Alur dan protokol data
Didukung di:
Google secops
SOAR
Dokumen ini menjelaskan arsitektur solusi Agen Jarak Jauh, yang menentukan peran tiga komponen inti dan mengilustrasikan alur data asinkron yang diamankan dengan TLS yang digunakan untuk eksekusi tindakan jarak jauh dan penyerapan pemberitahuan.
Arsitektur komponen
Arsitektur Agen Jarak Jauh dibangun dari tiga komponen utama berikut:
| Komponen | Fungsionalitas dan keamanan | Komunikasi |
|---|---|---|
| Google SecOps | Memulai tugas dan mengambil hasil akhir. Tidak berkomunikasi langsung dengan Agen Jarak Jauh. | Berkomunikasi dengan Penerbit melalui TLS di port 443. |
| Publisher | Layanan terkelola (oleh Google SecOps) yang bertindak sebagai perantara yang aman. Menyimpan data eksekusi, metadata, dan skrip/dependensi terenkripsi yang bersifat sementara. Mencatat log data (tidak sensitif). | Terikat ke port 443 untuk komunikasi dengan Google SecOps dan Agen Jarak Jauh. |
| Agen Jarak Jauh | Di-deploy di lingkungan jarak jauh. Berkomunikasi dengan produk keamanan pihak ketiga untuk menjalankan tindakan dan menarik pemberitahuan. Menyimpan informasi konektor (Gzip) dan file konfigurasi lokal. | Berkomunikasi dengan Penerbit melalui TLS di port 443. |
Aliran data jarak jauh (eksekusi tugas)
Saat Anda mengonfigurasi integrasi atau konektor untuk dijalankan dari jarak jauh, aliran data bersifat asinkron dan berbasis tugas:
- Publikasi tugas: Google SecOps memublikasikan tugas baru ke Server Penerbit.
- Kueri tugas: Remote Agent (diinstal di lingkungan jarak jauh) terus-menerus membuat kueri Publisher untuk tugas baru (baik untuk tindakan jarak jauh maupun penarikan pemberitahuan konektor jarak jauh).
- Eksekusi tugas: Saat menemukan tugas baru, Agen Jarak Jauh akan mengambil data tugas lengkap (yang berisi konteks pemberitahuan dan data eksekusi tindakan) dan memulai eksekusi.
- Publikasi hasil: Agen Jarak Jauh memublikasikan hasil tindakan, termasuk lampiran yang dibuat, dan operasi yang dilakukan, kembali ke Penerbit.
- Pengambilan hasil: Server Google SecOps melakukan polling pada Publisher. Setelah status tugas ditandai selesai, Google SecOps akan mengambil data dan lampiran hasil akhir, serta melakukan tugas residual sisi server yang diperlukan.
- Pembersihan (ACK): Jika data berhasil diserap ke Google SecOps, Pemberitahuan (ACK) akan dikirimkan kembali ke Penayang, lalu diteruskan ke agen. ACK ini mengonfirmasi penyelesaian alur data, yang memicu penghapusan file di Publisher dan agen.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.