Connecteurs sans état : livre blanc

Ce livre blanc détaillera les nouvelles mises à jour importantes apportées à nos connecteurs et à leur infrastructure.

Arrière-plan

Les connecteurs Google Security Operations sont les principales sources de données de la plate-forme SOAR. Chaque connecteur est l'arche principale de l'ingestion dans la plate-forme. Pour suivre le bon fonctionnement de ce composant, le service Google Security Operations Marketplace utilise des fichiers de métadonnées pour stocker l'état du connecteur. Jusqu'à présent, ces fichiers étaient enregistrés dans le dossier d'exécution du connecteur.

Pourquoi les fichiers ne sont-ils plus nécessaires ?

Il n'est pas nécessaire de stocker des fichiers lorsque vous proposez une solution SaaS, car nous fournissons une assistance sans état pour les principales fonctionnalités du système Google SecOps.

Les fichiers ne sont pas durables et peuvent être perdus. Lorsque vous pensez à effectuer un scaling à la hausse ou à la baisse, et à tirer pleinement parti de l'architecture de microservices, il n'est plus pertinent de travailler avec des fichiers locaux.

Pour améliorer notre mécanisme de suivi des états et l'une des procédures les plus importantes du système, nous avons trouvé la solution suivante.

Présentation de la solution

La solution consiste à stocker tout ce qui concerne l'état du connecteur dans l'instance Google SecOps. Chaque connecteur dispose de son propre espace de stockage dans l'instance Google SecOps, où toutes les données sont conservées.

Un nouveau concept de "contexte de connecteur" sera introduit.

Quelques problèmes à éviter

Fichier Map.json

Les clients qui utilisent le fichier map.json pour le mappage avancé des environnements dans Google SecOps doivent désormais migrer vers une version plus récente des fonctionnalités de mappage des environnements, à savoir les alias d'environnement. Pour en savoir plus, veuillez consulter notre site de documentation.

Processus de mise à niveau du connecteur

Lorsque vous mettez à jour le connecteur, son état n'est pas transféré du système de fichiers vers le contexte du connecteur. Cela signifie que la première exécution du connecteur dans la nouvelle solution est considérée comme la première exécution. Par conséquent, des doublons peuvent se produire au moment de la mise à jour.

Limite de taille

Certains de nos connecteurs conservent une capacité de suivi en arrière-plan pour mieux s'adapter à l'API du produit avec lequel nous nous intégrons. Ce comportement était représenté dans les paramètres de configuration du connecteur, généralement appelés "Période de remplissage", "Intervalle de récupération en arrière" ou similaires. Nous allons maintenant avoir une autre limite, à savoir la taille réelle des données stockées. Par défaut, la limite est de 3 millions de caractères. Cette limite devrait suffire dans la plupart des cas.

Si, par hasard, cette limite est atteinte, nous l'enregistrerons et essaierons de maintenir un maximum de fonctionnalités dans les limites.

Étapes suivantes

  1. Assurez-vous d'utiliser les alias d'environnement pour le mappage avancé des environnements et non le fichier map.json.
  2. Assurez-vous d'effectuer la mise à jour à un moment où les doublons ne devraient pas poser de problème.
  3. Vérifiez les paramètres "Intervalle de temps de récupération" dans les connecteurs et assurez-vous qu'ils ne tentent pas de conserver une longue période (entre un jour et une semaine est recommandé).

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.