Fluxos e protocolos de dados
Compatível com:
SecOps do Google
SOAR
Este documento detalha a arquitetura da solução Remote Agent, definindo as funções dos três componentes principais e ilustrando o fluxo de dados assíncrono protegido por TLS usado para execução de ações remotas e ingestão de alertas.
Arquitetura de componentes
A arquitetura do agente remoto é criada com base nos três componentes principais a seguir:
| Componente | Funcionalidade e segurança | Comunicação |
|---|---|---|
| Google SecOps | Inicia tarefas e recupera os resultados finais. Não se comunica diretamente com o agente remoto. | Comunica-se com o editor via TLS na porta 443. |
| Editor | Serviço gerenciado (pelo Google SecOps) que atua como um intermediário seguro. Armazena dados de execução, metadados e scripts/dependências temporários e criptografados. Registra atividades (não sensíveis). | Faz vinculação à porta 443 para comunicação com o Google SecOps e o agente remoto. |
| Agente remoto | Implantado no ambiente remoto. Se comunica com produtos de segurança de terceiros para executar ações e extrair alertas. Armazena informações do conector (Gzip) e um arquivo de configuração local. | Comunica-se com o editor via TLS na porta 443. |
Fluxo de dados remoto (execução de tarefas)
Quando você configura uma integração ou um conector para execução remota, o fluxo de dados é assíncrono e baseado em tarefas:
- Publicação de tarefas: o Google SecOps publica uma nova tarefa no servidor do editor.
- Consulta de tarefas: o agente remoto (instalado no ambiente remoto) consulta continuamente o editor em busca de novas tarefas (ações remotas ou extrações de alertas de conector remoto).
- Execução de tarefas: quando o agente remoto encontra uma nova tarefa, ele busca os dados completos dela (contendo contexto de alerta e dados de execução de ações) e começa a execução.
- Publicação de resultados: o agente remoto publica os resultados da ação, incluindo anexos gerados e operações realizadas, de volta ao editor.
- Recuperação de resultados: o servidor do Google SecOps pesquisa o publisher. Depois que o status da tarefa é marcado como concluído, o Google SecOps recupera os dados e anexos do resultado final, realizando as tarefas residuais necessárias do lado do servidor.
- Limpeza (ACK): quando os dados são ingeridos com sucesso no Google SecOps, um reconhecimento (ACK) é retornado ao editor e retransmitido ao agente. Esse ACK confirma a conclusão do fluxo de dados, acionando a exclusão de arquivos no Publisher e no agente.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.