Visão geral da migração do SOAR

Este documento descreve o processo e os cronogramas para migrar a infraestrutura do SOAR para o Google Cloud. A migração tem como objetivo modernizar a infraestrutura e melhorar a integração com Google Cloud os serviços, beneficiando os clientes unificados do Google Security Operations e os usuários independentes do SOAR que estão fazendo a transição para o Google Cloud.

Essa migração é necessária para fornecer upgrades de infraestrutura crítica incluindo maior confiabilidade, segurança aprimorada, maior conformidade e controle de acesso mais granular. Ela também permite o acesso aos recursos de IA agêntica pela integração do Protocolo de Contexto de Modelo (MCP, na sigla em inglês) e aos melhores serviços da categoria, incluindo o IAM para controle de acesso, o Cloud Monitoring e os Registros de auditoria do Cloud.

A migração é realizada em duas etapas: etapa 1 e etapa 2.

A etapa 1 inclui as seguintes migrações:

• Migração do projeto SOAR de propriedade do Google para Google Cloud infraestrutura. Isso é feito pelo Google.
• Migração da autenticação do SOAR para Google Cloud (aplicável apenas a clientes independentes do SOAR).

A etapa 2 inclui as seguintes migrações:

• Migração de grupos de permissões e permissões do SOAR para o Google Cloud IAM.
• Migração das APIs do SOAR para a nova API unificada do Chronicle, exigindo atualizações de scripts e integrações atuais.
• Migração de webhooks.
• Migração de agentes remotos.
• Migração dos registros de auditoria do SOAR.

Etapa 1 da migração para clientes unificados do Google SecOps

Confira a notificação no produto para a data da migração da etapa 1 e o arquivo do Formulários Google incluído para confirmar o período. A etapa 1 inclui as seguintes migrações.

• Migrar o projeto SOAR de propriedade do Google para Google Cloud

A migração envolve um tempo de inatividade de até 90 minutos em que a plataforma Google SecOps não está acessível. Durante esse período, os serviços do SIEM vão continuar funcionando em segundo plano, enquanto os serviços do SOAR serão pausados temporariamente. Após o período de inatividade, a plataforma estará acessível e os serviços do SOAR vão retomar o processamento de alertas gerados ou ingeridos durante o período de inatividade.

Quando a migração for concluída, vamos enviar um e-mail.

Etapa 1 da migração para clientes independentes do SOAR

Você vai receber uma mensagem de notificação no produto quando estivermos prontos para iniciar a etapa 1. Faça o seguinte:

1. Configure um Google Cloud projeto. Você também pode usar um Google Cloud projeto que pode ter sido configurado para acessar o suporte do Chronicle mas ainda não tem uma instância do Google Security Operations.
2. Ative a API Chronicle.
3. Configure a Google Cloud autenticação para acessar o SOAR. Consulte Configurar Google Cloud aautenticação para acessar o SOAR.
4. Forneça o Google Cloud ID do projeto no Formulários Google na notificação no produto e confirme a data e o horário da migração antes de enviar o formulário.
5. Aceite o e-mail de convite para a página "Acessar o Google Security Operations" e conclua a configuração. Verifique se as informações da região estão corretas.
6. Valide se as etapas anteriores foram configuradas corretamente consultando o guia de validação pré-migração.

Depois de concluir as etapas, o Google realiza a migração na data e hora escolhidas. Você vai ter um período de inatividade nos serviços do SOAR por duas horas durante a migração. Vamos enviar um e-mail após a conclusão, juntamente com um novo URL para acessar a plataforma SOAR. O URL antigo vai funcionar até 30 de junho de 2026, redirecionando você para o novo URL.

Configurara Google Cloud autenticação para acessar o SOAR

Dependendo do tipo de identidade que você quer configurar e usar, é necessário configurar uma das seguintes opções. Talvez você precise da ajuda do seu Google Cloud administrador de identidade / IDP para realizar essas instruções.

