SOAR 迁移概览

本文档介绍了将 SOAR 基础架构迁移到 Google Cloud的流程和时间表。此次迁移旨在实现基础架构的现代化，并增强其与 Google Cloud 服务的集成，从而使 Google Security Operations 统一客户和过渡到 Google Cloud的独立 SOAR 用户都能受益。

此迁移是必要的，因为我们需要提供重要的基础设施升级，包括增强可靠性、提高安全性、提高合规性以及更精细的访问权限控制。它还通过 Model Context Protocol (MCP) 集成和一流的服务（包括用于访问权限控制的 IAM、Cloud Monitoring 和 Cloud Audit Logs）实现对 Agentic AI 功能的访问。

迁移分两个阶段进行 - 阶段 1 和阶段 2。

第 1 阶段包括以下迁移：

• 将 Google 所有的 SOAR 项目迁移到 Google Cloud 基础架构。此阶段的评选由 Google 负责开展。
• 将 SOAR 身份验证迁移到 Google Cloud （仅适用于 SOAR 独立版客户）。

第 2 阶段包括以下迁移：

• 将 SOAR 权限组和权限迁移到 Google Cloud IAM。
• 将 SOAR API 迁移到新的统一 Chronicle API，需要更新现有脚本和集成。
• 远程代理的迁移。
• SOAR 审核日志的迁移。

面向 Google SecOps 统一客户的第 1 阶段迁移

查看产品内通知，了解第 1 阶段迁移日期以及其中包含的 Google 表单，以确认时间段。 第 1 阶段包括以下迁移。

• 将 Google 自有的 SOAR 项目迁移到 Google Cloud

迁移期间会有 90 分钟的停机时间，在此期间无法访问 Google SecOps 平台。在停机期间，您的 SIEM 服务将继续在后台运行，而 SOAR 服务将暂时暂停。停机结束后，平台将可供访问，SOAR 服务将恢复处理在停机期间生成或提取的任何提醒。

迁移完成后，我们会向您发送电子邮件。

针对 SOAR 独立客户的第 1 阶段迁移

当我们准备好为您启动第 1 阶段时，您会收到产品内通知消息。 请务必执行以下操作：

1. 设置 Google Cloud 项目。 您还可以使用可能已设置用于访问 Chronicle 支持服务但尚未拥有 Google Security Operations 实例的 Google Cloud 项目。
2. 启用 Chronicle API。
3. 设置 Google Cloud 身份验证以访问 SOAR。请参阅设置 Google Cloud 身份验证以访问 SOAR。
4. 在产品内通知的 Google 表单中提供 Google Cloud 项目 ID，并在提交表单之前确认迁移日期和时间段。
5. 接受“获取 Google Security Operations”页面的邀请电子邮件，然后完成设置。确保您的区域信息准确无误。

在迁移期间，SOAR 服务将停机 2 小时。 迁移完成后，我们会发送一封电子邮件，其中包含用于访问 SOAR 平台的新网址。 旧网址将持续有效到 2026 年 6 月 30 日，届时系统会将您重定向到新网址。

设置 Google Cloud 身份验证以访问 SOAR

根据您要设置和使用的身份类型，您需要设置以下选项之一。您可能需要 Google Cloud 管理员的帮助才能执行这些说明。

选项 1：在 Google Cloud （Google 管理的账号）中配置 Cloud Identity 身份验证

如果您使用 Google 管理的用户名和密码直接在 Cloud Identity 中管理用户账号，则此方案适用。 如果您使用 Cloud Identity 通过第三方身份提供方（例如 Okta 或 Azure AD）实现 SSO，则此设置不适用。 请完成以下步骤：

1. 在 Google Cloud中设置 Cloud Identity。 如果您已设置 Cloud Identity 并使用 Google 管理的用户名和密码，则可以跳过此步骤。
2. 确保所有现有 SOAR 用户都已在 Cloud Identity 管理控制台中配置。
3. 按照 Google 账号的角色分配格式，在 IAM 中授予所需角色。
   1. 在 Google Cloud 中向初始配置 SME 分配以下预定义的 IAM 角色：
      • Chronicle API Admin
      • Chronicle Service Admin
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Service Usage Admin
   2. 为所有现有 SOAR 用户分配以下某个预定义的 IAM 角色：
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. 在 SOAR 中完成身份验证设置，方法是将每个用户（包括管理员）映射到电子邮件用户群组。
   1. 前往设置 > SOAR 设置 > 高级 > 群组映射。
   2. 点击“+”，然后填写以下信息。
      • 添加群组名称：您为电子邮件群组分配的名称，例如“T1 分析师”或“欧盟分析师”。
      • 群组成员：添加所需的用户电子邮件地址。添加每个电子邮件地址后，按 Enter 键。
      • 选择对 SOAR 权限组、环境和 SOC 角色的必要访问权限 每次用户登录平台时，系统都会自动将其添加到设置 > 组织 > 用户管理页面。

