数据流和协议
支持的平台:
Google SecOps
SOAR
本文档详细介绍了远程代理解决方案的架构,定义了三个核心组件的角色,并说明了用于远程操作执行和提醒接收的 TLS 安全异步数据流。
组件架构
远程代理架构由以下三个主要组件构建而成:
| 组件 | 功能和安全性 | 通信 |
|---|---|---|
| Google SecOps | 启动任务并检索最终结果。不直接与远程代理通信。 | 通过端口 443 上的 TLS 与发布商通信。 |
| Publisher | 充当安全中介的受管服务(由 Google SecOps 提供)。存储临时加密的执行数据、元数据和脚本/依赖项。日志记录(非敏感)。 | 绑定到端口 443,以便与 Google SecOps 和远程代理进行通信。 |
| 远程代理 | 部署在远程环境中。与第三方安全产品通信,以执行操作和拉取提醒。存储连接器信息 (Gzip) 和本地配置文件。 | 通过端口 443 上的 TLS 与发布商通信。 |
远程数据流(任务执行)
当您配置集成或连接器以远程运行时,数据流是异步的,并且基于任务:
- 任务发布:Google SecOps 将新任务发布到发布商服务器。
- 任务查询:远程代理(安装在远程环境中)会持续查询发布者是否有新任务(无论是远程操作还是远程连接器提醒拉取)。
- 任务执行:当远程代理发现新任务时,它会提取完整的任务数据(包含提醒上下文和操作执行数据),然后开始执行任务。
- 结果发布:远程代理将操作结果(包括生成的附件)和执行的操作发布回发布者。
- 结果检索:Google SecOps 服务器轮询发布者。任务状态标记为完成之后,Google SecOps 会检索最终结果数据和附件,并执行任何必要的服务器端剩余任务。
- 清理 (ACK):当数据成功注入到 Google SecOps 中时,系统会向发布者返回确认 (ACK),然后将确认中继到代理。 此 ACK 确认数据流已完成,并触发发布者和代理上的文件删除操作。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。