Opção 1: configurar a autenticação do Cloud Identity em Google Cloud (contas gerenciadas pelo Google)

Esse cenário é aplicável se você gerenciar contas de usuário diretamente no Cloud Identity usando nomes de usuário e senhas gerenciados pelo Google. Ele não se aplica se você estiver usando o Cloud Identity para SSO com um provedor de identidade de terceiros, como Okta ou Azure AD. Siga estas etapas:

1. Configure o Cloud Identity em Google Cloud. Pule esta etapa se você já tiver o Cloud Identity configurado com nome de usuário e senha gerenciados pelo Google.
2. Verifique se todos os usuários do SOAR estão configurados no Cloud Identity Admin Console.
3. Conceda os papéis necessários no IAM seguindo o formato de atribuição de papéis para Contas do Google.
   1. Atribua os seguintes papéis predefinidos do IAM em Google Cloud ao SME de integração:
      • Administrador da API Chronicle
      • Administrador de serviço do Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de projetos do IAM
      • Administrador do Service Usage
   2. Atribua um dos seguintes papéis predefinidos do IAM a todos os usuários do SOAR:
      • Administrador da API Chronicle
      • Editor da API Chronicle
      • Leitor da API Chronicle
      • Leitor limitado da API Chronicle
4. Conclua a configuração de autenticação no SOAR mapeando cada usuário (incluindo administradores) para um grupo de usuários de e-mail.
   1. Acesse Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos.
   2. Clique em "+" e preencha as seguintes informações.
      • Adicionar nome do grupo: o nome que você atribui a um grupo de e-mail, como analistas T1 ou analistas da UE.
      • Participantes do grupo: adicione os e-mails de usuário necessários. Pressione Enter após adicionar cada e-mail.
      • Selecione o grupo de usuários administradores com permissões de administrador para grupos de permissões e papéis do SOC. Selecione Todos os ambientes.
      • Se você tiver mapeamentos de grupos de usuários de e-mail na página "Autenticação externa", deixe-os no estado em que se encontram para não substituir a autenticação do SOAR. Para a nova Google Cloud autenticação para acessar o SOAR, ainda é necessário configurar o mapeamento de grupos de usuários de e-mail na página Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos.
      • Quando terminar, clique em Adicionar. Sempre que um usuário faz login na plataforma, ele é adicionado automaticamente à página Configurações > Organização > Gerenciamento de usuários. A instância migrada mantém esses mapeamentos, que servem de base para determinar o acesso do usuário ao SOAR. É necessário garantir que todos os usuários estejam mapeados nessa página para acessar o Google SecOps.

Opção 2: configurar a autenticação da federação de identidade de colaboradores em Google Cloud

Esse cenário é aplicável se você gerenciar as identidades de usuário usando IdPs de terceiros, como o Microsoft Azure Active Directory, Okta, Ping Identity e AD FS.

1. Configure a federação de identidade de colaboradores em Google Cloud Pule esta etapa se ela já estiver configurada.
2. Verifique se todos os usuários do SOAR fazem parte dos grupos de pool de colaboradores configurados na federação de identidade de colaboradores.
3. Conceda os papéis necessários no IAM seguindo o formato de atribuição de papéis para identidades de colaboradores.
   1. Atribua todos os seguintes papéis predefinidos do IAM ao SME de integração.
      • Administrador da API Chronicle
      • Administrador de serviço do Chronicle
      • Administrador do Chronicle SOAR
      • Administrador de projetos do IAM
      • Administrador do Service Usage
   2. Atribua um dos seguintes papéis no IAM a todos os usuários do SOAR:
      • Administrador da API Chronicle
      • Editor da API Chronicle
      • Leitor da API Chronicle
      • Leitor limitado da API Chronicle
4. Conclua a configuração de autenticação no SOAR mapeando todos os grupos de IdP que precisam de acesso ao SOAR. Verifique se os usuários atuais estão mapeados para pelo menos um dos grupos de IdP.
   1. Acesse Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos.
   2. Clique em "+" e preencha as seguintes informações.
      • Nome do grupo de IdP: adicione o nome do grupo do seu IdP.
      • Escolha o acesso necessário a grupos de permissões, ambientes e papéis do SOC.
   3. Verifique se você adicionou o grupo de IdP do administrador com permissões de administrador para grupos de permissões, papéis do SOC e selecione "Todos os ambientes".
   4. Se você tiver mapeamentos de grupos de IdP na página "Autenticação externa", deixe-os no estado em que se encontram para não substituir a autenticação do SOAR. Para a nova Google Cloud autenticação para acessar o SOAR, ainda é necessário configurar o mapeamento de grupos de IdP na página Configurações > Configurações do SOAR > Avançado > Mapeamento de grupos.
   5. Quando terminar, clique em Adicionar. Sempre que um usuário faz login na plataforma, ele é adicionado automaticamente à página Configurações > Organização > Gerenciamento de usuários. A instância migrada mantém esses mapeamentos, que servem de base para determinar o acesso do usuário ao SOAR. É necessário garantir que todos os usuários estejam mapeados nessa página para acessar o Google SecOps.

