Diese Seite wurde von der Cloud Translation API übersetzt.

Datenflüsse und ‑protokolle

Unterstützt in:

Google SecOps SOAR

In diesem Dokument wird die Architektur der Remote Agent-Lösung beschrieben. Es werden die Rollen der drei Kernkomponenten definiert und der TLS-gesicherte, asynchrone Datenfluss für die Ausführung von Remote-Aktionen und die Aufnahme von Benachrichtigungen veranschaulicht.

Komponentenarchitektur

Die Remote Agent-Architektur besteht aus den folgenden drei Hauptkomponenten:

Komponente	Funktionalität und Sicherheit	Kommunikation
Google SecOps	Startet Aufgaben und ruft Endergebnisse ab. Kommuniziert nicht direkt mit dem Remote Agent.	Kommuniziert über TLS auf Port 443 mit dem Publisher.
Publisher	Verwalteter Dienst (von Google SecOps), der als sicherer Vermittler fungiert. Speichert temporäre, verschlüsselte Ausführungsdaten, Metadaten und Skripts/Abhängigkeiten. Protokolliert Datensätze (nicht vertraulich).	Bindet an Port 443 für die Kommunikation mit Google SecOps und dem Remote Agent.
Remote-Agent	In der Remote-Umgebung bereitgestellt. Kommuniziert mit Sicherheitsprodukten von Drittanbietern, um Aktionen auszuführen und Warnungen abzurufen. Speichert Connector-Informationen (Gzip) und eine lokale Konfigurationsdatei.	Kommuniziert über TLS auf Port 443 mit dem Publisher.

Remotedatenfluss (Aufgabenausführung)

Wenn Sie eine Integration oder einen Connector für die Remoteausführung konfigurieren, ist der Datenfluss asynchron und aufgabenbasiert:

Aufgabe veröffentlichen: Google SecOps veröffentlicht eine neue Aufgabe auf dem Publisher-Server.
Aufgabe abfragen: Der Remote-Agent (in der Remote-Umgebung installiert) fragt den Publisher kontinuierlich nach neuen Aufgaben ab (entweder für Remote-Aktionen oder für das Abrufen von Remote-Connector-Benachrichtigungen).
Aufgabenausführung: Wenn der Remote-Agent eine neue Aufgabe findet, ruft er die vollständigen Aufgabendaten (mit Kontext für Benachrichtigungen und Daten zur Ausführung von Aktionen) ab und beginnt mit der Ausführung.
Veröffentlichung der Ergebnisse: Der Remote-Agent veröffentlicht die Aktionsergebnisse, einschließlich der generierten Anhänge und der ausgeführten Vorgänge, zurück an den Publisher.
Abrufen von Ergebnissen: Der Google SecOps-Server fragt den Publisher ab. Sobald der Aufgabenstatus als „Abgeschlossen“ markiert ist, ruft Google SecOps die endgültigen Ergebnisdaten und Anhänge ab und führt alle erforderlichen serverseitigen Restaufgaben aus.
Bereinigung (ACK): Wenn Daten erfolgreich in Google SecOps aufgenommen wurden, wird eine Bestätigung (ACK) an den Publisher zurückgegeben und dann an den Agent weitergeleitet. Mit diesem ACK wird der Abschluss des Datenflusses bestätigt. Dadurch wird das Löschen der Datei sowohl beim Publisher als auch beim Agenten ausgelöst.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten