Conectores sin estado - Informe

En este informe técnico se detallarán las nuevas e importantes actualizaciones de nuestros conectores y de la infraestructura de los conectores.

Fondo

Los conectores de Google Security Operations son las principales fuentes de datos de la plataforma SOAR. Todos los conectores son el arca principal de la ingestión en la plataforma. Para monitorizar el correcto funcionamiento de este componente, el departamento de Google Security Operations Marketplace usa archivos de metadatos para almacenar el estado del conector. Hasta ahora, estos archivos se guardaban en la carpeta de ejecución del conector.

Por qué ya no son necesarios los archivos

No es necesario almacenar archivos al ofrecer una solución SaaS, ya que proporcionamos asistencia sin estado para las funciones principales del sistema Google SecOps.

Los archivos no son sostenibles y se pueden perder. Cuando se piensa en aumentar o reducir la escala y en aprovechar al máximo la arquitectura de microservicios, ya no es relevante trabajar con archivos locales.

Para mejorar nuestro mecanismo de seguimiento de estados y uno de los procedimientos más importantes del sistema, hemos ideado la siguiente solución.

Información general sobre la solución

La solución es almacenar todo lo relacionado con el estado del conector en la instancia de Google SecOps. Cada conector tiene su propio espacio de almacenamiento en la instancia de Google SecOps, donde se conservan todos los datos.

Se introducirá un nuevo concepto: "Connector-Context".

Algunos problemas que debes tener en cuenta

Archivo Map.json

Los clientes que usen el archivo map.json para la asignación avanzada de entornos en Google SecOps ahora tienen que migrar a una versión más reciente de las funciones de asignación de entornos, es decir, los alias de entorno. Para obtener más instrucciones, visita nuestro sitio de documentación.

Proceso de actualización de conectores

Cuando se actualiza el conector, el estado de este no se transfiere del sistema de archivos al contexto del conector. Es decir, la primera ejecución del conector en la nueva solución se considera la primera ejecución. Por lo tanto, pueden producirse duplicaciones en torno a la hora de la actualización.

Limitación de tamaño

Algunos de nuestros conectores mantienen una función de seguimiento retrospectivo para adaptarse mejor a la API del producto con el que nos estamos integrando. Este comportamiento se representaba en los parámetros de configuración del conector, que solían llamarse "Periodo de relleno", "Intervalo de tiempo de obtención hacia atrás" o similar. Ahora, vamos a tener otra limitación, que es el tamaño real de los datos almacenados. De forma predeterminada, el límite es de 3 millones de caracteres. Esta limitación debería ser suficiente en la mayoría de los casos.

Si, por algún motivo, se alcanza este límite, lo registraremos e intentaremos mantener la máxima funcionalidad posible dentro de la limitación.

Pasos siguientes

  1. Asegúrate de usar los alias de entorno para la asignación avanzada de entornos y no el archivo map.json.
  2. Asegúrate de que la actualización se realice en un momento en el que los duplicados no supongan un problema.
  3. Revisa los parámetros de "Intervalo de tiempo de obtención hacia atrás" de los conectores y asegúrate de que no intenten mantener un periodo largo (se recomienda entre 1 día y 1 semana).

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.