SOAR 迁移概览

本文档介绍了将 SOAR 基础架构迁移到 Google Cloud的流程和时间表。此次迁移旨在实现基础架构的现代化，并增强其与 Google Cloud 服务的集成，从而使 Google Security Operations 统一客户和改用 Google Cloud的独立 SOAR 用户都能受益。

此迁移是必要的，因为我们需要提供关键的基础设施升级，包括增强可靠性、提高安全性、提高合规性以及提供更精细的访问权限控制。它还通过 Model Context Protocol (MCP) 集成和一流的服务（包括用于访问权限控制的 IAM、Cloud Monitoring 和 Cloud Audit Logs）实现对 Agentic AI 功能的访问。

迁移分两个阶段进行 - 阶段 1 和阶段 2。

第 1 阶段包括以下迁移：

• 将 Google 所有的 SOAR 项目迁移到 Google Cloud 基础架构。此阶段的评选由 Google 负责开展。
• 将 SOAR 身份验证迁移到 Google Cloud （仅适用于 SOAR 独立版客户）。

第 2 阶段包括以下迁移：

• 将 SOAR 权限组和权限迁移到 Google Cloud IAM。
• 将 SOAR API 迁移到新的统一 Chronicle API，需要更新现有脚本和集成。
• 远程代理的迁移。
• SOAR 审核日志的迁移。

面向 Google SecOps 统一客户的第 1 阶段迁移

查看产品内通知，了解第 1 阶段迁移日期以及其中包含的 Google 表单，以确认时间段。 第 1 阶段包括以下迁移。

• 将 Google 自有的 SOAR 项目迁移到 Google Cloud

迁移涉及最长 90 分钟的停机时间，在此期间无法访问 Google SecOps 平台。在停机期间，您的 SIEM 服务将继续在后台运行，而 SOAR 服务将暂时暂停。停机结束后，平台将可供访问，SOAR 服务将恢复处理在停机期间生成或提取的任何提醒。

迁移完成后，我们会向您发送电子邮件。

SOAR 独立客户的第 1 阶段迁移

当我们准备好为您启动第 1 阶段时，您会收到产品内通知消息。 请务必执行以下操作：

1. 设置 Google Cloud 项目。 您还可以使用可能已设置用于访问 Chronicle 支持服务但尚未拥有 Google Security Operations 实例的 Google Cloud 项目。
2. 启用 Chronicle API。
3. 设置 Google Cloud 身份验证以访问 SOAR。请参阅设置 Google Cloud 身份验证以访问 SOAR。
4. 在产品内通知的 Google 表单中提供 Google Cloud 项目 ID，并在提交表单之前确认迁移日期和时间段。
5. 接受“获取 Google Security Operations”页面的邀请电子邮件，然后完成设置。确保您的区域信息准确无误。

在迁移期间，SOAR 服务将停机 2 小时。 完成后，我们会发送一封电子邮件，其中包含用于访问 SOAR 平台的新网址。 旧网址将持续有效到 2026 年 6 月 30 日，届时系统会将您重定向到新网址。

设置 Google Cloud 身份验证以访问 SOAR

根据您要设置和使用的身份类型，您需要设置以下选项之一。您可能需要 Google Cloud 管理员的帮助才能执行这些说明。

选项 1：在 Google Cloud （Google 管理的账号）中配置 Cloud Identity 身份验证

如果您使用 Google 管理的用户名和密码直接在 Cloud Identity 中管理用户账号，则此方案适用。 如果您使用 Cloud Identity 通过第三方身份提供方（例如 Okta 或 Azure AD）实现单点登录，则此设置不适用。 请完成以下步骤：

1. 在 Google Cloud中设置 Cloud Identity。 如果您已设置 Cloud Identity 并使用 Google 管理的用户名和密码，则可以跳过此步骤。
2. 确保所有现有 SOAR 用户都已在 Cloud Identity 管理控制台中配置。
3. 按照 Google 账号的角色分配格式，在 IAM 中授予所需角色。
   1. 在 Google Cloud 中向初始配置 SME 分配以下预定义的 IAM 角色：
      • Chronicle API Admin
      • Chronicle Service Admin
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Service Usage Admin
   2. 为所有现有 SOAR 用户分配以下某个预定义的 IAM 角色：
      • Chronicle API Admin
      • Chronicle API 编辑器
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. 在 SOAR 中完成身份验证设置，方法是将每位用户（包括管理员）映射到某个电子邮件用户群组。
   1. 前往设置 > SOAR 设置 > 高级 > 群组映射。
   2. 点击“+”，然后填写以下信息。
      • 添加群组名称：您为电子邮件群组分配的名称，例如“T1 分析师”或“欧盟分析师”。
      • 群组成员：添加所需的用户电子邮件地址。添加每个电子邮件地址后，按 Enter 键。
      • 选择对 SOAR 权限组、环境和 SOC 角色的必要访问权限 每次用户登录平台时，系统都会自动将其添加到设置 > 组织 > 用户管理页面。

方案 2：在 Google Cloud中配置员工身份联合身份验证

如果您使用第三方 IdP（例如 Microsoft Azure Active Directory、Okta、Ping Identity 和 AD FS）管理用户身份，则此方案适用。

