Data Exchange Layer 集成类型

和 DXL 架构的交互包括两个主要角色:信息使用者和信息提供者。

信息使用者

使用者通过 DXL 架构经由其多个通信模型接收信息。

事件订阅者

基于事件的使用者,订阅主题并被动接收来自发布者的事件(一对多通信模式)。利用事件订阅者集成的常见使用案例包括:

  • 编制 - 监听特定事件组的客户端。一旦收到事件,就会启动编制。例如,安全产品检测到特定端点正向已知命令和控制目标发送数据,并且作为反应向 DXL 架构发送事件。监听特定事件的客户端启动编制工作流,该工作流利用架构上可用的其他产品触发补救过程。

服务调用者

这是一个客户端,调用有关在 DXL 架构上注册的服务的方法,主动请求来自服务的信息(一对一通信模式)。利用服务调用集成的常见使用案例包括:

  • 数据收集 - 通过 DXL 架构调用安全服务,实时查询信息(例如运行中的进程等)或者用于基于取证的分析。
  • 编制 - 作为编制工作流的一部分,调用各种安全服务,以进行数据收集、分析和补救。

信息提供者

这些提供者经由多种通信模型将信息分发至 DXL 架构。

事件发布者

这是一个客户端,定期将事件发布至 DXL 上的特定主题(一对多通信模式)。将把这些事件提供给当前订阅这些主题的使用者。利用事件发布者集成的常见使用案例包括:

  • 威胁事件 - 将事件发送至架构,指示存在威胁(例如在特定端点上检测到恶意软件)。
  • 信息事件 - 将事件发送至架构以发布特定信息块(例如发布了新的漏洞、用户登录了系统等)。

服务提供者

这是一个客户端,向 DXL 架构注册服务。服务包括一种或多种经由相应主题提供的方法。这些服务方法将由客户端调用,调用方式为发送请求消息至和服务方法关联的主题。一旦收到消息,服务就会通过架构发送响应消息给调用客户端来进行回复(一对一通信模式)。常见服务集成模型包括:

  • 原生服务 - 通过原生 DXL 架构集成开发的服务。例如 McAfee Threat Intelligence Exchange 原生支持和 DXL 架构通信。
  • 包装服务 - 创建 DXL 服务包装程序,其将调用委托给现有服务的 API/SDK.。例如,提供基于 REST 的 API 的安全服务可便利地由 DXL 服务包装程序包装,提供有关 DXL 架构的功能。