Zustandslose Connectors – Whitepaper

In diesem Whitepaper werden die neuen und wichtigen Aktualisierungen unserer Connectors und der Connector-Infrastruktur beschrieben.

Hintergrund

Google Security Operations-Connectors sind die wichtigsten Datenquellen der SOAR-Plattform. Jeder Connector ist der Hauptweg für die Aufnahme von Daten in die Plattform. Um die ordnungsgemäße Funktion dieser Komponente zu verfolgen, verwendet die Abteilung Google Security Operations Marketplace Metadatendateien, um den Status des Connectors zu speichern. Bisher wurden diese Dateien im Ausführungsordner des Connectors gespeichert.

Warum sind Dateien nicht mehr erforderlich?

Bei einer SaaS-Lösung müssen keine Dateien gespeichert werden, da wir eine zustandslose Unterstützung für die Hauptfunktionen des Google SecOps-Systems bieten.

Dateien sind nicht nachhaltig und können verloren gehen. Wenn Sie über das Hoch- oder Herunterskalieren nachdenken und die Mikrodienstarchitektur voll ausschöpfen möchten, ist die Arbeit mit lokalen Dateien nicht mehr relevant.

Um unseren Status-Tracking-Mechanismus und eines unserer wichtigsten Verfahren im System zu verbessern, haben wir die folgende Lösung entwickelt.

Die Lösung im Überblick

Die Lösung besteht darin, alles, was mit dem Status des Connectors zusammenhängt, in der Google SecOps-Instanz zu speichern. Jeder Connector hat einen eigenen Speicherort in der Google SecOps-Instanz, an dem alle Daten gespeichert werden.

Ein neues Konzept namens „Connector-Context“ wird eingeführt.

Einige Probleme, auf die Sie achten sollten

Map.json-Datei

Kunden, die die Datei „map.json“ für die erweiterte Umgebungszuordnung in Google SecOps verwenden, müssen jetzt zu einer neueren Version der Umgebungszuordnungsfunktionen migrieren: Umgebungsaliase. Weitere Informationen finden Sie auf unserer Dokumentationswebsite.

Prozess für das Upgrade von Connectors

Beim Aktualisieren des Connectors wird der Status des Connectors nicht vom Dateisystem in den Kontext des Connectors übertragen. Das bedeutet, dass der erste Lauf des Connectors in der neuen Lösung als erster Lauf gilt. Daher kann es um die Update-Zeit herum zu Duplikaten kommen.

Größenbeschränkung

Einige unserer Connectors bieten eine Funktion zur Rückwärtsverfolgung, um besser an die API des Produkts angepasst zu sein, in das wir sie integrieren. Dieses Verhalten wurde in den Konfigurationsparametern des Connectors dargestellt, die in der Regel als „Padding Period“ (Zeitraum für Auffüllung), „Fetch Backwards Time Interval“ (Zeitintervall für Rückwärtsabruf) oder ähnlich bezeichnet werden. Jetzt haben wir eine weitere Einschränkung, nämlich die tatsächliche Größe der gespeicherten Daten. Standardmäßig liegt das Limit bei 3 Millionen Zeichen. Diese Einschränkung sollte für die meisten Fälle ausreichen.

Sollte diese Einschränkung erreicht werden, wird dies protokolliert und wir versuchen, die maximale Funktionalität innerhalb der Einschränkung aufrechtzuerhalten.

Nächste Schritte

  1. Achten Sie darauf, dass Sie für die erweiterte Umgebungskartierung die Umgebungsaliase und nicht die Datei „map.json“ verwenden.
  2. Achten Sie darauf, dass das Update zu einem Zeitpunkt erfolgt, zu dem Duplikate kein Problem für Sie darstellen.
  3. Prüfen Sie die Parameter für das „Fetch Backwards Time Interval“ (Zeitintervall für das Abrufen von Daten rückwärts) in den Connectors und achten Sie darauf, dass sie nicht zu lang sind (zwischen 1 Tag und 1 Woche wird empfohlen).

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten