Flux et protocoles de données
Compatible avec :
Google SecOps
SOAR
Ce document décrit en détail l'architecture de la solution Remote Agent, en définissant les rôles des trois composants principaux et en illustrant le flux de données asynchrone sécurisé par TLS utilisé pour l'exécution d'actions à distance et l'ingestion d'alertes.
Architecture des composants
L'architecture de l'agent à distance est constituée des trois principaux composants suivants :
| Composant | Fonctionnalités et sécurité | Communication |
|---|---|---|
| Google SecOps | Lance les tâches et récupère les résultats finaux. Il ne communique pas directement avec l'agent distant. | Communique avec l'éditeur via TLS sur le port 443. |
| Éditeur | Service géré (par Google SecOps) servant d'intermédiaire sécurisé. Stocke les données d'exécution, les métadonnées, les scripts et les dépendances temporaires et chiffrés. Enregistrements des journaux (non sensibles). | Se lie au port 443 pour communiquer avec Google SecOps et l'agent à distance. |
| Agent distant | Déployé dans l'environnement distant. Communique avec des produits de sécurité tiers pour exécuter des actions et extraire des alertes. Stocke les informations du connecteur (Gzip) et un fichier de configuration local. | Communique avec l'éditeur via TLS sur le port 443. |
Flux de données à distance (exécution des tâches)
Lorsque vous configurez une intégration ou un connecteur pour qu'ils s'exécutent à distance, le flux de données est asynchrone et basé sur des tâches :
- Publication de la tâche : Google SecOps publie une nouvelle tâche sur le serveur de l'éditeur.
- Requête de tâches : l'agent distant (installé dans l'environnement distant) interroge en permanence l'éditeur pour obtenir de nouvelles tâches (actions à distance ou extractions d'alertes de connecteur à distance).
- Exécution des tâches : lorsque l'agent à distance trouve une nouvelle tâche, il récupère les données complètes de la tâche (contenant le contexte de l'alerte et les données d'exécution de l'action) et commence l'exécution.
- Publication des résultats : l'agent à distance publie les résultats de l'action, y compris les pièces jointes générées et les opérations effectuées, et les renvoie à l'éditeur.
- Récupération des résultats : le serveur Google SecOps interroge l'éditeur. Une fois l'état de la tâche marqué comme terminé, Google SecOps récupère les données et les pièces jointes du résultat final, et effectue les tâches résiduelles côté serveur nécessaires.
- Nettoyage (ACK) : lorsque les données sont ingérées avec succès dans Google SecOps, un accusé de réception (ACK) est renvoyé à l'éditeur, puis transmis à l'agent. Cet ACK confirme que le flux de données est terminé, ce qui déclenche la suppression du fichier à la fois sur le serveur de l'éditeur et sur l'agent.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.