SOAR 遷移作業總覽

本文說明將 SOAR 基礎架構遷移至 Google Cloud的程序和時間表。遷移作業的目標是更新基礎架構，並加強與服務的整合，讓 Google Security Operations 統一客戶和獨立 SOAR 使用者都能受益。 Google Cloud Google Cloud

這項遷移作業是為了進行重要的基礎架構升級，包括提升可靠性、改善安全性、加強法規遵循，以及提供更精細的存取控管。此外，透過整合模型上下文協定 (MCP) 和頂尖服務 (包括 IAM 存取權控管、Cloud Monitoring 和 Cloud 稽核記錄)，還能存取 Agentic AI 功能。

遷移作業分為兩個階段：第 1 階段和第 2 階段。

第 1 階段包含下列遷移作業：

• 將 Google 擁有的 SOAR 專案遷移至 Google Cloud 基礎架構。這項作業由 Google 執行。
• 將 SOAR 驗證遷移至 Google Cloud (僅適用於 SOAR 獨立平台版客戶)。

第 2 階段包含下列遷移作業：

• 將 SOAR 權限群組和權限遷移至 Google Cloud IAM。
• 將 SOAR API 遷移至新的統一 Chronicle API，需要更新現有指令碼和整合功能。
• 遷移遠端代理程式。
• 遷移 SOAR 稽核記錄。

Google SecOps 整合式客戶的第 1 階段遷移作業

查看產品內通知，瞭解第 1 階段的遷移日期，並填寫內附的 Google 表單，確認時段。 第 1 階段包含下列遷移作業。

• 將 Google 自有的 SOAR 專案遷移至 Google Cloud

遷移作業最多需要 90 分鐘的停機時間，期間無法存取 Google SecOps 平台。在停機期間，SIEM 服務會繼續在背景運作，SOAR 服務則會暫時停止運作。平台恢復運作後，您就能存取平台，SOAR 服務也會繼續處理停機期間產生或擷取的任何快訊。

遷移完成後，我們會傳送電子郵件通知你。

SOAR 獨立客戶的第 1 階段遷移作業

當我們準備好為你啟動第 1 階段時，你會收到產品內通知訊息。 請務必完成以下事項：

1. 設定 Google Cloud 專案。您也可以使用可能已設定為存取 Chronicle 支援服務，但尚未有 Google Security Operations 執行個體的專案。 Google Cloud
2. 啟用 Chronicle API。
3. 設定 Google Cloud 驗證機制，以便存取 SOAR。請參閱「設定 Google Cloud 驗證以存取 SOAR」。
4. 在產品內通知的 Google 表單中提供 Google Cloud 專案 ID，並在提交表單前確認遷移日期和時間。
5. 接受「取得 Google Security Operations 頁面」的邀請電子郵件，然後完成設定。確認區域資訊正確無誤。

遷移期間，SOAR 服務會停機 2 小時。 完成後，我們會傳送電子郵件通知，並附上存取 SOAR 平台的新網址。 舊網址會重新導向至新網址，並運作到 2026 年 6 月 30 日。

設定 Google Cloud 驗證機制，以存取 SOAR

您需要設定下列其中一個選項，才能設定及使用所需類型的身分。您可能需要 Google Cloud 管理員協助執行這些操作說明。

選項 1：在 Google Cloud 中設定 Cloud Identity 驗證(Google 管理的帳戶)

如果您使用 Google 管理的使用者名稱和密碼，直接在 Cloud Identity 中管理使用者帳戶，就適用這個情境。 如果您使用 Cloud Identity 透過第三方識別資訊提供者 (例如 Okta 或 Azure AD) 進行 SSO，則不適用這項設定。操作步驟如下：

1. 在 Google Cloud中設定 Cloud Identity。 如果您已透過 Google 管理的使用者名稱和密碼設定 Cloud Identity，可以略過這個步驟。
2. 確認所有現有 SOAR 使用者都已在 Cloud Identity 管理控制台中設定。
3. 請按照 Google 帳戶的角色指派格式，在 IAM 中授予必要角色。
   1. 在 Google Cloud 中，將下列預先定義的 IAM 角色指派給新進人員主題專家：
      • Chronicle API Admin
      • Chronicle 服務管理員
      • Chronicle SOAR 管理員
      • 專案 IAM 管理員
      • 服務使用情形管理員
   2. 將下列其中一個預先定義的 IAM 角色指派給所有現有 SOAR 使用者：
      • Chronicle API Admin
      • Chronicle API 編輯者
      • Chronicle API 檢視者
      • Chronicle API 有限檢視者
4. 在 SOAR 中完成驗證設定，將每位使用者 (包括管理員) 對應至電子郵件使用者群組。
   1. 依序前往「設定」>「SOAR 設定」>「進階」>「群組對應」。
   2. 按一下「+」，然後填寫下列資訊。
      • 新增群組名稱：指派給電子郵件群組的名稱，例如「T1 分析師」或「歐盟分析師」。
      • 群組成員：新增所需的使用者電子郵件地址。每新增一封電子郵件後，請按下 Enter 鍵。
      • 選擇 SOAR 權限群組、環境和 SOC 角色的必要存取權 使用者每次登入平台時，系統都會自動將他們新增至「設定」>「機構」>「使用者管理」頁面。

方法 2：在 Google Cloud中設定員工身分聯盟驗證

如果您使用第三方 IdP (例如 Microsoft Azure Active Directory、Okta、Ping Identity 和 AD FS) 管理使用者身分，就適用這個情境。

1. 在 Google Cloud中設定員工身分聯盟：如果已設定，可以略過這個步驟。
2. 請確認 SOAR 中的所有現有使用者，都屬於員工身分聯盟中設定的工作團隊集區群組。
3. 請按照 Workforce Identities 的角色指派格式，在 IAM 中授予必要角色。
   1. 將下列所有預先定義的 IAM 角色指派給新手指派專家。
      • Chronicle API Admin
      • Chronicle 服務管理員
      • Chronicle SOAR 管理員
      • 專案 IAM 管理員
      • 服務使用情形管理員
   2. 在 IAM 中，將下列其中一個角色指派給所有現有 SOAR 使用者：
      • Chronicle API Admin
      • Chronicle API 編輯者
      • Chronicle API 檢視者
      • Chronicle API 有限檢視者
4. 在 SOAR 中完成驗證設定，對應所有需要存取 SOAR 的 IdP 群組。請確認現有使用者已對應至至少一個 IdP 群組。
   1. 依序前往「設定」>「SOAR 設定」>「進階」>「IdP 群組對應」。
   2. 按一下「+」，然後填寫下列資訊：
      • IdP 群組名稱：新增 IdP 中的群組名稱。
      • 選擇權限群組、環境和資安營運中心 (SOC) 角色所需的存取權。
   3. 請確認您已為權限群組、SOC 角色新增具備管理員權限的管理員 IdP 群組，並選取「所有環境」。
   4. 如果「外部驗證」頁面中已有 IdP 群組對應，請保留現狀，以免覆寫現有的 SOAR 驗證。 如要透過新的 Google Cloud 驗證方式存取 SOAR，您仍須在「設定」>「SOAR 設定」>「進階」>「IDP 群組對應」頁面中設定 IdP 群組對應。
   5. 完成後，按一下「新增」。使用者每次登入平台時，系統都會自動將他們新增至「設定」>「機構」>「使用者管理」頁面。

所有客戶的第 2 階段遷移

重要事項：您必須先完成第 1 階段，才能開始第 2 階段的遷移作業。 第 2 階段遷移作業預計於 2026 年 1 月中旬開放所有客戶使用。 建議您等待 2026 年 1 月推出正式版，以獲得最可靠穩定的遷移體驗。 我們將於 2025 年 11 月 24 日起，為少數有緊急業務需求且願意擔任設計合作夥伴的客戶，開放有限的私人搶先體驗。如有意願參加私人搶先體驗計畫，請填寫並提交這份 Google 表單。Google 會審查提交內容，評估是否合適，並與選定的參與者聯絡。 第 2 階段的轉換作業最晚須於 2026 年 6 月 30 日完成。

將 SOAR 權限群組遷移至 Google Cloud IAM

在 Google Cloud中按一下遷移指令碼，即可將 SOAR 權限群組和權限遷移至 IAM。所有客戶的目標正式發布時間為 2026 年 1 月中。這個指令碼會為每個權限群組建立新的自訂角色，並將這些角色指派給 Cloud Identity 客戶的使用者，或是員工身分聯盟客戶的 IdP 群組。

如要進一步瞭解如何設定權限，請參閱「設定功能存取權」。

權限遷移完成後，會發生下列情況：

• SOAR 設定 > 機構 > 權限頁面仍可使用，直到 2026 年 6 月 30 日為止 (為了與 Appkey 向後相容)。請勿對這個頁面進行任何變更。所有權限都透過 IAM 管理。
• 對應頁面上的「權限群組」欄已移除。
• 「權限」頁面中的「受限動作」部分會移至「IDP 群組對應」頁面 (或「電子郵件群組」頁面)。

將 SOAR API 遷移至 Chronicle API

SOAR API 將由 Chronicle API 取代。您必須先完成從權限群組到 IAM 的遷移作業，才能使用 Chronicle API。自 2025 年 11 月 24 日起，您可以申請加入不公開預先發布計畫，在 Chronicle API 中使用 SOAR 端點 v1 beta 版。 新版 (v1) 將於 2026 年 1 月中旬全面開放所有客戶使用。

您必須更新指令碼和整合項目，將 SOAR API 端點替換為對應的 Chronicle API 端點。舊版 SOAR API 和 API 金鑰將於 2026 年 6 月 30 日停用，屆時將無法再運作。詳情請參閱「將端點遷移至 Chronicle API」

遷移遠端代理程式

如要將遠端代理程式遷移至 Google Cloud ，請按照下列步驟操作：

1. 請為遠端代理程式建立服務帳戶，而非 API 金鑰。
2. 執行遠端代理程式的主要版本升級。

現有的遠端代理程式將於 2026 年 6 月 30 日終止服務，屆時將無法再運作。 如需詳細操作說明，請參閱「將遠端代理程式遷移至 Google Cloud」。

遷移 SOAR 稽核記錄

完成權限遷移至 IAM 後，即可在 Google Cloud 中查看 SOAR 記錄。在 2026 年 6 月 30 日前，您對舊版 SOAR API 進行的任何呼叫，都會保留在 SOAR 稽核記錄中。Google SecOps 客戶請參閱「收集 Google SecOps SOAR 記錄」。如果是 SOAR 獨立版客戶，請參閱「收集 SOAR 記錄」

遷移作業完成後的其他變更：

授權類型 授權類型現在取決於使用者在 IAM 中獲派的權限。

到達網頁 到達網頁會從「權限」頁面移至「使用者偏好設定」選單，可透過個人虛擬化身存取。

後續步驟

• 將 SOAR 端點遷移至 Chronicle API
• 遷移遠端代理程式
• 常見問題

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。