Se usó la API de Cloud Translation para traducir esta página.

Flujos y protocolos de datos

Compatible con:

Google SecOps SOAR

En este documento, se detalla la arquitectura de la solución de Remote Agent, se definen los roles de los tres componentes principales y se ilustra el flujo de datos asíncrono y protegido por TLS que se usa para la ejecución de acciones remotas y la transferencia de alertas.

Arquitectura de los componentes

La arquitectura del agente remoto se basa en los siguientes tres componentes principales:

Componente	Funcionalidad y seguridad	Comunicación
Google SecOps	Inicia tareas y recupera los resultados finales. No se comunica directamente con el agente remoto.	Se comunica con el publicador a través de TLS en el puerto 443.
Publisher	Servicio administrado (por Google SecOps) que actúa como intermediario seguro. Almacena datos de ejecución, metadatos y secuencias de comandos o dependencias temporales y encriptados. Registra registros (no sensibles).	Se vincula al puerto 443 para comunicarse con Google SecOps y el agente remoto.
Agente remoto	Se implementó en el entorno remoto. Se comunica con productos de seguridad de terceros para ejecutar acciones y extraer alertas. Almacena información del conector (Gzip) y un archivo de configuración local.	Se comunica con el publicador a través de TLS en el puerto 443.

Flujo de datos remoto (ejecución de tareas)

Cuando configuras una integración o un conector para que se ejecuten de forma remota, el flujo de datos es asíncrono y se basa en tareas:

Publicación de tareas: Google SecOps publica una tarea nueva en el servidor del publicador.
Consulta de tareas: El agente remoto (instalado en el entorno remoto) consulta continuamente al publicador para obtener tareas nuevas (ya sea para acciones remotas o extracciones de alertas de conectores remotos).
Ejecución de tareas: Cuando el agente remoto encuentra una tarea nueva, recupera los datos completos de la tarea (que contienen el contexto de la alerta y los datos de ejecución de la acción) y comienza la ejecución.
Publicación de resultados: El agente remoto publica los resultados de la acción, incluidos los archivos adjuntos generados y las operaciones realizadas, y los envía de vuelta al publicador.
Recuperación de resultados: El servidor de Google SecOps sondea al publicador. Una vez que el estado de la tarea se marca como completado, Google SecOps recupera los datos y los archivos adjuntos del resultado final, y realiza las tareas residuales necesarias del servidor.
Limpieza (ACK): Cuando los datos se transfieren correctamente a Google SecOps, se devuelve un acuse de recibo (ACK) al publicador y, luego, se retransmite al agente. Este ACK confirma que se completó el flujo de datos y activa el borrado del archivo tanto en el publicador como en el agente.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.