Tipos de integración de Data Exchange Layer

En la interacción con la estructura DXL existen dos roles fundamentales: consumidores de información y proveedores de información.

Consumidores de información

Los consumidores reciben información a través de la estructura DXL mediante sus modelos de comunicación.

Suscriptor a eventos

El consumidor de eventos se suscribe a temas y recibe de forma pasiva los eventos de los publicadores (modo de comunicación uno a muchos). El caso más habitual que saca partido de las integraciones de suscriptor a eventos es:

  • Orquestación: un cliente escucha un conjunto concreto de eventos. Cuando se recibe un evento, se inicia un flujo de trabajo de orquestación. Por ejemplo, un producto de seguridad detecta que un endpoint está enviando datos a un objetivo de comando y control conocido, y reacciona enviando un evento a la estructura DXL. Un cliente que escucha ese evento en particular inicia un flujo de trabajo de orquestación que desencadena un proceso de corrección utilizando otros productos disponibles en la estructura.

Invocador de servicio

Se trata de un cliente que invoca métodos en los servicios registrados en la estructura DXL, y solicita información al servicio de forma activa (modo de comunicación uno a uno). Los casos más habituales que sacan partido de las integraciones de invocación de servicios son:

  • Recopilación de datos: los servicios de seguridad se invocan en la estructura DXL para solicitar información en tiempo real (por ejemplo, procesos en ejecución) o para realizar análisis forenses.
  • Orquestación: como parte de un flujo de trabajo de orquestación, se invocan varios servicios de seguridad con el objetivo de recopilar datos y realizar análisis y adoptar medidas correctoras.

Proveedores de información

Los proveedores distribuyen información a través de la estructura DXL mediante sus modelos de comunicación.

Publicador de eventos

Se trata de un cliente que periódicamente publica eventos sobre temas específicos en la estructura DXL (modo de comunicación uno a muchos). Esos eventos se envían a los consumidores que están suscritos a los respectivos temas. Los casos más habituales que sacan partido de las integraciones de publicador de eventos son:

  • Eventos de amenaza: se envían a la estructura para indicar la presencia de una amenaza (por ejemplo, se detecta malware en un endpoint).
  • Eventos informativos: se envían a la estructura para hacer anuncios (por ejemplo, se ha publicado una vulnerabilidad nueva, un usuario inició sesión en un sistema, etc.).

Proveedores de servicios

Son clientes que registran un servicio con la estructura DXL. El servicio consta de uno o más métodos que se presentan mediante los temas correspondientes. Los clientes invocan estos métodos de servicio enviando un mensaje de solicitud al tema asociado a un método de servicio. Cuando lo recibe, el servicio contesta enviando, a través de la estructura, un mensaje de respuesta al cliente invocador (modo de comunicación uno a uno). Los modelos de integración de servicios comunes incluyen:

  • Servicio nativo: servicio desarrollado con una integración nativa de la estructura DXL. Por ejemplo, McAfee Threat Intelligence Exchange admite la comunicación nativa con estructuras DXL.
  • Servicio encapsulado: se crea un encapsulador de servicio DXL que delega las invocaciones a la API/SDK de un servicio existente. Por ejemplo, un servicio de seguridad que presenta una API REST puede ser encapsulado fácilmente por el encapsulador del servicio DXL para prestar su funcionalidad en la estructura.