Présentation de la migration SOAR

Compatible avec :

Ce document décrit le processus et le calendrier de migration de l'infrastructure SOAR vers Google Cloud. La migration vise à moderniser l'infrastructure et à améliorer son intégration aux Google Cloud services, ce qui profitera à la fois aux clients unifiés de Google Security Operations et aux utilisateurs autonomes de SOAR qui passent à Google Cloud.

Cette migration est nécessaire pour fournir des mises à niveau d'infrastructure critiques y compris une fiabilité accrue, une sécurité améliorée, une conformité renforcée et un contrôle des accès plus précis. Elle permet également d'accéder aux fonctionnalités d'IA agentique grâce à l'intégration du protocole MCP (Model Context Protocol) et à des services de pointe, y compris IAM pour le contrôle des accès, Cloud Monitoring et Cloud Audit Logs.

La migration se déroule en deux étapes : l'étape 1 et l'étape 2.

L'étape 1 comprend les migrations suivantes :

  • Migration de votre projet SOAR appartenant à Google vers Google Cloud l'infrastructure. Cette opération est effectuée par Google.
  • Migration de l'authentification SOAR vers Google Cloud (applicable uniquement aux clients autonomes de SOAR).

L'étape 2 comprend les migrations suivantes :

  • Migration des groupes d'autorisations et des autorisations SOAR vers Google Cloud IAM.
  • Migration des API SOAR vers la nouvelle API Chronicle unifiée, nécessitant des mises à jour des scripts et des intégrations existants.
  • Migration des webhooks.
  • Migration des agents distants.
  • Migration des journaux d'audit SOAR.

Étape 1 de la migration pour les clients unifiés de Google SecOps

Consultez la notification dans le produit pour connaître la date de l'étape 1 de la migration et le Google Form inclus pour confirmer le créneau horaire. L'étape 1 comprend les migrations suivantes.

  • Migrer le projet SOAR appartenant à Google vers Google Cloud

La migration implique une interruption de service pouvant aller jusqu'à 90 minutes, pendant laquelle la plate-forme Google SecOps n'est pas accessible. Pendant cette interruption, vos services SIEM continueront de fonctionner en arrière-plan, tandis que les services SOAR seront temporairement mis en pause. Une fois l'interruption terminée, la plate-forme sera accessible et les services SOAR reprendront le traitement des alertes générées ou ingérées pendant l'interruption.

Une fois la migration terminée, nous vous enverrons un e-mail.

Étape 1 de la migration pour les clients autonomes de SOAR

Vous recevrez un message de notification dans le produit lorsque nous serons prêts à lancer l'étape 1 pour vous. Assurez-vous de procéder comme suit :

  1. Configurez un Google Cloud projet. Vous pouvez également utiliser un Google Cloud projet qui a peut-être été configuré pour accéder à l'assistance Chronicle mais qui ne dispose pas encore d'une instance Google Security Operations.
  2. Activez l'API Chronicle.
  3. Configurez Google Cloud l'authentification pour accéder à SOAR. Consultez Configurer Google Cloud l'authentification pour accéder à SOAR.
  4. Indiquez l'ID du Google Cloud projet dans le formulaire Google de la notification dans le produit, puis confirmez la date et le créneau horaire de la migration avant d'envoyer le formulaire.
  5. Acceptez l'e-mail d'invitation pour accéder à la page "Obtenir Google Security Operations" et terminez la configuration. Assurez-vous que les informations sur votre région sont exactes.
  6. Vérifiez que les étapes précédentes ont été correctement configurées en consultant le guide de validation avant la migration.

Une fois ces étapes effectuées, Google effectue la migration à la date et à l'heure choisies. Les services SOAR seront interrompus pendant deux heures lors de la migration. Nous vous enverrons un e-mail une fois l'opération terminée, ainsi qu'une nouvelle URL pour accéder à la plate-forme SOAR. L'ancienne URL fonctionnera jusqu'au 30 juin 2026 en vous redirigeant vers la nouvelle URL.

Configurer Google Cloud l'authentification pour accéder à SOAR

Selon le type d'identité que vous souhaitez configurer et utiliser, vous devez configurer l'une des options suivantes. Vous aurez peut-être besoin de l'aide de votre Google Cloud administrateur Identity / IDP pour suivre ces instructions.

