Tipos de integración de Data Exchange Layer

La interacción con la estructura DXL comprende dos roles fundamentales: los consumidores de información y los proveedores de esta.

Consumidores de información

Los consumidores reciben información a través de la estructura DXL mediante sus varios modelos de comunicación.

Suscriptor a eventos

El consumidor de eventos se suscribe a temas y recibe de forma pasiva los eventos procedentes de los publicadores (modo de comunicación uno a muchos). Los casos más habituales que sacan partido de las integraciones de suscriptor a eventos son:

  • Orquestación: los clientes escuchan un conjunto concreto de eventos. Cuando se recibe un evento, se inicia un flujo de trabajo de orquestación. Por ejemplo, un producto de seguridad detecta que un endpoint está enviando datos a un objetivo de comando y control conocido, y reacciona enviando un evento a la estructura DXL. Un cliente que escucha ese evento en particular inicia un flujo de trabajo de orquestación que desencadena un proceso de corrección utilizando otros productos disponibles en la estructura.

Invocador de servicio

Se trata de un cliente que invoca métodos en los servicios registrados en la estructura DXL, y solicita información al servicio de forma activa (modo de comunicación uno a uno). Los casos más habituales que sacan partido de las integraciones de invocación de servicios son:

  • Recopilación de datos: se invocan los servicios de seguridad en la estructura DXL para solicitar información en tiempo real (por ejemplo, procesos en ejecución) o para realizar análisis forenses.
  • Orquestación: como parte de un flujo de trabajo de orquestación, se invocan varios servicios de seguridad con el objetivo de recopilar datos, y realizar análisis y correcciones.

Proveedores de información

Los proveedores distribuyen información a través de la estructura DXL mediante sus varios modelos de comunicación.

Publicador de eventos

Se trata de un cliente que periódicamente publica eventos sobre temas específicos en la estructura DXL (modo de comunicación uno a muchos). Esos eventos se envían a los consumidores que están suscritos a los respectivos temas. Los casos más habituales que sacan partido de las integraciones de publicador de eventos son:

  • Eventos de amenaza: se envían a la estructura para indicar la presencia de una amenaza (por ejemplo, se detecta malware en un endpoint).
  • Eventos informativos: se envían a la estructura para hacer anuncios (por ejemplo, se ha publicado una vulnerabilidad nueva, un usuario inició sesión en un sistema, etc.).

Proveedores de servicios

Son clientes que registran un servicio con la estructura DXL. El servicio consta de uno o más métodos que se presentan mediante los temas correspondientes. Los clientes invocan estos métodos de servicio enviando un mensaje de solicitud a un tema asociado a un método de servicio. Cuando lo recibe, el servicio contesta enviando, a través de la estructura, un mensaje de respuesta al cliente invocador (modo de comunicación uno a uno). Los modelos de integración de servicios comunes incluyen:

  • Servicio nativo: servicio desarrollado con una integración nativa de la estructura DXL. Por ejemplo, McAfee Threat Intelligence Exchange admite la comunicación nativa con estructuras DXL.
  • Servicio encapsulado: se crea un encapsulador de servicio DXL que delega las invocaciones a la API/SDK de un servicio existente. Por ejemplo, un servicio de seguridad que presenta una API de tipo REST puede ser encapsulado fácilmente por el encapsulador del servicio DXL para prestar su funcionalidad en la estructura.