Flussi di dati e protocolli
Supportato in:
Google secops
SOAR
Questo documento descrive in dettaglio l'architettura della soluzione Remote Agent, definendo i ruoli dei tre componenti principali e illustrando il flusso di dati asincrono protetto da TLS utilizzato per l'esecuzione di azioni remote e l'importazione di avvisi.
Architettura dei componenti
L'architettura dell'agente remoto è costituita dai seguenti tre componenti principali:
| Componente | Funzionalità e sicurezza | Comunicazione |
|---|---|---|
| Google SecOps | Avvia le attività e recupera i risultati finali. Non comunica direttamente con l'agente remoto. | Comunica con il publisher tramite TLS sulla porta 443. |
| Publisher | Servizio gestito (da Google SecOps) che funge da intermediario sicuro. Archivia dati di esecuzione, metadati e script/dipendenze temporanei e criptati. Registra i log (non sensibili). | Si associa alla porta 443 per la comunicazione con Google SecOps e l'agente remoto. |
| Agente remoto | Eseguito il deployment nell'ambiente remoto. Comunica con prodotti per la sicurezza di terze parti per eseguire azioni e recuperare avvisi. Memorizza le informazioni sul connettore (Gzip) e un file di configurazione locale. | Comunica con il publisher tramite TLS sulla porta 443. |
Flusso di dati remoto (esecuzione dell'attività)
Quando configuri un'integrazione o un connettore per l'esecuzione remota, il flusso di dati è asincrono e basato su attività:
- Pubblicazione dell'attività: Google SecOps pubblica una nuova attività sul server publisher.
- Query attività: l'agente remoto (installato nell'ambiente remoto) esegue query continue sull'editore per nuove attività (per azioni remote o estrazioni di avvisi del connettore remoto).
- Esecuzione dell'attività: quando l'agente remoto trova una nuova attività, recupera i dati completi dell'attività (contenenti il contesto dell'avviso e i dati di esecuzione dell'azione) e inizia l'esecuzione.
- Pubblicazione dei risultati: l'agente remoto pubblica i risultati dell'azione, inclusi gli allegati generati e le operazioni eseguite, di nuovo all'editore.
- Recupero dei risultati: il server Google SecOps esegue il polling del publisher. Una volta contrassegnato lo stato dell'attività come completato, Google SecOps recupera i dati e gli allegati dei risultati finali ed esegue le attività residue lato server necessarie.
- Pulizia (ACK): quando i dati vengono inseriti correttamente in Google SecOps, viene restituito un riconoscimento (ACK) al publisher, che viene poi inoltrato all'agente. Questo ACK conferma il completamento del flusso di dati, attivando l'eliminazione dei file sia sul publisher sia sull'agente.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.