SOAR 遷移作業總覽

本文說明將 SOAR 基礎架構遷移至 Google Cloud的程序和時間表。遷移作業的目標是翻新基礎架構，並加強與服務的整合，讓 Google Security Operations 統一客戶和獨立 SOAR 使用者都能受益。 Google Cloud Google Cloud

這項遷移作業是必要的，因為我們需要進行重大基礎架構升級，包括提升穩定性、改善安全性、加強法規遵循，以及提供更精細的存取控管。此外，透過整合模型上下文協定 (MCP) 和頂尖服務 (包括 IAM 存取權控管、Cloud Monitoring 和 Cloud 稽核記錄)，還能存取 Agentic AI 功能。

遷移作業分為兩個階段：第 1 階段和第 2 階段。

第 1 階段包含下列遷移作業：

• 將 Google 擁有的 SOAR 專案遷移至 Google Cloud 基礎架構。這項作業由 Google 執行。
• 將 SOAR 驗證遷移至 Google Cloud (僅適用於 SOAR 獨立平台版客戶)。

第 2 階段包含下列遷移作業：

• 將 SOAR 權限群組和權限遷移至 Google Cloud 身分與存取權管理。
• 將 SOAR API 遷移至新的統一 Chronicle API，需要更新現有指令碼和整合功能。
• 遷移遠端代理程式。
• 遷移 SOAR 稽核記錄。

Google SecOps 整合式客戶的第 1 階段遷移作業

查看產品內通知，瞭解第 1 階段的遷移日期，並填寫內附的 Google 表單，確認時間。第 1 階段包含下列遷移作業。

• 將 Google 自有的 SOAR 專案遷移至 Google Cloud

遷移作業期間會有 90 分鐘的停機時間，屆時無法存取 Google SecOps 平台。在停機期間，SIEM 服務會繼續在背景運作，SOAR 服務則會暫時停止運作。平台將在停機後恢復運作，SOAR 服務也會繼續處理停機期間產生或擷取的任何快訊。

遷移完成後，我們會傳送電子郵件通知你。

SOAR 獨立客戶的第 1 階段遷移作業

當我們準備好為你啟動第 1 階段時，你會收到產品內通知訊息。 請務必完成以下事項：

1. 設定 Google Cloud 專案。 您也可以使用 Google Cloud 可能已設定為存取 Chronicle 支援服務的專案，但該專案尚未有 Google Security Operations 執行個體。
2. 啟用 Chronicle API。
3. 設定 Google Cloud 驗證機制，以便存取 SOAR。請參閱「設定 Google Cloud 驗證以存取 SOAR」。
4. 在 Google 表單中提供產品內通知中的 Google Cloud 專案 ID，並在提交表單前確認遷移日期和時間。
5. 接受「取得 Google Security Operations 頁面」的邀請電子郵件，然後完成設定。確認區域資訊正確無誤。

遷移期間，SOAR 服務會停機 2 小時。 完成後，我們會傳送電子郵件通知，並提供存取 SOAR 平台的新網址。 舊網址會重新導向至新網址，並運作到 2026 年 6 月 30 日。

設定 Google Cloud 驗證機制，以存取 SOAR

您需要設定下列其中一個選項，才能設定及使用所需類型的身分。您可能需要 Google Cloud 管理員協助執行這些操作說明。

選項 1：在 Google Cloud (Google 管理的帳戶) 中設定 Cloud Identity 驗證

如果您使用 Google 管理的使用者名稱和密碼，直接在 Cloud Identity 中管理使用者帳戶，就適用這個情境。 如果您使用 Cloud Identity 透過第三方識別資訊提供者 (例如 Okta 或 Azure AD) 進行 SSO，則不適用這項設定。操作步驟如下：

1. 在 Google Cloud 中設定 Cloud Identity。 如果您已透過 Google 管理的使用者名稱和密碼設定 Cloud Identity，可以略過這個步驟。
2. 確認所有現有 SOAR 使用者都已在 Cloud Identity 管理控制台中設定。
3. 請按照 Google 帳戶的角色指派格式，在 IAM 中授予必要角色。
   1. 在 Google Cloud 中，將下列預先定義的 IAM 角色指派給新手指派專家：
      • Chronicle API Admin
      • Chronicle 服務管理員
      • Chronicle SOAR 管理員
      • 專案 IAM 管理員
      • 服務使用情形管理員
   2. 將下列其中一個預先定義的 IAM 角色指派給所有現有 SOAR 使用者：
      • Chronicle API Admin
      • Chronicle API 編輯者
      • Chronicle API 檢視者
      • Chronicle API 有限檢視者
4. 在 SOAR 中完成驗證設定，將每位使用者 (包括管理員) 對應至電子郵件使用者群組。
   1. 依序前往「設定」>「SOAR 設定」>「進階」>「群組對應」。
   2. 按一下「+」，然後填寫下列資訊。
      • 新增群組名稱：指派給電子郵件群組的名稱，例如「T1 分析師」或「歐盟分析師」。
      • 群組成員：新增所需的使用者電子郵件地址。每新增一封電子郵件後，請按下 Enter 鍵。
      • 選擇 SOAR 權限群組、環境和 SOC 角色所需的存取權 使用者每次登入平台時，系統都會自動將他們新增至「設定」>「機構」>「使用者管理」頁面。

選項 2：在 Google Cloud中設定員工身分聯盟驗證

如果您使用第三方 IdP (例如 Microsoft Azure Active Directory、Okta、Ping Identity 和 AD FS) 管理使用者身分，就適用這個情境。

