將遠端服務專員遷移至 Google Cloud

將遠端服務專員遷移至 Google Cloud

支援的國家/地區:

本文說明如何將遠端代理程式遷移至 Google Cloud ,並使用 Google Cloud 服務帳戶進行驗證和通訊。

事前準備

請確認您已備妥以下項目:

  • 在 Google Cloud中建立服務帳戶的必要權限。
  • 建立服務帳戶金鑰的必要角色。
  • 遠端代理程式必須為 2.6.0 以上版本。

建立服務帳戶

服務帳戶是特殊的 Google 帳戶類型,應用程式可透過這類帳戶發出授權的 API 呼叫。如要建立服務帳戶,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Service Accounts」(服務帳戶) 頁面。
    2. 前往「Service Accounts」(服務帳戶)
  2. 按一下「Create Service Account」(建立服務帳戶)
  3. 在「Service account details」(服務帳戶詳細資料) 部分執行下列操作:
    1. 輸入服務帳戶的名稱。
    2. 輸入服務帳戶的說明。
    3. 按一下「建立並繼續」
  4. 在「權限」部分執行下列操作:
    1. 在「Select a role」(選擇角色) 清單中,選取「Chronicle SOAR Remote Agent」(Chronicle SOAR 遠端代理程式) 角色。
    2. 按一下「繼續」
  5. 在「將這個服務帳戶的存取權授予使用者」部分,按一下「完成」

建立服務帳戶金鑰

您必須提供服務帳戶金鑰,才能驗證遠端代理程式。如要建立這項金鑰,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Service Accounts」(服務帳戶) 頁面。
    2. 前往「Service Accounts」(服務帳戶)
  2. 按一下您建立的服務帳戶名稱。
  3. 按一下「Keys」(金鑰) 分頁標籤。
  4. 依序點選「新增金鑰」>「建立新的金鑰」
  5. 選取「JSON」做為金鑰類型,然後按一下「建立」

    A JSON file containing the key is downloaded to your computer.

  6. 按一下 [關閉]

安全儲存金鑰檔案

下載服務帳戶金鑰後,請務必將金鑰移至要執行遠端代理程式的主機。

Docker

  1. 在電腦上找到下載的 JSON 檔案。
  2. 將檔案儲存在主機上安全的位置,讓代理程式程序可以存取。
  3. 在主機上輸入代理程式服務帳戶金鑰的完整路徑。 
    AGENT_SERVICE_ACCOUNT_PATH

安裝程式

  1. 在電腦上找到下載的 JSON 檔案。
  2. 將檔案儲存在下列位置: 
    /opt/SiemplifyAgent/agent-key.json
  3. 請記下這個檔案的完整路徑,因為設定遠端代理程式時會需要用到。

為代理程式準備 REP 環境變數

  1. Chronicle API 參考資料中擷取區域服務端點 (REP)。請將這個 REP 做為基礎網域。
  2. 在下列指令中輸入 REP。您會在遷移程序中使用這項資訊。
    REP

  3. 依序前往「SOAR Settings」>「Advanced」>「Remote Agents」 ,然後選取所需的遠端代理程式。

  4. 從「Docker Command」(Docker 指令) 欄位複製下列值,並貼到下列指令中。您會在遷移程序中使用這些值:
    • ONE PLATFORM URL PROJECT )。
      ONE_PLATFORM_URL_PROJECT
    • ONE PLATFORM URL LOCATION )。
      ONE_PLATFORM_URL_LOCATION
    • ONE PLATFORM URL INSTANCE)。
      ONE_PLATFORM_URL_INSTANCE

將遠端代理程式遷移至 Google Cloud

Docker

如要部署新代理程式,請參閱「使用 Docker 部署代理程式」。

如要升級代理程式,請參閱「使用 Docker 升級代理程式」。

如要遷移遠端代理程式,請按照下列步驟操作:

  1. 列出正在執行的 Docker 容器。 
    docker ps
  2. 輸入代理程式的容器 ID: 
    CONTAINER_ID

  3. 使用下列指令將服務帳戶金鑰複製到容器中的專屬路徑。

    docker cp AGENT_SERVICE_ACCOUNT_PATH CONTAINER_ID:/opt/SiemplifyAgent/agent-key.json

  4. 使用下列指令變更容器中服務帳戶金鑰的擁有者:

    docker exec -u 0 CONTAINER_ID chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  5. 從先前的程序貼上下列環境變數,然後執行這項指令:

      docker exec CONTAINER_ID sh -c 'printf "export ONE_PLATFORM_URL_DOMAIN=REP\nexport ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT\nexport ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION\nexport ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE\nexport GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json" >> /home/siemplify_agent/.bash_profile'
  6. 執行下列指令來套用變更: 
    docker restart CONTAINER_ID

安裝程式

如要部署新代理程式,請參閱「使用 CentOS 部署代理程式 」或「使用 RHEL 部署代理程式」。

如要升級代理程式,請參閱「使用 CentOS 升級代理程式 」或「使用 RHEL 升級代理程式 」一文。

如要遷移遠端代理程式,請按照下列步驟操作:

  1. 使用下列指令變更容器中服務帳戶金鑰的擁有者:

    chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  2. 從先前的程序貼上下列環境變數,然後執行這項指令:

    cat << EOF >> /home/siemplify_agent/.bash_profile
export ONE_PLATFORM_URL_DOMAIN=REP
export ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT
export ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION
export ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE
export GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json
EOF
  3. 執行下列指令,重新啟動代理程式服務: 
    supervisorctl restart siemplify_agent

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。