데이터 흐름 및 프로토콜
다음에서 지원:
Google secops
SOAR
이 문서에서는 원격 에이전트 솔루션의 아키텍처를 자세히 설명하고, 세 가지 핵심 구성요소의 역할을 정의하며, 원격 작업 실행 및 알림 수집에 사용되는 TLS 보안 비동기 데이터 흐름을 보여줍니다.
구성요소 아키텍처
원격 에이전트 아키텍처는 다음 세 가지 주요 구성요소로 구성됩니다.
| 구성요소 | 기능 및 보안 | 커뮤니케이션 |
|---|---|---|
| Google SecOps | 작업을 시작하고 최종 결과를 가져옵니다. 원격 에이전트와 직접 통신하지 않습니다. | 포트 443에서 TLS를 통해 게시자와 통신합니다. |
| 게시자 | 안전한 중개자 역할을 하는 관리형 서비스 (Google SecOps 제공) 암호화된 임시 실행 데이터, 메타데이터, 스크립트/종속 항목을 저장합니다. 레코드 (민감하지 않음)를 기록합니다. | Google SecOps 및 원격 에이전트와의 통신을 위해 포트 443에 바인딩됩니다. |
| 원격 에이전트 | 원격 환경에 배포됩니다. 작업을 실행하고 알림을 가져오기 위해 서드 파티 보안 제품과 통신합니다. 커넥터 정보 (Gzip)와 로컬 구성 파일을 저장합니다. | 포트 443에서 TLS를 통해 게시자와 통신합니다. |
원격 데이터 흐름 (작업 실행)
원격으로 실행되도록 통합 또는 커넥터를 구성하면 데이터 흐름이 비동기식이며 작업 기반입니다.
- 작업 게시: Google SecOps가 게시자 서버에 새 작업을 게시합니다.
- 작업 쿼리: 원격 환경에 설치된 원격 에이전트가 게시자에게 새로운 작업(원격 작업 또는 원격 커넥터 알림 가져오기용)을 지속적으로 쿼리합니다.
- 작업 실행: 원격 에이전트가 새 작업을 찾으면 알림 컨텍스트와 작업 실행 데이터가 포함된 전체 작업 데이터를 가져와 실행을 시작합니다.
- 결과 게시: 원격 에이전트가 생성된 첨부파일과 실행된 작업을 포함한 작업 결과를 게시자에게 다시 게시합니다.
- 결과 가져오기: Google SecOps 서버가 게시자를 폴링합니다. 작업 상태가 완료로 표시되면 Google SecOps에서 최종 결과 데이터와 첨부파일을 가져와 필요한 서버 측 잔여 작업을 실행합니다.
- 정리 (ACK): 데이터가 Google SecOps에 성공적으로 수집되면 승인 (ACK)이 게시자에게 반환된 후 에이전트로 전달됩니다. 이 ACK는 데이터 흐름 완료를 확인하여 게시자와 에이전트 모두에서 파일 삭제를 트리거합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.