1. 在 Google Cloud中設定員工身分聯盟：如果已設定，可以略過這個步驟。
2. 請確認 SOAR 中的所有現有使用者，都屬於員工身分聯盟中設定的工作團隊集區群組。
3. 請按照 Google 帳戶的角色指派格式，在 IAM 中授予必要角色。
   1. 將下列所有預先定義的 IAM 角色指派給新手指派專家。
      • Chronicle API Admin
      • Chronicle 服務管理員
      • Chronicle SOAR 管理員
      • 專案 IAM 管理員
      • 服務使用情形管理員
   2. 在 IAM 中，將下列其中一個角色指派給所有現有的 SOAR 使用者：
      • Chronicle API Admin
      • Chronicle API 編輯者
      • Chronicle API 檢視者
      • Chronicle API 有限檢視者
4. 在 SOAR 中完成驗證設定，對應所有需要存取 SOAR 的 IdP 群組。 請確認現有使用者已對應至至少一個 IdP 群組。
   1. 依序前往「設定」>「SOAR 設定」>「進階」>「IdP 群組對應」。
   2. 按一下「+」，然後填寫下列資訊：
      • IdP 群組名稱：新增 IdP 中的群組名稱。
      • 選擇權限群組、環境和資安營運中心 (SOC) 角色所需的存取權。
   3. 請確認您已新增具備權限群組管理員權限的 IdP 管理員群組、SOC 角色，並選取「所有環境」。
   4. 如果「外部驗證」頁面中已有 IdP 群組對應，請保留現狀，以免覆寫現有的 SOAR 驗證。 如要透過新的 Google Cloud 驗證方式存取 SOAR，您仍須在「設定」>「SOAR 設定」>「進階」>「IDP 群組對應」頁面中設定 IdP 群組對應。
   5. 完成後，按一下「新增」。使用者每次登入平台時，系統都會自動將他們新增至「設定」>「機構」>「使用者管理」頁面。

所有客戶的第 2 階段遷移作業

第 2 階段搶先體驗計畫將於 2025 年 11 月 1 日推出，並於 2026 年 1 月 1 日全面開放所有客戶使用。完成第 1 階段後，您隨時可以啟動第 2 階段，但必須在 2026 年 6 月 30 日前完成。

將 SOAR 權限群組遷移至 Google Cloud IAM

透過 Google Cloud 中的遷移指令碼，按一下滑鼠即可將 SOAR 權限群組和權限遷移至 IAM(搶先體驗版將於 2025 年 11 月 1 日前推出)。這項指令碼會為每個權限群組建立新的自訂角色，並將這些角色指派給 Cloud Identity 客戶的使用者，或是員工身分聯盟客戶的 IdP 群組。

如要進一步瞭解如何設定權限，請參閱「設定功能存取權」。 新的預先定義 SOAR 角色如下：

• Chronicle SOAR 管理員
• Chronicle SOAR 工程師
• Chronicle SOAR 分析師
• Chronicle SOAR 檢視者
• Chronicle SOAR 服務代理

權限遷移完成後，會發生下列情況：

• SOAR 設定>「機構」>「權限」頁面將於 2026 年 6 月 30 日前提供服務 (與 Appkey 向後相容)。請勿對這個頁面進行任何變更。所有權限都透過 IAM 管理。
• 對應頁面上的「權限群組」欄已移除。
• 「權限」頁面中的「受限動作」部分會移至「IDP 群組對應」頁面 (或「電子郵件群組」頁面)。

將 SOAR API 遷移至 Chronicle API

SOAR API 將由 Chronicle API 取代。您必須先完成從權限群組到 IAM 的遷移作業，才能使用 Chronicle API。自 2025 年 11 月 1 日起，您可以選擇搶先使用 Chronicle API 中的 SOAR 端點 v1 Beta 版。 2026 年 1 月 1 日起，所有客戶都能使用新版 (v1)。

您必須更新指令碼和整合項目，將 SOAR API 端點替換為對應的 Chronicle API 端點。舊版 SOAR API 和 API 金鑰將於 2026 年 6 月 30 日停用，屆時將無法再運作。詳情請參閱「將端點遷移至 Chronicle API」

遷移遠端代理程式

如要將遠端代理程式遷移至 Google Cloud ，請按照下列步驟操作：

1. 請為遠端代理程式建立服務帳戶，而非 API 金鑰。
2. 升級遠端代理程式的主要版本。

現有的遠端代理程式將於 2026 年 6 月 30 日停止運作。 如需詳細操作說明，請參閱「將遠端代理程式遷移至 Google Cloud」。

遷移 SOAR 稽核記錄

完成權限遷移至 IAM 後，即可在 Google Cloud 中查看 SOAR 記錄。在 2026 年 6 月 30 日前，您對舊版 SOAR API 的任何呼叫，都會保留在 SOAR 稽核記錄中。Google SecOps 客戶請參閱「收集 Google SecOps SOAR 記錄」。如果是 SOAR 獨立版客戶，請參閱「收集 SOAR 記錄」

遷移作業完成後的其他變更：

授權類型 授權類型現在取決於使用者在 IAM 中獲派的權限。

到達網頁 到達網頁會從「權限」頁面移至「使用者偏好設定」選單，可透過個人虛擬化身存取。

後續步驟

• 將 SOAR 端點遷移至 Chronicle API
• 遷移遠端代理程式
• 常見問題

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。