資料流程和通訊協定
支援的國家/地區:
Google SecOps
SOAR
本文詳細說明 Remote Agent 解決方案的架構,定義三個核心元件的角色,並說明用於遠端動作執行和快訊擷取的 TLS 安全非同步資料流程。
元件架構
遠端代理程式架構是由下列三個主要元件建構而成:
| 元件 | 功能和安全性 | 通訊 |
|---|---|---|
| Google SecOps | 啟動工作並擷取最終結果。不會直接與遠端代理程式通訊。 | 透過通訊埠 443 上的 TLS 與發布商通訊。 |
| Publisher | 代管服務 (由 Google SecOps 提供),可做為安全中介服務。儲存加密的暫時性執行資料、中繼資料和指令碼/依附元件。記錄 (非機密) 記錄。 | 繫結至通訊埠 443,以便與 Google SecOps 和遠端代理程式通訊。 |
| 遠端代理程式 | 部署在遠端環境中。與第三方安全產品通訊,執行動作並提取快訊。儲存連接器資訊 (Gzip) 和本機設定檔。 | 透過通訊埠 443 上的 TLS 與發布商通訊。 |
遠端資料流程 (工作執行)
設定整合或連接器以遠端執行時,資料流程會以非同步方式執行,並以工作為基礎:
- 發布工作:Google SecOps 會將新工作發布至發布者伺服器。
- 工作查詢:遠端代理程式 (安裝在遠端環境中) 會持續查詢發布者是否有新工作 (包括遠端動作或遠端連接器快訊提取)。
- 工作執行:遠端代理程式找到新工作時,會擷取完整的工作資料 (包含快訊內容和動作執行資料),並開始執行工作。
- 發布結果:遠端代理程式會將動作結果 (包括產生的附件) 和執行的作業發布回發布者。
- 擷取結果:Google SecOps 伺服器會輪詢發布商。工作狀態標示為完成後,Google SecOps 會擷取最終結果資料和附件,並執行必要的伺服器端殘餘工作。
- 清除 (ACK):資料成功擷取至 Google SecOps 後,系統會將確認 (ACK) 傳回給發布商,然後轉送至代理程式。這項 ACK 會確認資料流程已完成,並觸發發布商和代理程式刪除檔案。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。