Flujos y protocolos de datos
Disponible en:
SecOps de Google
SOAR
En este documento se detalla la arquitectura de la solución Agente remoto, se definen los roles de los tres componentes principales y se ilustra el flujo de datos asíncrono protegido con TLS que se usa para la ejecución de acciones remotas y la ingesta de alertas.
Arquitectura de componentes
La arquitectura del agente remoto se basa en los tres componentes principales siguientes:
| Componente | Funcionalidad y seguridad | Comunicación |
|---|---|---|
| Google SecOps | Inicia tareas y obtiene los resultados finales. No se comunica directamente con el agente remoto. | Se comunica con el editor a través de TLS en el puerto 443. |
| Editor | Servicio gestionado (por Google SecOps) que actúa como intermediario seguro. Almacena datos de ejecución, metadatos y secuencias de comandos o dependencias temporales y cifrados. Registra registros (no sensibles). | Se vincula al puerto 443 para comunicarse con Google SecOps y el agente remoto. |
| Agente remoto | Desplegado en el entorno remoto. Se comunica con productos de seguridad de terceros para ejecutar acciones y obtener alertas. Almacena información del conector (Gzip) y un archivo de configuración local. | Se comunica con el editor a través de TLS en el puerto 443. |
Flujo de datos remoto (ejecución de tareas)
Cuando configuras una integración o un conector para que se ejecute de forma remota, el flujo de datos es asíncrono y se basa en tareas:
- Publicación de tareas: Google SecOps publica una nueva tarea en el servidor del editor.
- Consulta de tareas: el agente remoto (instalado en el entorno remoto) consulta continuamente el editor para buscar nuevas tareas (ya sean acciones remotas o extracciones de alertas de conectores remotos).
- Ejecución de tareas: cuando el agente remoto encuentra una nueva tarea, obtiene los datos completos de la tarea (que contienen el contexto de la alerta y los datos de ejecución de la acción) y empieza a ejecutarla.
- Publicación de resultados: el agente remoto publica los resultados de la acción, incluidos los archivos adjuntos generados y las operaciones realizadas, en el editor.
- Obtención de resultados: el servidor de Google SecOps sondea el editor. Una vez que se marca el estado de la tarea como completada, Google SecOps obtiene los datos y los archivos adjuntos del resultado final y realiza las tareas residuales necesarias del lado del servidor.
- Limpieza (ACK): cuando los datos se ingieren correctamente en Google SecOps, se devuelve una confirmación (ACK) al editor y, a continuación, se reenvía al agente. Este ACK confirma que se ha completado el flujo de datos, lo que activa la eliminación del archivo tanto en el editor como en el agente.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.