Para clientes do Google SecOps, consulte o artigo Recolha registos do SOAR do Google SecOps. Para clientes autónomos do SOAR, consulte o artigo Recolha registos do SOAR

Alterações adicionais após a migração:

Tipo de licença O tipo de licença é agora determinado pelas autorizações atribuídas ao utilizador no IAM.

Página de destino A página de destino vai ser movida da página Autorizações para o menu Preferências do utilizador, acessível a partir do seu avatar.

O que se segue

• Migre os endpoints SOAR para a API Chronicle
• Migre agentes remotos
• Perguntas frequentes

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.