将远程代理迁移到 Google Cloud

将远程代理迁移到 Google Cloud

支持的平台:

本文档介绍了如何将远程代理迁移到 Google Cloud 并使用 Google Cloud 服务账号进行身份验证和通信。

准备工作

请确保您已备好以下物品:

  • 在 Google Cloud中创建服务账号所需的权限。
  • 创建服务账号密钥所需的角色。
  • 最低要求远程代理版本为 2.6.0 及更高版本。

创建服务账号

服务账号是一种特殊的 Google 账号,应用可以使用此类账号进行已获授权的 API 调用。如需创建服务账号,请按照以下步骤操作:

  1. 在 Google Cloud 控制台中,前往服务账号页面。
    2. 前往“服务账号”
  2. 点击创建服务账号
  3. 服务账号详情部分,执行以下操作:
    1. 输入服务账号的名称。
    2. 输入服务账号的说明。
    3. 点击创建并继续
  4. 权限部分中,执行以下操作:
    1. 选择角色列表中,选择 Chronicle SOAR 远程代理角色。
    2. 点击继续
  5. 向用户授予访问此服务账号的权限部分中,点击完成

创建服务账号密钥

需要服务账号密钥来对远程代理进行身份验证。如需创建此密钥,请按以下步骤操作:

  1. 在 Google Cloud 控制台中,前往服务账号页面。
    2. 前往“服务账号”
  2. 点击您创建的服务账号的名称。
  3. 点击密钥标签页。
  4. 点击添加密钥 > 创建新密钥
  5. 选择 JSON 作为密钥类型,然后点击创建

    A JSON file containing the key is downloaded to your computer.

  6. 点击关闭

妥善存储密钥文件

下载服务账号密钥后,您必须将其移至将运行远程代理的主机。

Docker

  1. 在计算机上找到下载的 JSON 文件。
  2. 将文件存储在宿主机上代理进程可以访问的安全位置。
  3. 在宿主机上输入代理的服务账号密钥的完整路径。
    AGENT_SERVICE_ACCOUNT_PATH

安装程序

  1. 在计算机上找到下载的 JSON 文件。
  2. 将该文件存储在以下位置: 
    /opt/SiemplifyAgent/agent-key.json
  3. 记下此文件的完整路径,因为在配置远程代理时需要用到它。

为代理准备 REP 环境变量

  1. Chronicle API 参考文档中检索您的区域服务端点 (REP)。使用此 REP 作为您的基本网域。
  2. 在以下命令中输入您的 REP。您将在迁移过程中使用它。 
    REP

  3. 依次前往 SOAR 设置 > 高级 > 远程代理 ,然后选择所需的远程代理。

  4. Docker 命令字段中复制以下值,然后将其粘贴到以下命令中。 您将在迁移过程中使用这些信息:
    • ONE PLATFORM URL PROJECT 
      ONE_PLATFORM_URL_PROJECT
    • ONE PLATFORM URL LOCATION 
      ONE_PLATFORM_URL_LOCATION
    • ONE PLATFORM URL INSTANCE
      ONE_PLATFORM_URL_INSTANCE

将远程代理迁移到 Google Cloud

Docker

如果您要部署新代理,请参阅使用 Docker 部署代理

如果您要升级代理,请参阅使用 Docker 升级代理

如需迁移远程代理,请按以下步骤操作:

  1. 列出正在运行的 Docker 容器。 
    docker ps
  2. 输入代理的容器 ID: 
    CONTAINER_ID

  3. 使用以下命令将服务账号密钥复制到容器中的专用路径。

    docker cp AGENT_SERVICE_ACCOUNT_PATH CONTAINER_ID:/opt/SiemplifyAgent/agent-key.json

  4. 使用以下命令更改容器中服务账号密钥的所有者:

    docker exec -u 0 CONTAINER_ID chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  5. 粘贴之前步骤中的以下环境变量,然后运行此命令:

      docker exec CONTAINER_ID sh -c 'printf "export ONE_PLATFORM_URL_DOMAIN=REP\nexport ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT\nexport ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION\nexport ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE\nexport GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json" >> /home/siemplify_agent/.bash_profile'
  6. 运行以下命令以应用更改: 
    docker restart CONTAINER_ID

安装程序

如果您要部署新代理,请参阅使用 CentOS 部署代理 使用 RHEL 部署代理

如果您要升级代理,请参阅使用 CentOS 升级代理 使用 RHEL 升级代理

如需迁移远程代理,请按以下步骤操作:

  1. 使用以下命令更改容器中服务账号密钥的所有者:

    chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  2. 粘贴之前步骤中的以下环境变量,然后运行此命令:

    cat << EOF >> /home/siemplify_agent/.bash_profile
export ONE_PLATFORM_URL_DOMAIN=REP
export ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT
export ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION
export ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE
export GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json
EOF
  3. 运行以下命令以重启代理服务: 
    supervisorctl restart siemplify_agent

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。