Option 1 : Configurer l'authentification Cloud Identity dans Google Cloud (comptes gérés par Google)

Ce scénario s'applique si vous gérez les comptes utilisateur directement dans Cloud Identity à l'aide de noms d'utilisateur et de mots de passe gérés par Google. Il ne s'applique pas si vous utilisez Cloud Identity pour l'authentification unique avec un fournisseur d'identité tiers tel qu'Okta ou Azure AD. Procédez comme suit :

  1. Configurez Cloud Identity dans Google Cloud. Vous pouvez ignorer cette étape si vous avez déjà configuré Cloud Identity avec un nom d'utilisateur et un mot de passe gérés par Google.
  2. Assurez-vous que tous les utilisateurs SOAR existants sont configurés dans la console d'administration Cloud Identity.
  3. Attribuez les rôles requis dans IAM en suivant le format d'attribution des rôles pour les comptes Google.
    1. Attribuez les rôles IAM prédéfinis suivants dans Google Cloud au spécialiste de l'intégration :
    2. Attribuez l'un des rôles IAM prédéfinis suivants à tous les utilisateurs SOAR existants :
  4. Terminez la configuration de l'authentification dans SOAR en mappant chaque utilisateur (y compris les administrateurs) à un groupe d'utilisateurs de messagerie.
    1. Accédez à Paramètres > Paramètres SOAR > Avancé > Mappage de groupe.
    2. Cliquez sur "+" et saisissez les informations suivantes.
      • Ajouter un nom de groupe : nom que vous attribuez à un groupe de messagerie, par exemple "Analystes T1" ou "Analystes UE".
      • Membres du groupe : ajoutez les adresses e-mail des utilisateurs requis. Appuyez sur Entrée après avoir ajouté chaque adresse e-mail.
      • Sélectionnez le groupe d'utilisateurs administrateurs avec les autorisations d'administrateur pour les groupes d'autorisations et les rôles SOC. Sélectionnez Tous les environnements.
      • Si vous avez des mappages de groupes d'utilisateurs de messagerie existants sur la page "Authentification externe", vous devez les laisser tels quels afin de ne pas remplacer votre authentification SOAR existante. Pour la nouvelle Google Cloud authentification permettant d'accéder à SOAR, vous devez toujours configurer le mappage des groupes d'utilisateurs de messagerie sur la page Paramètres > Paramètres SOAR > Avancé > Mappage de groupe.
      • Une fois que vous avez terminé, cliquez sur Ajouter. Chaque fois qu'un utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Paramètres > Organisation > Gestion des utilisateurs. L'instance migrée conserve ces mappages, qui servent de base pour déterminer l'accès des utilisateurs à SOAR. Vous devez vous assurer que chaque utilisateur est mappé sur cette page pour pouvoir accéder à Google SecOps.

Option 2 : Configurer l'authentification de la fédération des identités des employés dans Google Cloud

Ce scénario s'applique si vous gérez les identités de vos utilisateurs à l'aide de fournisseurs d'identité tiers tels que Microsoft Azure Active Directory, Okta, Ping Identity et AD FS.

  1. Configurez la fédération des identités des employés dans Google Cloud Vous pouvez ignorer cette étape si elle a déjà été configurée.
  2. Assurez-vous que tous les utilisateurs existants dans SOAR font partie des groupes de pools d'employés configurés dans la fédération des identités des employés.
  3. Attribuez les rôles requis dans IAM en suivant le format d'attribution des rôles pour les identités des employés.
    1. Attribuez tous les rôles IAM prédéfinis suivants au spécialiste de l'intégration.
    2. Attribuez l'un des rôles suivants dans IAM à tous les utilisateurs SOAR existants :
  4. Terminez la configuration de l'authentification dans SOAR en mappant tous les groupes IdP qui doivent accéder à SOAR. Assurez-vous que les utilisateurs existants sont mappés à au moins l'un des groupes IdP.
    1. Accédez à Paramètres > Paramètres SOAR > Avancé > Mappage de groupe.
    2. Cliquez sur "+" et saisissez les informations suivantes.
      • Nom du groupe IdP : ajoutez le nom du groupe à partir de votre IdP.
      • Choisissez l'accès nécessaire aux groupes d'autorisations, aux environnements et aux rôles SOC.
    3. Assurez-vous d'avoir ajouté le groupe IdP administrateur avec les autorisations d'administrateur pour les groupes d'autorisations et les rôles SOC, puis sélectionnez "Tous les environnements".
    4. Si vous avez des mappages de groupes IdP existants sur la page "Authentification externe", vous devez les laisser tels quels afin de ne pas remplacer votre authentification SOAR existante. Pour la nouvelle Google Cloud authentification permettant d'accéder à SOAR, vous devez toujours configurer le mappage des groupes IdP sur la page Paramètres > Paramètres SOAR > Avancé > Mappage de groupe.
    5. Une fois que vous avez terminé, cliquez sur Ajouter. Chaque fois qu'un utilisateur se connecte à la plate-forme, il est automatiquement ajouté à la page Paramètres > Organisation > Gestion des utilisateurs. L'instance migrée conserve ces mappages, qui servent de base pour déterminer l'accès des utilisateurs à SOAR. Vous devez vous assurer que chaque utilisateur est mappé sur cette page pour pouvoir accéder à Google SecOps.

