스테이트리스 커넥터 - 백서

이 백서에서는 커넥터와 커넥터 인프라의 새로운 주요 업데이트 내용을 자세히 설명합니다.

배경

Google Security Operations 커넥터는 SOAR 플랫폼의 주요 데이터 소스입니다. 모든 커넥터는 플랫폼으로 데이터를 수집하는 기본적인 통로입니다. 이 구성요소가 올바르게 작동하는지 추적하기 위해 Google Security Operations Marketplace 부서는 메타데이터 파일을 사용하여 커넥터 상태를 저장합니다. 지금까지는 이 파일이 커넥터의 실행 중 폴더에 저장되었습니다.

파일이 더 이상 필요하지 않은 이유

SAAS 솔루션을 제공할 때는 Google SecOps 시스템의 주요 기능에 대한 스테이트리스(Stateless) 지원을 제공하므로 파일을 저장할 필요가 없습니다.

파일은 지속성이 없으며 손실될 수 있습니다. 수직 확장 또는 축소를 고려하면서 마이크로서비스 아키텍처를 최대한 활용하려는 경우 더 이상 로컬 파일로 작업할 필요가 없습니다.

상태 추적 메커니즘을 개선하고 시스템에서 가장 중요한 절차 중 하나를 개선하기 위해 다음과 같은 솔루션을 개발했습니다.

솔루션 개요

솔루션의 요점은 커넥터 상태와 관련된 모든 정보를 Google SecOps 인스턴스 내에 저장하는 것입니다. Google SecOps 인스턴스 내에 모든 커넥터의 모든 데이터가 보관되는 자체 스토리지 위치가 있습니다.

'커넥터-컨텍스트'라는 새로운 개념이 도입될 예정입니다.

주의해야 할 문제

Map.json 파일

Google SecOps 내에서 고급 환경 매핑을 위해 map.json 파일을 사용하는 고객은 이제 환경 매핑 기능의 새로운 버전인 환경 별칭으로 마이그레이션해야 합니다. 자세한 안내는 여기에 있는 문서 사이트를 참조하세요.

커넥터 업그레이드 프로세스

커넥터를 업데이트할 때 커넥터 상태는 파일 시스템에서 커넥터 컨텍스트로 전송되지 않습니다. 즉, 새 솔루션에서 커넥터의 최초 실행이 최초 실행으로 간주됩니다. 따라서 업데이트 시점 근처에서 중복이 발생할 수 있습니다.

크기 제한

커넥터 중 일부는 통합 대상 제품 API와 더 잘 맞도록 역추적 기능을 유지합니다. 이 동작은 일반적으로 '패딩 기간' 또는 '역방향 가져오기 시간 간격' 등으로 지칭되는 커넥터 구성 매개변수로 표현되었습니다. 이제 저장되는 데이터의 실제 크기라는 제한사항이 추가로 적용됩니다. 기본적으로 이 제한은 300만 자입니다. 이 제한은 대부분의 경우에 충분합니다.

이 제한에 도달할 경우 Google은 해당 사실을 로깅하고 제한 범위 내에서 최대한의 기능을 유지하려고 노력합니다.

다음 단계

1. 고급 환경 매핑에 map.json 파일이 아닌 환경 별칭을 사용합니다.
2. 중복 문제가 없는 시간에 업데이트를 수행합니다.
3. 커넥터의 '역방향 가져오기 시간 간격' 매개변수를 살펴보고 장시간 유지되지 않도록 설정합니다. 1일에서 1주 사이가 권장됩니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.