ステートレス コネクタ - ホワイトペーパー

このホワイト ペーパーでは、コネクタとコネクタのインフラストラクチャに対する新しい重要な更新について詳しく説明します。

背景

Google Security Operations コネクタは、SOAR プラットフォームの主なデータソースです。すべてのコネクタは、プラットフォームへの取り込みのメインの箱舟です。このコンポーネントの適切な機能を追跡するために、Google Security Operations Marketplace 部門はメタデータ ファイルを使用してコネクタの状態を保存しています。これまで、これらのファイルはコネクタの実行フォルダに保存されていました。

ファイルが不要になった理由

Google SecOps システムの主な機能に対してステートレス サポートを提供しているため、SAAS ソリューションを提供する際にファイルを保存する必要はありません。

ファイルは持続可能ではなく、失われる可能性があります。スケールアップまたはスケールダウンを検討し、マイクロサービス アーキテクチャを最大限に活用する場合、ローカル ファイルの操作は関連性がなくなります。

状態追跡メカニズムを改善し、システムで最も重要な手順の 1 つを改善するために、次の解決策を考案しました。

ソリューションの概要

この問題を解決するには、コネクタの状態に関連するすべての情報を Google SecOps インスタンスに保存します。各コネクタには、Google SecOps インスタンス内に独自のストレージ場所があり、すべてのデータがそこに保存されます。

「Connector-Context」という新しいコンセプトが導入されます。

注意すべき問題

Map.json ファイル

Google SecOps 内で高度な環境マッピングに map.json ファイルを使用しているお客様は、環境マッピング機能の新しいバージョンである環境エイリアスに移行する必要があります。詳細な手順については、こちらのドキュメント サイトをご覧ください。

コネクタのアップグレード プロセス

コネクタを更新しても、コネクタの状態はファイル システムからコネクタのコンテキストに転送されません。つまり、新しいソリューションでのコネクタの初回実行が初回実行とみなされます。そのため、更新時間付近で重複が発生する可能性があります。

サイズ制限

一部のコネクタは、統合するプロダクトの API により適合するように、後方追跡機能を維持しています。この動作は、通常「パディング期間」や「後方取得時間間隔」などと呼ばれるコネクタの構成パラメータで表されていました。ここで、保存されるデータの実際のサイズという別の制限が発生します。デフォルトでは、300 万文字に制限されています。この制限は、ほとんどの場合に十分です。

この制限に達した場合は、ログに記録され、制限内で最大限の機能が維持されます。

次のステップ

1. 高度な環境マッピングには、map.json ファイルではなく環境エイリアスを使用していることを確認してください。
2. 重複が問題にならない時間帯に更新を行ってください。
3. コネクタの「Fetch Backwards Time Interval」パラメータを調べて、長時間保持しようとしていないことを確認します（1 日～ 1 週間が推奨されます）。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。