无状态连接器 - 白皮书

本白皮书将详细介绍我们对连接器以及连接器基础架构做出的重大更新。

背景

Google Security Operations 连接器是 SOAR 平台的主要数据源。每个连接器都是将数据提取到平台中的主要途径。为了跟踪此组件的正常运行情况，Google 安全运营 Marketplace 部门使用元数据文件来存储连接器的状态。在此之前，这些文件一直保存在连接器的运行文件夹中。

为什么不再需要文件

在提供 SAAS 解决方案时，无需存储文件，因为我们为 Google SecOps 系统的主要功能提供无状态支持。

文件不可持续，可能会丢失。在考虑扩容或缩容并充分利用微服务架构时，处理本地文件已不再相关。

为了改进我们的状态跟踪机制，并改进系统中最重要的一项程序，我们提出了以下解决方案。

解决方案概览

解决方案是将与连接器状态相关的所有内容存储在 Google SecOps 实例中。每个连接器在 Google SecOps 实例中都有自己的存储位置，所有数据都将保存在其中。

我们将引入“连接器上下文”这一新概念。

需要注意的一些问题

Map.json 文件

对于在 Google SecOps 中使用 map.json 文件进行高级环境映射的客户，现在必须迁移到更新版本的环境映射功能 - 环境别名。如需了解更多说明，请访问我们的文档网站。

连接器升级流程

更新连接器时，连接器的状态不会从文件系统转移到连接器的上下文。这意味着，连接器在新解决方案中的首次运行被视为首次运行。因此，在更新时间前后可能会出现重复情况。

大小限制

我们的一些连接器会保持向后跟踪功能，以便更好地适应我们正在集成的产品的 API。此行为在连接器的配置参数中表示，通常称为“填充周期”或“向后提取时间间隔”等。现在，我们又会遇到另一个限制，即存储的数据的实际大小。默认限制为 300 万个字符。此限制应足以满足大多数情况。

如果此限制被意外达到，我们会记录相关信息，并尝试在限制范围内尽可能保持最大功能。

后续步骤

请确保您使用的是环境别名进行高级环境映射，而不是 map.json 文件。
请确保在更新时，重复内容不会对您造成问题。
检查连接器中的“向后提取时间间隔”参数，确保它们不会尝试保留过长时间（建议介于 1 天到 1 周之间）。