Étape 2 de la migration pour tous les clients

Important : Vous devez effectuer l'étape 1 avant de commencer l'étape 2 de la migration.

L'étape 2 de la migration est généralement disponible pour tous les clients à partir du 26 janvier 2026.

La date limite pour effectuer la transition de l'étape 2 est le 30 septembre 2026.

Migrer les groupes d'autorisations SOAR vers Google Cloud IAM

Migrez les groupes d'autorisations et les autorisations SOAR vers IAM en un seul clic sur le script de migration dans Google Cloud. Le script crée des rôles personnalisés pour chaque groupe d'autorisations et les attribue aux utilisateurs pour les clients Cloud Identity ou aux groupes IdP pour les clients de la fédération des identités des employés. Vous pouvez également migrer les autorisations SOAR à l'aide de Terraform.

Pour obtenir des informations complètes sur le script de migration et les commandes Terraform, consultez Migrer les autorisations SOAR vers Google Cloud IAM.

Pour en savoir plus sur la configuration des autorisations, consultez Configurer l'accès aux fonctionnalités.

Une fois la migration des autorisations effectuée, les éléments suivants se produisent :

  • La page Paramètres SOAR > Organisation > Autorisations reste disponible jusqu'au 30 septembre 2026 (pour assurer la rétrocompatibilité avec les anciennes API). N'apportez aucune modification à cette page. Les autorisations sont toutes gérées via IAM.
  • La colonne Groupe d'autorisations de la page Mappage de groupe s'affiche pour assurer la rétrocompatibilité avec l'ancienne API SOAR. Ne supprimez pas ces attributions. La colonne sera automatiquement supprimée d'ici le 30 septembre 2026 sans aucun impact sur le client.
  • La section des actions restreintes de la page Autorisations sera déplacée vers la page Mappage de groupe.

Migrer les API SOAR vers l'API Chronicle

Si vous utilisez l'API SOAR par programmation à l'aide d'appels d'API ou via des intégrations, vous pouvez la migrer vers les nouveaux points de terminaison bêta de SOAR v1 disponibles dans l'API Chronicle.

Vous devez mettre à jour vos scripts et intégrations pour remplacer les points de terminaison de l'API SOAR par les points de terminaison correspondants de l'API Chronicle. L'ancienne API SOAR et les clés API seront disponibles jusqu'au 30 septembre 2026, après quoi elles ne fonctionneront plus. Pour en savoir plus, consultez Migrer des points de terminaison vers l'API Chronicle.

Migrer les webhooks

Vous devez migrer les webhooks SOAR vers l'API Chronicle avant le 30 septembre 2026 en procédant comme suit :

Mettez à jour l'URL de webhook côté client en remplaçant l'ancien domaine siemplify-soar.com par le nouveau domaine googleapis.com à l'aide du nouveau format de requête. L'ancien domaine siemplify-soar.com continuera de fonctionner jusqu'au 30 septembre 2026.

Par exemple, un webhook défini sur : https://xxxx.siemplify-soar.com/api/external/v1/webhooks/{webhook_id}?api_key=xxxx

devra être mis à jour comme suit : https://us-chronicle.googleapis.com/v1alpha/projects/{project_id}/locations/{location}/instances/{instance/{instance_id}/webhooks/{webhook_id}?api_key=xxxx

L'authentification des webhooks reste inchangée. Les webhooks continuent d'utiliser la clé API qui a été créée initialement avec le lien du webhook.

Migrer les agents distants

Vous pouvez migrer les agents distants vers Google Cloud en procédant comme suit :

  1. Créez un compte de service au lieu d'une clé API pour l'agent distant.
  2. Effectuez une mise à niveau de version majeure de l'agent distant.

Les agents distants existants seront disponibles jusqu'au 30 septembre 2026, après quoi ils ne fonctionneront plus. Pour obtenir des instructions détaillées, consultez Migrer des agents distants vers Google Cloud.

Migrer les journaux d'audit SOAR

Les journaux SOAR seront disponibles dans Google Cloud une fois que vous aurez effectué la migration des autorisations vers IAM. Tous les appels effectués vers l'ancienne API SOAR jusqu'au 30 septembre 2026 resteront accessibles dans les journaux d'audit SOAR Pour les clients Google SecOps, consultez Collecter les journaux Google SecOps SOAR. Pour les clients autonomes de SOAR, consultez Collecter les journaux SOAR.

Autres modifications après la migration :

Type de licence Le type de licence est désormais déterminé par les autorisations attribuées à l'utilisateur dans IAM.

Page de destination La page de destination sera déplacée de la page "Autorisations" vers le menu Préférences utilisateur, accessible depuis votre avatar.

Étape suivante

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels de Google SecOps.