Stateless Connectors - White Paper

Questo white paper descriverà in dettaglio gli aggiornamenti nuovi e significativi ai nostri connettori e alla loro infrastruttura.

Sfondo

I connettori di Google Security Operations sono le principali origini dati della piattaforma SOAR. Ogni connettore è l'arco principale di importazione nella piattaforma. Per monitorare il corretto funzionamento di questo componente, il reparto Google Security Operations Marketplace utilizza i file di metadati per archiviare lo stato del connettore. Fino a ora, questi file venivano salvati nella cartella di esecuzione del connettore.

Perché i file non sono più necessari

Non è necessario archiviare i file quando si offre una soluzione SAAS, in quanto forniamo supporto stateless per le funzionalità principali del sistema Google SecOps.

I file non sono sostenibili e possono andare persi. Quando pensi di fare lo scale up o lo scale down e di sfruttare appieno l'architettura di microservizi, lavorare con i file locali non è più pertinente.

Per migliorare il nostro meccanismo di monitoraggio dello stato e una delle nostre procedure più importanti nel sistema, abbiamo ideato la seguente soluzione.

Panoramica della soluzione

La soluzione consiste nell'archiviare tutto ciò che riguarda lo stato del connettore all'interno dell'istanza Google SecOps. Ogni connettore ha il proprio spazio di archiviazione all'interno dell'istanza Google SecOps, in cui vengono conservati tutti i dati.

Verrà introdotto un nuovo concetto di "contesto del connettore".

Alcuni problemi da tenere in considerazione

File Map.json

I clienti che utilizzano il file map.json per la mappatura avanzata degli ambienti in Google SecOps ora devono eseguire la migrazione a una versione più recente delle funzionalità di mappatura degli ambienti: gli alias degli ambienti. Per ulteriori istruzioni, visita il nostro sito della documentazione.

Procedura di upgrade del connettore

Quando aggiorni il connettore, il relativo stato non viene trasferito dal file system al contesto del connettore. Ciò significa che la prima esecuzione del connettore nella nuova soluzione è considerata la prima esecuzione. Pertanto, i casi di duplicazione possono verificarsi intorno all'ora dell'aggiornamento.

Limitazione delle dimensioni

Alcuni dei nostri connettori mantengono una funzionalità di monitoraggio a ritroso, per adattarsi meglio all'API del prodotto con cui eseguiamo l'integrazione. Questo comportamento era rappresentato nei parametri di configurazione del connettore, di solito denominati "Periodo di riempimento " o"Intervallo di tempo di recupero all'indietro" o simili. Ora avremo un'altra limitazione, ovvero le dimensioni effettive dei dati archiviati. Per impostazione predefinita, il limite è di 3 milioni di caratteri. Questa limitazione dovrebbe essere sufficiente per la maggior parte dei casi.

Se, per caso, questo limite viene raggiunto, lo registreremo e cercheremo di mantenere la massima funzionalità entro il limite.

Passaggi successivi

  1. Assicurati di utilizzare gli alias dell'ambiente per la mappatura avanzata dell'ambiente e non il file map.json.
  2. Assicurati che l'aggiornamento venga eseguito in un momento in cui i duplicati non dovrebbero essere un problema per te.
  3. Controlla i parametri dell'"Intervallo di tempo di recupero" nei connettori e assicurati che non tentino di mantenere un periodo di tempo lungo (è consigliabile un periodo compreso tra 1 giorno e 1 settimana).

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.