方案 2：在 Google Cloud中配置员工身份联合身份验证

如果您使用第三方 IdP（例如 Microsoft Azure Active Directory、Okta、Ping Identity 和 AD FS）管理用户身份，则此方案适用。

1. 在 Google Cloud中设置员工身份联合：如果已设置，您可以跳过此步骤。
2. 确保 SOAR 中的所有现有用户都属于在员工身份联合中设置的员工身份池组。
3. 按照 Google 账号的角色分配格式，在 IAM 中授予所需角色。
   1. 将以下所有预定义的 IAM 角色分配给初始配置 SME。
      • Chronicle API Admin
      • Chronicle Service Admin
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Service Usage Admin
   2. 在 IAM 中为所有现有 SOAR 用户分配以下角色之一：
      • Chronicle API Admin
      • Chronicle API Editor
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. 通过映射需要访问 SOAR 的所有 IdP 群组，在 SOAR 中完成身份验证设置。 确保现有用户已映射到至少一个 IdP 群组。
   1. 前往设置 > SOAR 设置 > 高级 > IdP 群组映射。
   2. 点击“+”，然后填写以下信息。
      • IdP 群组名称：添加 IdP 中的群组名称。
      • 选择对权限组、环境和 SOC 角色的必要访问权限。
   3. 确保您已添加具有管理员权限的管理员 IdP 群组，并为权限组、SOC 角色和所有环境选择了相应权限。
   4. 如果您在“外部身份验证”页面中已有任何现有的 IdP 群组映射，则应保持原样，以免覆盖现有的 SOAR 身份验证。 对于用于访问 SOAR 的新 Google Cloud 身份验证，您仍需要在设置 > SOAR 设置 > 高级 > IDP 群组映射页面中设置 IdP 群组映射。
   5. 完成后，点击添加。每次用户登录平台时，系统都会自动将其添加到设置 > 组织 > 用户管理页面。

面向所有客户的第 2 阶段迁移

第 2 阶段的抢先体验将于 2025 年 11 月 1 日开始，并于 2025 年 1 月 1 日面向所有客户推出正式版。您可以在完成第 1 阶段后随时开始第 2 阶段，截止日期为 2026 年 6 月 30 日。

将 SOAR 权限组迁移到 Google Cloud IAM

通过在 Google Cloud 中单击迁移脚本，将 SOAR 权限组和权限迁移到 IAM（将于 2025 年 11 月 1 日之前推出抢先体验版）。该脚本会为每个权限组创建新的自定义角色，并将其分配给 Cloud Identity 客户的用户或员工身份联合客户的 IdP 群组。

如需详细了解如何设置权限，请参阅配置功能访问权限。 新的预定义 SOAR 角色包括：

• Chronicle SOAR Admin
• Chronicle SOAR Engineer
• Chronicle SOAR Analyst
• Chronicle SOAR Viewer
• Chronicle SOAR Service Agent

迁移权限后，会发生以下情况

• SOAR 设置 > 组织 > 权限页面在 2026 年 6 月 30 日之前仍然可用（为了向后兼容 Appkey）。请勿对此页面进行任何更改。所有权限均通过 IAM 进行管理。
• 移除了映射页面上的权限组列。
• 权限页面中的“受限操作”部分将移至 IDP 群组映射页面（或电子邮件群组页面）。

将 SOAR API 迁移到 Chronicle API

SOAR API 将被 Chronicle API 取代。您必须先完成从权限组到 IAM 的迁移，然后才能使用 Chronicle API。 自 2025 年 11 月 1 日起，您可以选择启用抢先体验计划，以便在 Chronicle API 中使用 SOAR 端点 v1 Beta 版。从 2026 年 1 月 1 日起，所有客户都可以使用更新的版本 v1。

您必须更新脚本和集成，将 SOAR API 端点替换为相应的 Chronicle API 端点。旧版 SOAR API 和 API 密钥将一直可用到 2026 年 6 月 30 日，之后将不再起作用。 如需了解详情，请参阅将端点迁移到 Chronicle API

迁移远程代理

您可以执行以下操作，将远程代理迁移到 Google Cloud ：

1. 为远程代理创建服务账号，而不是 API 密钥。
2. 执行远程代理的主要版本升级。

现有远程代理将可使用到 2026 年 6 月 30 日，之后将无法再使用。 如需了解详细说明，请参阅将远程代理迁移到 Google Cloud。

迁移 SOAR 审核日志

完成权限迁移到 IAM 后，您可以在 Google Cloud 中查看 SOAR 日志。 在 2026 年 6 月 30 日之前对旧版 SOAR API 进行的任何调用都将保留在 SOAR 审核日志中。对于 Google SecOps 客户，请参阅收集 Google SecOps SOAR 日志。 对于 SOAR 独立版客户，请参阅收集 SOAR 日志

迁移后的进一步变化：

许可类型 许可类型现在由用户在 IAM 中获分配的权限决定。

着陆页 着陆页将从“权限”页面移至用户偏好设置菜单，您可以通过头像访问该菜单。

后续步骤

• 将 SOAR 端点迁移到 Chronicle API
• 迁移远程代理
• 常见问题解答

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。