Migração da etapa 2 para todos os clientes

Importante: conclua a etapa 1 antes de iniciar a migração da etapa 2.

A migração da etapa 2 está disponível para todos os clientes a partir de 26 de janeiro de 2026.

O prazo final para concluir a transição da etapa 2 é 30 de setembro de 2026.

Migrar grupos de permissões do SOAR para o Google Cloud IAM

Migre os grupos de permissões e permissões do SOAR para o IAM com um único clique no script de migração em Google Cloud. O script cria novos papéis personalizados para cada grupo de permissões e os atribui a usuários para clientes do Cloud Identity ou grupos de IdP para clientes da federação de identidade de colaboradores. Também é possível migrar as permissões do SOAR usando o Terraform.

Para detalhes completos do script de migração e dos comandos do Terraform, consulte Migrar permissões do SOAR para o Google Cloud IAM.

Para mais informações sobre como configurar permissões, consulte Configurar o acesso ao recurso.

Após a migração das permissões, o seguinte acontece:

• A página Configurações do SOAR > Organização > Permissões ainda está disponível até 30 de setembro de 2026 (para compatibilidade com versões anteriores de APIs legadas). Não faça alterações nessa página. As permissões são gerenciadas pelo IAM.
• A coluna Grupo de permissões na página Mapeamento de grupos é exibida para compatibilidade com versões anteriores da API SOAR legada. Não exclua essas atribuições. A coluna será removida automaticamente até 30 de setembro de 2026, sem afetar o cliente.
• A seção de ações restritas na página Permissões será movida para a página Mapeamento de grupos.

Migrar APIs do SOAR para a API Chronicle

Se você usar a API SOAR de forma programática usando chamadas de API ou integrações, poderá migrá-la para os novos endpoints Beta da API SOAR v1 disponíveis como parte da API Chronicle.

É necessário atualizar seus scripts e integrações para substituir os endpoints da API SOAR pelos endpoints correspondentes da API Chronicle. A API SOAR legada e as chaves de API vão estar disponíveis até 30 de setembro de 2026. Depois disso, elas não vão mais funcionar. Para mais informações, consulte Migrar endpoints para a API Chronicle.

Migrar webhooks

É necessário migrar os webhooks do SOAR para a API Chronicle fazendo o seguinte antes de 30 de setembro de 2026:

Atualize o URL do webhook no lado do cliente substituindo o domínio legado siemplify-soar.com pelo novo domínio googleapis.com usando o novo formato de solicitação. O domínio legado siemplify-soar.com vai continuar funcionando até 30 de setembro de 2026.

Por exemplo, um webhook definido em: https://xxxx.siemplify-soar.com/api/external/v1/webhooks/{webhook_id}?api_key=xxxx

precisará ser atualizado para: https://us-chronicle.googleapis.com/v1alpha/projects/{project_id}/locations/{location}/instances/{instance/{instance_id}/webhooks/{webhook_id}?api_key=xxxx

A autenticação para webhooks permanece inalterada. Os webhooks continuam usando a chave de API que foi criada inicialmente junto com o link do webhook.

Migrar agentes remotos

É possível migrar os agentes remotos para Google Cloud fazendo o seguinte:

1. Crie uma conta de serviço em vez de uma chave de API para o agente remoto.
2. Realize um upgrade da versão principal do agente remoto.

Os agentes remotos atuais vão estar disponíveis até 30 de setembro de 2026. Depois disso, eles não vão mais funcionar. Para instruções detalhadas, consulte Migrar agentes remotos para o Google Cloud.

Migrar registros de auditoria do SOAR

Os registros do SOAR vão ficar disponíveis em Google Cloud quando você concluir a migração de permissões para o IAM. Todas as chamadas feitas para a API SOAR legada até 30 de setembro de 2026 vão continuar acessíveis em registros de auditoria do SOAR Para clientes do Google SecOps, consulte Coletar registros do Google SecOps SOAR. Para clientes independentes do SOAR, consulte Coletar registros do SOAR.

Outras mudanças após a migração:

Tipo de licença O tipo de licença agora é determinado pelas permissões atribuídas ao usuário no IAM.

Página de destino A página de destino será movida da página "Permissões" para o menu Preferências do usuário, acessível pelo seu avatar.

A seguir

• Guia de pré-validação da migração do SOAR
• Migrar uma instância independente do SOAR de um MSSP
• Migrar endpoints do SOAR para a API Chronicle
• Migrar agentes remotos
• Migrar permissões do SOAR para o Google Cloud IAM
• Perguntas frequentes

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.