1. 在 Google Cloud中设置员工身份联合：如果已设置，您可以跳过此步骤。
2. 确保 SOAR 中的所有现有用户都属于在员工身份联合中设置的员工身份池组。
3. 按照员工身份的角色分配格式在 IAM 中授予所需角色。
   1. 将以下所有预定义的 IAM 角色分配给初始配置 SME。
      • Chronicle API Admin
      • Chronicle Service Admin
      • Chronicle SOAR Admin
      • Project IAM Admin
      • Service Usage Admin
   2. 在 IAM 中为所有现有 SOAR 用户分配以下角色之一：
      • Chronicle API Admin
      • Chronicle API 编辑器
      • Chronicle API Viewer
      • Chronicle API Limited Viewer
4. 通过映射需要访问 SOAR 的所有 IdP 群组，在 SOAR 中完成身份验证设置。确保现有用户已映射到至少一个 IdP 群组。
   1. 前往设置 > SOAR 设置 > 高级 > IdP 群组映射。
   2. 点击“+”，然后填写以下信息。
      • IdP 群组名称：添加 IdP 中的群组名称。
      • 选择对权限组、环境和 SOC 角色的必要访问权限。
   3. 确保您已添加具有管理员权限的管理员 IdP 群组，并为权限组、SOC 角色和所有环境选择了该群组。
   4. 如果您在“外部身份验证”页面中已有任何现有的 IdP 群组映射，则应保持原样，以免覆盖现有的 SOAR 身份验证。 对于新的 Google Cloud 身份验证，您仍需在设置 > SOAR 设置 > 高级 > IDP 群组映射页面中设置 IdP 群组映射。
   5. 完成后，点击添加。每次用户登录平台时，系统都会自动将其添加到设置 > 组织 > 用户管理页面。

面向所有客户的第 2 阶段迁移

重要提示：您必须先完成第 1 阶段，然后才能开始第 2 阶段的迁移。 第 2 阶段迁移将于 2026 年 1 月中旬面向所有客户正式发布。 我们建议您等待 2026 年 1 月正式版 (GA) 发布，以便获得最可靠、最稳定的迁移体验。 对于少数有紧急业务需求且愿意成为设计合作伙伴的客户，我们将于 2025 年 11 月 24 日开始提供有限的私密预览版。如果您有兴趣申请加入非公开预览版计划，请填写并提交此 Google 表单。Google 将审核提交的内容，评估其是否适合，并与选定的参与者联系。 完成第 2 阶段过渡的最终截止日期为 2026 年 6 月 30 日。

将 SOAR 权限组迁移到 Google Cloud IAM

通过在 Google Cloud中单击迁移脚本，将 SOAR 权限组和权限迁移到 IAM。面向所有客户的正式版目标发布时间为 2026 年 1 月中旬。 该脚本会为每个权限组创建新的自定义角色，并将其分配给 Cloud Identity 客户的用户或员工身份联合客户的 IdP 群组。

如需详细了解如何设置权限，请参阅配置功能访问权限。

迁移权限后，会发生以下情况

• SOAR 设置 > 组织 > 权限页面在 2026 年 6 月 30 日之前仍然可用（为了向后兼容 Appkey）。请勿对此页面进行任何更改。所有权限均通过 IAM 进行管理。
• 移除了映射页面上的权限组列。
• 权限页面中的“受限操作”部分将移至 IDP 群组映射页面（或电子邮件群组页面）。

将 SOAR API 迁移到 Chronicle API

SOAR API 将被 Chronicle API 取代。您必须先完成从权限组到 IAM 的迁移，然后才能使用 Chronicle API。 您可以申请参加非公开预览版计划，以便从 2025 年 11 月 24 日起在 Chronicle API 中使用 SOAR 端点 v1 Beta 版。 从 2026 年 1 月中旬开始，所有客户都可以使用更新的版本 v1。

您必须更新脚本和集成，将 SOAR API 端点替换为相应的 Chronicle API 端点。旧版 SOAR API 和 API 密钥将一直可用到 2026 年 6 月 30 日，之后将不再起作用。 如需了解详情，请参阅将端点迁移到 Chronicle API

迁移远程代理

您可以执行以下操作，将远程代理迁移到 Google Cloud ：

1. 为远程代理创建服务账号，而不是 API 密钥。
2. 执行远程代理的主要版本升级。

现有远程代理将可使用到 2026 年 6 月 30 日，之后将无法再使用。 如需了解详细说明，请参阅将远程代理迁移到 Google Cloud。

迁移 SOAR 审核日志

完成权限迁移到 IAM 后，您可以在 Google Cloud 中查看 SOAR 日志。 在 2026 年 6 月 30 日之前对旧版 SOAR API 进行的任何调用都将保留在 SOAR 审核日志中。对于 Google SecOps 客户，请参阅收集 Google SecOps SOAR 日志。 对于 SOAR 独立版客户，请参阅收集 SOAR 日志

迁移后的进一步变化：

许可类型 许可类型现在由用户在 IAM 中获分配的权限决定。

着陆页 着陆页将从“权限”页面移至用户偏好设置菜单，您可以通过头像访问该菜单。

后续步骤

• 将 SOAR 端点迁移到 Chronicle API
• 迁移远程代理
• 常见问题解答

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。