Visão geral da migração do SOAR

Neste documento, descrevemos o processo e os cronogramas para migrar a infraestrutura de SOAR para o Google Cloud. A migração tem como objetivo modernizar a infraestrutura e melhorar a integração com os serviços do Google Cloud , beneficiando os clientes unificados do Google Security Operations e os usuários independentes do SOAR que estão fazendo a transição para o Google Cloud.

Essa migração é necessária para fornecer upgrades importantes de infraestrutura, incluindo maior confiabilidade, segurança aprimorada, mais compliance e controle de acesso mais granular. Ele também permite o acesso a recursos de IA generativa por meio da integração do Protocolo de contexto de modelo (MCP) e dos melhores serviços da categoria, incluindo IAM para controle de acesso, Cloud Monitoring e Registros de auditoria do Cloud.

A migração é realizada em duas etapas: 1 e 2.

A Etapa 1 inclui as seguintes migrações:

• Migração do seu projeto do SOAR de propriedade do Google para a infraestrutura Google Cloud . Isso é feito pelo Google.
• Migração da autenticação de SOAR para Google Cloud (válido apenas para clientes do SOAR Standalone).

A Etapa 2 inclui as seguintes migrações:

• Migração de grupos e permissões do SOAR para o Google Cloud IAM.
• Migração das APIs de SOAR para a nova API unificada do Chronicle, exigindo atualizações nos scripts e integrações atuais.
• Migração de agentes remotos.
• Migração dos registros de auditoria do SOAR.

Etapa 1 da migração para clientes unificados do Google SecOps

Confira a notificação no produto para saber a data da migração da Etapa 1 e o arquivo do Formulários Google incluído para confirmar o período. A etapa 1 inclui as seguintes migrações.

• Migrar o projeto SOAR do Google para Google Cloud

A migração inclui um tempo de inatividade de 90 minutos em que a plataforma do Google SecOps não fica acessível. Durante esse período, os serviços de SIEM vão continuar operando em segundo plano, enquanto os serviços de SOAR serão pausados temporariamente. Após o tempo de inatividade, a plataforma vai ficar acessível, e os serviços de SOAR vão retomar o processamento de alertas gerados ou ingeridos durante o período.

Quando a migração for concluída, vamos enviar um e-mail para você.

Etapa 1 da migração para clientes independentes da SOAR

Você vai receber uma mensagem de notificação no produto quando estivermos prontos para iniciar a Etapa 1. Faça o seguinte:

1. Configure um Google Cloud projeto. Também é possível usar um projeto Google Cloud que pode ter sido configurado para acessar o suporte do Chronicle, mas ainda não tem uma instância do Google Security Operations.
2. Ative a API Chronicle.
3. Configure a Google Cloud autenticação para acessar o SOAR. Consulte Configurar a autenticação do Google Cloud para acessar o SOAR.
4. Informe o ID do projeto Google Cloud no formulário do Google na notificação no produto e confirme a data e o horário da migração antes de enviar o formulário.
5. Aceite o convite por e-mail para a página "Acessar o Google Security Operations" e conclua a configuração. Verifique se as informações da sua região estão corretas.

Você vai ter uma inatividade de duas horas nos serviços do SOAR durante a migração. Vamos enviar um e-mail após a conclusão com um novo URL para acessar a plataforma SOAR. O URL antigo vai funcionar até 30 de junho de 2026, redirecionando você para o novo URL.

Configurar a Google Cloud autenticação para acessar o SOAR

Dependendo do tipo de identidade que você quer configurar e usar, é necessário configurar uma das seguintes opções. Talvez você precise da ajuda do seu administrador do Google Cloud para seguir estas instruções.

