Funktionen des Data Exchange Layer

Die Sicherheitssoftware Data Exchange Layer (DXL)-Version 4.0 umfasst folgende Funktionen:

  • Unkomplizierte pxGrid-Integration: Durch einen einfachen Download erhalten Sie die gesamte Software, die Sie für die Verknüpfung von DXL und pxGrid sowie für die Einrichtung automatischer Richtlinien zur Reaktion auf potenzielle Bedrohungen benötigen.
  • Automatisierte Reaktion auf Zwischenfälle: McAfee ePolicy Orchestrator (McAfee ePO) reagiert automatisch auf Bedrohungsereignisse. Dazu werden Informationen über DXL an verknüpfte Produkte gesendet, damit diese Maßnahmen ergreifen.
  • Bessere Verwaltung: Dank der neuen McAfee ePO-Erweiterung DXL sowie Client-Verbesserungen können Clients schneller bereitgestellt und Prozesse einfacher aktualisiert werden.

Die folgenden neuen Funktionen verbessern das charakteristische Design der Kommunikationsstruktur DXL:

Standorttransparenz

Die Kommunikation zwischen den Clients, die in die DXL-Struktur eingebunden sind, basiert auf dem Versand von "Meldungen" an ein "Thema". Dabei müssen die Clients weder den Standort der anderen DXL-Clients, mit denen sie kommunizieren, noch den Host-Name, die IP-Adresse und andere identifizierbare Informationen kennen.

Wenn ein Client zum Beispiel die Reputation einer Datei bestimmen möchte, kann er eine Anfragemeldung an das Thema "/mcafee/service/tie/file/reputation" senden. Ein Service empfängt die Anfrage und sendet eine Antwort mit den entsprechenden Reputationsinformationen. Bei der gesamten Kommunikation kennt keine der beteiligten Parteien den Standort der anderen Partei. Sie könnten sich im selben Gebäude oder aber auch auf der anderen Seite der Erde befinden.

Dauerhafte Verbindung

Verbindungen werden von einem DXL-Client zu einem DXL-Broker hergestellt. Diese Verbindungen sind dauerhaft und ermöglichen eine bidirektionale Kommunikation. Diese Art der Verbindung hat folgende Vorteile:

  • Firewall-Unterstützung: Die Verbindung zu den Brokern wird ausgehend von den Clients hergestellt (niemals von einem Broker zu einem Client). Deshalb können wir mit Clients kommunizieren, die vorher unerreichbar waren. Ein mobiler Client kann zum Beispiel eine Verbindung zu einem Broker herstellen, der in einer demilitarisierten Zone (DMZ) genutzt wird. Aufgrund der bidirektionalen Kommunikation können wir jetzt über McAfee-Server-Produkte mit dem Client kommunizieren, die ebenfalls mit der Struktur verbunden sind (z. B. Versand einer Agentenreaktivierung für Cloud ePO).
  • Kommunikation nahezu in Echtzeit: Die Kommunikation über die DXL-Struktur ist sehr effizient, da der ständige Verbindungsaufbau wegfällt.

Mehrere Kommunikationsmodelle

DXL unterstützt zwei unterschiedliche Kommunikationsmodelle: ein Service-basiertes Modell mit Punkt-zu-Punkt-Kommunikation (Anfrage/Antwort) und ein ereignisbasiertes Modell (Veröffentlichen/Abonnieren).

  • Service-basiert: Die DXL-Struktur ermöglicht die Registrierung und Nutzung von Services, die auf die Anfragen von aufrufenden Clients reagieren. Diese Kommunikation erfolgt von Punkt zu Punkt (1-zu-1), d. h. sie findet nur zwischen einem aufrufenden Client und dem Service statt, der aufgerufen wird. In diesem Modell ruft der Client den Service aktiv auf, indem er Anfragen an den Service sendet. Der McAfee Threat Intelligence Exchange-Service wird beispielsweise per DXL genutzt, wodurch DXL-Clients Reputationsinformationen zu Dateien und Zertifikaten anfordern können.
  • Ereignisbasiert: Die DXL-Struktur ermöglicht auch ereignisbasierte Kommunikation. Dieses Modell wird auch als "Veröffentlichen/Abonnieren"-Modell bezeichnet, bei dem Clients ihr Interesse an einem Thema anmelden, indem sie es abonnieren, und Anbieter in regelmäßigen Abständen Ereignisse an dieses Thema senden. Das Ereignis wird über die DXL-Struktur an alle Clients gemeldet, die das Thema derzeit abonniert haben. Die Information zu einem Ereignis kann also an mehrere Clients gesendet werden (1-zu-viele). Bei diesem Modell empfängt der Client die Ereignisinformationen passiv, sobald diese von einem Anbieter gesendet werden. So veröffentlichen McAfee Advanced Threat Defense-Server beispielsweise Informationen zu Ereignissen an das Thema "/mcafee/event/atd/file/report", wenn sie die Reputation einer Datei erfolgreich bestimmt haben. Alle Clients, die dieses Thema derzeit abonniert haben, erhalten den Bericht (derzeit haben McAfee Threat Intelligence Exchange Server und McAfee Enterprise Security Manager dieses Thema abonniert).

Sichere Kommunikation

Die Kommunikation über die DXL-Struktur wird per TLS-Version 1.2 und gemeinsamer PKI-Authentifizierung gesichert. Darüber hinaus unterstützt die Struktur auch Autorisierung auf Themenebene und kann so einschränken, welche Clients Meldungen an ein Thema veröffentlichen und welche Clients Meldungen zu einem bestimmten Thema empfangen dürfen.

So sind die in die Threat Intelligence Exchange-Server eingebetteten DXL-Clients beispielsweise die einzigen Clients, die Reputationsänderungen an das Thema "/mcafee/event/tie/file/repchange" veröffentlichen dürfen.