SOAR 이전 관련 자주 묻는 질문

다음에서 지원:

SOAR 이전 프로세스에 관한 일반적인 질문에 대한 답변을 확인하세요. 자주 발생하는 문제의 해결 방법과 성공적인 전환을 위한 권장사항을 확인하세요.

이전 범위 및 영향

Q: 이 이전이 필요한 이유는 무엇인가요?

Google Cloud로 마이그레이션하여 SOAR 인프라를 현대화하고 있습니다. 이 중요한 업그레이드는 안정성 향상, 보안 개선, 규정 준수 강화, 더 세밀한 액세스 제어 등 주요 이점을 제공합니다. 또한 Model Context Protocol (MCP) 통합을 통해 에이전트형 AI 기능에 액세스할 수 있습니다.

마이그레이션은 다음을 제공합니다.

  • Google의 동급 최고 API 레이어를 활용하여 SOAR의 안정성과 모니터링 기능을 개선합니다. 이 레이어는 할당량 관리, 감사, 모니터링 가능성을 위한 고급 기능이 포함된 선도적인 API 솔루션을 제공합니다.
  • 전체 플랫폼에서 기능 및 데이터에 대한 역할 기반 액세스 제어 (RBAC)를 잠금 해제합니다.
  • VPC 서비스 제어, 데이터 상주, 고객 관리 암호화 키 (CMEK)와 같은 더 높은 규정 준수 기능을 제공합니다.

Q: 이전 범위는 어떻게 되나요?

마이그레이션에는 다음 구성요소가 포함됩니다.

  • SOAR 프로젝트를 고객 소유 Google Cloud 프로젝트로 마이그레이션
  • SOAR 인증 및 권한을 Google Cloud IAM으로 이전
  • SOAR API를 Chronicle API로 이전
  • 원격 에이전트 마이그레이션
  • SOAR 감사 로그 마이그레이션

Q: 이전 후 즉시 적용되는 변경사항은 무엇인가요?

이전이 완료되면 다음과 같은 몇 가지 주요 변경사항이 적용됩니다.

  • GCP 프로젝트 소유권: SOAR 프로젝트가 Google 소유권에서 고객 소유 Google Cloud 프로젝트로 이전됩니다.
  • 인증:
    • 통합 SecOps 고객: 변경사항 없음 인증은 계속해서 Google Cloud IAM에서 관리합니다.
    • SOAR 독립형 고객: 이제 인증이 Google Cloud IAM으로 관리됩니다. SAML을 사용하는 사용자의 경우 직원 ID 제휴를 채택해야 하며, SAML 구성은 더 이상 SOAR 시스템 자체 내에 저장되고 관리되지 않으므로 보안 제어가 강화됩니다.
  • RBAC: 사용자 권한이 더 세분화되고 IAM을 사용하여 관리됩니다. 환경 및 SOC 역할은 ID 공급업체 (IdP) 그룹을 사용하여 SOAR 모듈 내에서 계속 관리됩니다.
  • 감사 로깅: 감사 로그가 더 자세해지고 **Cloud 감사 로그 ** 내에서 관리됩니다.
  • 새 URL (SOAR만 해당): SOAR 독립형 사용자는 SOAR에 액세스할 수 있는 새 URL (새 도메인)을 받게 됩니다.

Q: 고객 / 파트너에게 이 이전이 어떻게 통지되나요?

모든 고객과 파트너에게 제품 내 팝업이 표시되며, 여기에는 이전 날짜와 작성해야 하는 양식 링크가 포함됩니다. 마이그레이션 날짜와 시간대를 확인하라는 메시지가 표시됩니다.

Q: SOAR이 Google Cloud 프로젝트에 바인딩되면 인프라 비용이 변경되나요?

아니요, 비용에는 영향이 없습니다. 프런트엔드에서는 변경사항이 표시되지 않습니다. 프로젝트에서 새 리소스가 실행되지 않으므로 관련 비용이 발생하지 않습니다.

Q: 프로젝트를 SOAR에 연결하려면 어떻게 해야 하나요?

Google에서 SOAR 프로젝트를 Google Cloud 프로젝트로 이전합니다. Unified SecOps 고객인 경우 Google에 이미 Google Cloud 프로젝트 ID가 있습니다. SOAR 독립형 고객인 경우 Google Cloud 프로젝트 ID를 Google과 공유해야 합니다.

Q: 이미 Google SecOps를 배포한 고객의 경우 SIEM과 동일한 프로젝트 ID를 사용해야 하나요 아니면 별도의 프로젝트가 필요한가요?

통합 Google SecOps 배포 (SIEM 1개, SOAR 1개)의 경우 SIEM과 연결된 기존 Google Cloud 프로젝트 ID를 사용해야 합니다. 이를 통해 RBAC 및 로그와 같은 관리 흐름을 통합적으로 관리할 수 있습니다.

Q: VPC 서비스 제어 (VPC SC)와 같은 특별한 고려사항이 있는 Google SecOps 인스턴스의 경우 어떤 단계를 거쳐야 하나요?

마이그레이션을 사용 설정하려면 VPC SC 정책 내에서 인그레스 규칙과 이그레스 규칙을 모두 정의해야 합니다. 이러한 특정 규칙에 관한 자세한 안내는 지원팀에 문의하세요.

다운타임 및 연속성

Q: 마이그레이션 중에 다운타임이 있나요? 있다면 어떤 영향을 미치나요?

