無狀態連接器 - 白皮書

這份白皮書將詳細說明連接器和連接器基礎架構的重大更新。

背景

Google Security Operations 連接器是 SOAR 平台的主要資料來源。每個連結器都是將資料擷取至平台的主要方舟。為追蹤這個元件的正常運作情形，Google Security Operations Marketplace 部門會使用中繼資料檔案儲存連接器的狀態。到目前為止，這些檔案都儲存在連接器的執行資料夾中。

為什麼不再需要這些檔案

提供 SAAS 解決方案時，不需要儲存檔案，因為我們為 Google SecOps 系統的主要功能提供無狀態支援。

檔案無法長期保存，可能會遺失。考慮擴充或縮減規模，並充分運用微服務架構時，使用本機檔案已不再適用。

為改善狀態追蹤機制，以及系統中最重要的一項程序，我們提出以下解決方案。

方案簡介

解決方法是將與連接器狀態相關的所有內容，儲存在 Google SecOps 執行個體中。每個連結器在 Google SecOps 執行個體中都有自己的儲存位置，所有資料都會保留在該處。

我們將推出「連結器內容」的新概念。

需要注意的問題

Map.json 檔案

如果客戶使用 map.json 檔案，在 Google SecOps 中進行進階環境對應，現在必須遷移至新版環境對應功能「環境別名」。如需進一步操作說明，請前往我們的說明文件網站。

連接器升級程序

更新連接器時，連接器的狀態不會從檔案系統轉移至連接器的環境。也就是說，連接器在新解決方案中的第一次執行，會視為第一次執行。因此，更新期間可能會發生重複事件。

大小限制

部分連結器會保留回溯追蹤功能，以便更符合整合產品的 API。這種行為會反映在連接器的設定參數中，通常稱為「Padding Period」或「Fetch Backwards Time Interval」等。現在，我們將面臨另一個限制，也就是儲存的實際資料大小。根據預設，上限為 300 萬個字元。這項限制應足以應付大多數情況。

如果達到這項限制，我們會記錄下來，並盡量在限制內維持最高功能性。

後續步驟

1. 請務必使用環境別名進行進階環境對應，而非 map.json 檔案。
2. 請務必在不會發生重複問題的時間更新。
3. 檢查連結器中的「Fetch Backwards Time Interval」(擷取回溯時間間隔) 參數，確認參數不會嘗試保留長時間 (建議保留 1 天到 1 週)。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。