Conectores sin estado: Informe

En este informe, se detallarán las actualizaciones nuevas y significativas de nuestros conectores y de la infraestructura de los conectores.

Fondo

Los conectores de Google Security Operations son las principales fuentes de datos de la plataforma de SOAR. Cada conector es el arca principal de la transferencia a la plataforma. Para hacer un seguimiento del funcionamiento correcto de este componente, el departamento de Google Security Operations Marketplace usa archivos de metadatos para almacenar el estado del conector. Hasta ahora, estos archivos se guardaban en la carpeta de ejecución del conector.

Por qué ya no son necesarios los archivos

No es necesario almacenar archivos cuando se ofrece una solución de SAAS, ya que proporcionamos asistencia sin estado para las principales funcionalidades del sistema de Google SecOps.

Los archivos no son sostenibles y se pueden perder. Cuando se piensa en aumentar o reducir la escala, y en aprovechar al máximo la arquitectura de microservicios, trabajar con archivos locales ya no es relevante.

Para mejorar nuestro mecanismo de seguimiento de estados y uno de nuestros procedimientos más importantes en el sistema, creamos la siguiente solución.

Descripción general de la solución

La solución es almacenar todo lo relacionado con el estado del conector en la instancia de Google SecOps. Cada conector tiene su propio lugar de almacenamiento dentro de la instancia de Google SecOps, donde se guardan todos los datos.

Se introducirá un nuevo concepto de "Connector-Context".

Algunos problemas que debes tener en cuenta

Archivo Map.json

Los clientes que usan el archivo map.json para la asignación avanzada del entorno en Google SecOps ahora deben migrar a una versión más reciente de las capacidades de asignación del entorno: alias del entorno. Para obtener más instrucciones, visita nuestro sitio de documentación aquí.

Proceso de actualización del conector

Cuando se actualiza el conector, su estado no se transfiere del sistema de archivos al contexto del conector. Es decir, la primera ejecución del conector en la nueva solución se considera la primera ejecución. Por lo tanto, pueden ocurrir casos de duplicación alrededor de la hora de actualización.

Limitación de tamaño

Algunos de nuestros conectores mantienen una capacidad de seguimiento hacia atrás para adaptarse mejor a la API del producto con el que nos integramos. Este comportamiento se representaba en los parámetros de configuración del conector, que solían llamarse "Período de relleno", "Intervalo de tiempo de recuperación hacia atrás" o similar. Ahora, tendremos otra limitación, que es el tamaño real de los datos almacenados. De forma predeterminada, la limitación es de 3 millones de caracteres. Esta limitación debería ser suficiente en la mayoría de los casos.

Si, por alguna razón, se alcanza esta limitación, la registraremos y trataremos de mantener la máxima funcionalidad dentro de la limitación.

Próximos pasos

  1. Asegúrate de usar los alias de entorno para la asignación avanzada de entornos y no el archivo map.json.
  2. Asegúrate de que la actualización se realice en un momento en el que los duplicados no sean un problema para ti.
  3. Revisa los parámetros de "Intervalo de tiempo de recuperación hacia atrás" en los conectores y asegúrate de que no intenten mantener un período prolongado (se recomienda entre 1 día y 1 semana).

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.