Opção 1: configurar a autenticação do Cloud Identity em Google Cloud (contas gerenciadas pelo Google)

Esse cenário é aplicável se você gerenciar contas de usuário diretamente no Cloud Identity usando nomes de usuário e senhas gerenciados pelo Google. Ela não se aplica se você estiver usando o Cloud Identity para SSO com um provedor de identidade de terceiros, como o Okta ou o Azure AD. Siga estas etapas:

1. Configure o Cloud Identity em Google Cloud. Pule esta etapa se você já tiver o Cloud Identity configurado com nome de usuário e senha gerenciados pelo Google.
2. Verifique se todos os usuários do SOAR estão configurados no Admin Console do Cloud Identity.
3. Conceda os papéis necessários no IAM seguindo o formato de atribuição de papéis para Contas do Google.
   1. Atribua os seguintes papéis predefinidos do IAM em Google Cloud ao SME de integração:
      • Administrador da API Chronicle
      • Administrador de serviço do Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de projetos do IAM
      • Administrador do Service Usage
   2. Atribua um dos seguintes papéis predefinidos do IAM a todos os usuários atuais do SOAR:
      • Administrador da API Chronicle
      • Editor da API Chronicle
      • Leitor da API Chronicle
      • Leitor limitado da API Chronicle
4. Conclua a configuração de autenticação no SOAR mapeando cada usuário (incluindo administradores) para um grupo de usuários de e-mail.
   1. Acesse Configurações > Configurações do SOAR > Avançado > Mapeamento de grupo.
   2. Clique em + e preencha as seguintes informações:
      • Adicionar nome do grupo: o nome que você atribui a um grupo de e-mail, como "Analistas do T1" ou "Analistas da UE".
      • Membros do grupo: adicione os e-mails dos usuários necessários. Pressione "Enter" depois de adicionar cada e-mail.
      • Escolha o acesso necessário aos grupos de permissões, ambientes e funções do SOC do SOAR. Sempre que um usuário faz login na plataforma, ele é adicionado automaticamente à página Configurações > Organização > Gerenciamento de usuários.

Opção 2: configurar a autenticação da federação de identidade de colaboradores em Google Cloud

Esse cenário é aplicável se você gerencia as identidades de usuário usando IdPs terceirizados, como o Microsoft Azure Active Directory, o Okta, o Ping Identity e o AD FS.

1. Configure a federação de identidade de colaboradores em Google Cloud. Pule esta etapa se ela já tiver sido configurada.
2. Verifique se todos os usuários atuais do SOAR fazem parte dos grupos de pool de colaboradores configurados na federação de identidade de colaboradores.
3. Conceda os papéis necessários no IAM seguindo o formato de atribuição de papéis para Contas do Google.
   1. Atribua todos os seguintes papéis predefinidos do IAM ao SME de integração.
      • Administrador da API Chronicle
      • Administrador de serviço do Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de projetos do IAM
      • Administrador do Service Usage
   2. Atribua um dos seguintes papéis no IAM a todos os usuários atuais do SOAR:
      • Administrador da API Chronicle
      • Editor da API Chronicle
      • Leitor da API Chronicle
      • Leitor limitado da API Chronicle
4. Conclua a configuração de autenticação no SOAR mapeando todos os grupos de IdP que precisam de acesso ao SOAR. Verifique se os usuários atuais estão mapeados para pelo menos um dos grupos do IdP.
   1. Acesse Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
   2. Clique em + e preencha as seguintes informações:
      • Nome do grupo do IdP: adicione o nome do grupo do seu IdP.
      • Escolha o acesso necessário aos grupos de permissões, ambientes e funções do SOC.
   3. Verifique se você adicionou o grupo do IdP de administrador com permissões de administrador para grupos de permissões, funções do SOC e selecione "Todos os ambientes".
   4. Se você tiver mapeamentos de grupos do IdP na página "Autenticação externa", deixe como está para não substituir a autenticação do SOAR. Para a nova autenticação Google Cloud ao acessar o SOAR, ainda é necessário configurar o mapeamento de grupos do IdP na página Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos do IdP.
   5. Quando terminar, clique em Adicionar. Cada vez que um usuário faz login na plataforma, ele é adicionado automaticamente à página Configurações > Organização > Gerenciamento de usuários.

Migração da Etapa 2 para todos os clientes

O acesso antecipado à Etapa 2 estará disponível a partir de 1º de novembro de 2025, e a disponibilidade geral para todos os clientes será a partir de 1º de janeiro de 2025. Você pode iniciar a Etapa 2 a qualquer momento após concluir a Etapa 1, com um prazo de conclusão de 30 de junho de 2026.

Migrar grupos de permissões do SOAR para o Google Cloud IAM

Migre os grupos e permissões do SOAR para o IAM com um único clique no script de migração em Google Cloud (acesso antecipado a ser lançado antes de 1º de novembro de 2025). O script cria novas funções personalizadas para cada grupo de permissões e as atribui a usuários para clientes do Cloud Identity ou a grupos do IdP para clientes da federação de identidade de colaboradores.

Para mais informações sobre como configurar permissões, consulte Configurar o acesso a recursos. Os novos papéis predefinidos do SOAR são:

• Administrador do Chronicle SOAR
• Engenheiro do Chronicle SOAR
• Analista do Chronicle SOAR
• Leitor do Chronicle SOAR
• Agente de serviço do Chronicle SOAR

Depois da migração das permissões, acontece o seguinte:

• A página Configurações do SOAR > Organização > Permissões ainda estará disponível até 30 de junho de 2026 (para compatibilidade com versões anteriores das chaves de app). Não faça mudanças nessa página. Todas as permissões são gerenciadas pelo IAM.
• A coluna Grupo de permissões nas páginas de mapeamento foi removida.
• A seção de ações restritas na página Permissões será movida para a página Mapeamento de grupos do IDP (ou Grupo de e-mail).

Migrar APIs SOAR para a API Chronicle

A API SOAR está sendo substituída pela API Chronicle. Conclua a migração dos grupos de permissões para o IAM antes de usar a API Chronicle. Você pode ativar o acesso antecipado para usar os endpoints v1 Beta do SOAR na API Chronicle a partir de 1º de novembro de 2025. Uma versão mais recente, a v1, vai estar disponível para todos os clientes em acesso geral a partir de 1º de janeiro de 2026.

É necessário atualizar seus scripts e integrações para substituir os endpoints da API SOAR pelos endpoints correspondentes da API Chronicle. A API SOAR legada e as chaves de API vão estar disponíveis até 30 de junho de 2026. Depois disso, elas não vão mais funcionar. Para mais informações, consulte Migrar endpoints para a API Chronicle.

Migrar agentes remotos

Para migrar os agentes remotos para o Google Cloud , faça o seguinte:

1. Crie uma conta de serviço em vez de uma chave de API para o agente remoto.
2. Faça um upgrade da versão principal do agente remoto.

Os agentes remotos atuais vão ficar disponíveis até 30 de junho de 2026. Depois disso, eles não vão mais funcionar. Para instruções detalhadas, consulte Migrar agentes remotos para o Google Cloud.

Migrar registros de auditoria do SOAR

Os registros do SOAR vão ficar disponíveis em Google Cloud depois que você concluir a migração de permissões para o IAM. Todas as chamadas feitas para a API SOAR legada até 30 de junho de 2026 vão continuar acessíveis nos registros de auditoria do SOAR. Para clientes do Google SecOps, consulte Coletar registros do Google SecOps SOAR. Para clientes autônomos do SOAR, consulte Coletar registros do SOAR.

Outras mudanças após a migração:

Tipo de licença O tipo de licença agora é determinado pelas permissões atribuídas ao usuário no IAM.

Página de destino A página de destino vai sair da página "Permissões" e ir para o menu Preferências do usuário, acessível pelo seu avatar.

A seguir

• Migrar endpoints do SOAR para a API do Chronicle
• Migrar agentes remotos
• Perguntas frequentes

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.