Fluxos e protocolos de dados

Este documento detalha a arquitetura da solução de agente remoto, definindo as funções dos três componentes principais e ilustrando o fluxo de dados assíncrono e protegido por TLS usado para a execução de ações remotas e o carregamento de alertas.

Arquitetura de componentes

A arquitetura do agente remoto é criada a partir dos três componentes principais seguintes:

Fluxo de dados remoto (execução de tarefas)

Quando configura uma integração ou um conetor para ser executado remotamente, o fluxo de dados é assíncrono e baseado em tarefas:

1. Publicação de tarefas: o Google SecOps publica uma nova tarefa no servidor do publicador.
2. Consulta de tarefas: o agente remoto (instalado no ambiente remoto) consulta continuamente o publicador para novas tarefas (para ações remotas ou obtenções de alertas de conetores remotos).
3. Execução de tarefas: quando o agente remoto encontra uma nova tarefa, obtém os dados completos da tarefa (que contêm o contexto do alerta e os dados de execução da ação) e começa a execução.
4. Publicação dos resultados: o agente remoto publica os resultados da ação, incluindo os anexos gerados e as operações realizadas, de volta para o publicador.
5. Obtenção de resultados: o servidor do Google SecOps sonda o publicador. Assim que o estado da tarefa for marcado como concluído, o Google SecOps obtém os dados e os anexos dos resultados finais, executando todas as tarefas residuais necessárias no lado do servidor.
6. Limpeza (ACK): quando os dados são carregados com êxito para o Google SecOps, é devolvido um reconhecimento (ACK) ao publicador e, em seguida, retransmitido para o agente. Este ACK confirma a conclusão do fluxo de dados, acionando a eliminação de ficheiros no publicador e no agente.