データフローとプロトコル
以下でサポートされています。
Google SecOps
SOAR
このドキュメントでは、Remote Agent ソリューションのアーキテクチャについて詳しく説明します。3 つのコア コンポーネントの役割を定義し、リモート アクションの実行とアラートの取り込みに使用される TLS で保護された非同期データフローを示します。
コンポーネント アーキテクチャ
リモート エージェントのアーキテクチャは、次の 3 つの主要コンポーネントで構成されています。
| コンポーネント | 機能とセキュリティ | コミュニケーション |
|---|---|---|
| Google SecOps | タスクを開始し、最終結果を取得します。リモート エージェントと直接通信しません。 | ポート 443 の TLS 経由で Publisher と通信します。 |
| パブリッシャー | 安全な仲介役として機能するマネージド サービス(Google SecOps による)。一時的な暗号化された実行データ、メタデータ、スクリプト/依存関係を保存します。ログレコード(機密情報以外)。 | Google SecOps とリモート エージェントとの通信用にポート 443 にバインドします。 |
| リモート エージェント | リモート環境にデプロイされます。サードパーティのセキュリティ製品と通信して、アクションを実行し、アラートを取得します。コネクタ情報(Gzip)とローカル構成ファイルを保存します。 | ポート 443 の TLS 経由で Publisher と通信します。 |
リモート データフロー(タスク実行)
リモートで実行するように統合またはコネクタを構成すると、データフローは非同期でタスクベースになります。
- タスクの公開: Google SecOps が新しいタスクを Publisher Server に公開します。
- タスククエリ: リモート エージェント(リモート環境にインストール)は、新しいタスク(リモート アクションまたはリモート コネクタ アラートの取得)について Publisher に継続的にクエリを実行します。
- タスクの実行: リモート エージェントが新しいタスクを見つけると、タスクの完全なデータ(アラート コンテキストとアクション実行データを含む)を取得して実行を開始します。
- 結果の公開: リモート エージェントは、生成された添付ファイルや実行されたオペレーションなどのアクション結果をパブリッシャーに公開します。
- 結果の取得: Google SecOps サーバーが Publisher をポーリングします。タスクのステータスが完了としてマークされると、Google SecOps は最終結果のデータと添付ファイルを取得し、必要なサーバーサイドの残りのタスクを実行します。
- クリーンアップ(ACK): データが Google SecOps に正常に取り込まれると、確認応答(ACK)がパブリッシャーに返され、エージェントに転送されます。この ACK はデータフローの完了を確認し、パブリッシャーとエージェントの両方でファイルの削除をトリガーします。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。