예. 예상되는 다운타임은 다음과 같습니다.

  • SOAR 독립형 고객의 경우 최대 2시간
  • Google SecOps 고객의 경우 최대 1.5시간

이 기간에는 플랫폼에 로그인할 수 없습니다. SOAR 서비스 (인제스트, 플레이북, 작업 포함)는 일시중지되지만 SIEM 서비스는 백그라운드에서 계속 실행됩니다.

Q: 다운타임 중에 생성된 데이터는 SOAR 서비스가 재개되면 자동으로 수집되나요?

예. 시스템이 다시 온라인 상태가 되면 인제션 및 플레이북이 재개되고 다운타임 중에 생성되거나 인제션된 알림이 처리됩니다.

Q: 다운타임이 시작될 때 실행 중인 플레이북은 어떻게 되나요?

마이그레이션이 시작되기 전에 플레이북 서비스가 사용 중지되며, 실행 중인 일부 플레이북이 실패할 수 있습니다. 이 경우 수동으로 다시 시작하거나 마이그레이션이 완료된 후 다시 시작해야 합니다.

Q: 마이그레이션 중에 문제가 발생할 경우 롤백 또는 비상 계획이 있나요?

예. 마이그레이션 프로세스에서는 기존 SOAR 인스턴스를 완전히 그대로 유지합니다 (사용 중지됨). 마이그레이션 프로세스가 완료되지 않으면 기존 인스턴스로 다시 전환하고 새 인스턴스를 삭제할 수 있습니다. 이 롤백 프로세스에는 최대 30분이 소요됩니다. 마이그레이션이 성공적으로 완료되도록 광범위한 테스트와 긴밀한 모니터링을 진행하며, 비상 대기 직원이 대기합니다.

Q: 언제 Chronicle API의 새 SOAR 엔드포인트로 이전할 수 있나요?

Chronicle API V1 베타에 있는 새로운 SOAR 엔드포인트의 사전 체험판은 2025년 11월 1일부터 사용할 수 있습니다. Chronicle API V1에 대한 일반 액세스는 2026년 1월 1일부터 제공됩니다. 기존 SOAR API에서 이전하려면 먼저 SOAR 권한 그룹을 Cloud IAM으로 이전해야 합니다. 스크립트와 통합을 업데이트하여 SOAR API 엔드포인트를 해당 Chronicle API 엔드포인트로 바꿔야 합니다. 기존 SOAR API 및 API 키는 2026년 6월 30일까지 작동합니다.

인증 및 권한

Q: SOAR 권한 그룹과 권한을 이전하려면 어떻게 해야 하나요?

기존 권한 그룹을 IAM 커스텀 역할로 마이그레이션할 수 있도록 Google Cloud 콘솔에서 사용할 마이그레이션 마법사가 준비되고 있습니다. 또한 스크립트는 사용자 (Cloud ID 고객의 경우) 또는 IdP 그룹 (직원 ID 제휴 고객의 경우)에 맞춤 역할을 할당합니다.

Q: 맞춤 권한 그룹을 이전하지 않고 사전 정의된 역할만 사용하려면 어떻게 해야 하나요?

자동 이전에서 선택 해제하고 IdP 그룹을 Cloud IAM 역할에 수동으로 매핑할 수도 있습니다.

Q: 수동 인증을 사용하는 맞춤 SAML 제공업체가 있는 SOAR 독립형 고객입니다. IdP 매핑을 위해 이를 IdP 그룹으로 변경하면 기존 사용자 계정에 어떤 영향을 미치나요?

기존 사용자가 그룹 중 하나와 일치하고 권한이 올바르게 매핑된 경우 기존 사용자 계정에 영향을 미치지 않습니다. 하지만 사용자가 그룹에 매핑되지 않으면 로그인할 수 없습니다. 권한이 다르게 매핑되면 사용자는 새 매핑에 따라 새 권한을 받게 됩니다.

Q: 여러 ID 제공업체를 사용하는 MSSP에 특정 사전 요구사항이 있나요?

SOAR 외부 인증 페이지에서 여러 ID 공급업체를 구성한 고객은 인증을 위해 직원 ID 제휴를 정의하고 각 공급업체에 대해 별도의 직원 풀을 만들어야 합니다. 각 제공업체는 서로 다른 하위 도메인과 연결됩니다.

로깅 및 모니터링

Q: 마이그레이션의 첫 번째 단계를 완료했지만 Cloud 감사 로그에 로그가 표시되지 않습니다.

로그는 첫 번째 마이그레이션 단계가 완료된 후 SOAR 플랫폼에 저장됩니다. 두 번째 이전 단계가 완료되면 Google Cloud 프로젝트에서 로그를 사용할 수 있습니다.

Q: 관리형 BigQuery (BQ) 인스턴스로 SOAR 데이터를 전송하는 고객은 이전 후에도 이 BigQuery 데이터에 액세스할 수 있나요?

예. 기존 관리형 BigQuery는 계속 작동합니다.

물류 및 지원

Q: 이전 시간대를 변경할 수 있나요?

아니요. 추천 시간대 이외의 시간으로 이전할 수는 없습니다.

Q: 이전 중에 실시간 상태 업데이트를 받을 수 있나요?

이전 프로세스가 시작되고 완료될 때 모두 이메일 알림이 전송됩니다.

Q: 이전 후 문제가 발생하면 누구에게 문의해야 하나요?

지원 티켓을 만들어 문제를 기록하고 진행 상황을 추적해야 합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.