Fonctionnalités de Data Exchange Layer

Data Exchange Layer (DXL) 4.0 comprend les fonctionnalités suivantes :

  • Intégration simple de pxGrid : Un simple téléchargement inclut tous les logiciels nécessaires pour connecter DXL et pxGrid et pour définir des stratégies automatisées de réponse aux menaces.
  • Réponse aux incidents automatisée : McAfee ePolicy Orchestrator (McAfee ePO) réagit automatiquement aux événements liés aux menaces, envoie les données correspondantes à DXL et propage les informations aux produits connectés pour déclencher les actions nécessaires.
  • Gestion améliorée : Configuration du client simplifiée et mise à jour des processus grâce à la nouvelle extension DXL pour McAfee ePO et aux améliorations du client.

Ces nouvelles fonctionnalités améliorent la conception caractéristique de la structure de communication DXL :

Emplacement transparent

La communication entre les clients connectés à la structure DXL repose sur l'envoi de « messages » à un « sujet ». Les clients ne sont pas obligés de connaître l'emplacement des autres clients DXL avec lesquels ils communiquent, pas plus que le nom d'hôte, l'adresse IP ou les autres informations identifiables.

Par exemple, si un client souhaite déterminer la réputation d'un fichier, il peut envoyer un message de requête au sujet /mcafee/service/tie/file/reputation. Un service reçoit alors la requête et envoie une réponse contenant les informations sur la réputation demandées. Aucune des parties prenant part à ces communications ne connaît l'emplacement de l'autre. (Elles peuvent se situer dans le même bâtiment comme à l'autre bout du monde.)

Connexion permanente

Les connexions sont établies entre un client DXL et un intermédiaire DXL. Ces communications sont permanentes et permettent une communication bidirectionnelle. Ce type de connexion offre divers avantages :

  • Compatibilité avec les pare-feux — Les clients sont responsables de l'établissement de la connexion aux intermédiaires (jamais de l'intermédiaire à un client). Nous pouvons ainsi désormais communiquer avec des clients qui étaient injoignables auparavant. Par exemple, un client mobile peut se connecter à un intermédiaire exposé dans une zone démilitarisée (DMZ). Comme la communication est bidirectionnelle, nous pouvons désormais communiquer avec le client à partir des produits serveur McAfee également connectés à la structure (par exemple, pour envoyer un appel de réactivation de l'agent pour ePO Cloud).
  • Communications en temps quasi réel — Les communications sur la structure DXL sont extrêmement efficaces grâce à l'élimination de la nécessité d'établir continuellement de nouvelles connexions.

Plusieurs modèles de communication

Data Exchange Layer prend en charge deux modèles de communication différents : un modèle basé sur les services avec communication point à point (requête/réponse) et un modèle de publication/souscription basé sur les événements.

  • Modèle basé sur les services — La structure DXL permet l'enregistrement et l'exposition des services qui répondent aux requêtes envoyées par les clients. Ce type de communication est appelé « point à point » (relation un à un), c'est-à-dire que la communication se fait uniquement entre un client invocateur et le service invoqué. Dans ce modèle, le client invoque activement le service en lui envoyant des requêtes. Par exemple, le service McAfee Threat Intelligence Exchange est exposé via Data Exchange Layer, permettant ainsi aux clients DXL de demander des informations sur la réputation des fichiers et des certificats.
  • Modèle basé sur les événements — La structure DXL permet également la communication basée sur les événements. Dans ce modèle, généralement appelé modèle de « publication/souscription », les clients manifestent un intérêt en s'abonnant à un sujet et les diffuseurs envoient régulièrement des événements à ce sujet. L'événement est transmis à tous les clients actuellement abonnés à ce sujet via la structure DXL, si bien qu'un événement envoyé peut atteindre de nombreux clients (relation un à plusieurs). Dans ce modèle, le client reçoit passivement les événements lorsqu'ils sont envoyés par un diffuseur. Par exemple, les serveurs McAfee Advanced Threat Defense envoient des événements au sujet /mcafee/event/atd/file/report après avoir déterminé le score de réputation d'un fichier. Tous les clients actuellement abonnés à ce sujet recevront le rapport. (McAfee Threat Intelligence Exchange Server et McAfee Enterprise Security Manager sont actuellement abonnés à ce sujet.)

Communication sécurisée

Les communications transmises par la structure DXL sont sécurisées par le chiffrement TLS version 1.2 et l'authentification mutuelle PKI. La structure prend également en charge l'autorisation au niveau des sujets pour permettre de définir quels clients sont autorisés à envoyer ou recevoir des messages sur un sujet donné.

Par exemple, les clients DXL intégrés aux serveurs Threat Intelligence Exchange sont les seuls autorisés à publier des événements de modification de la réputation sur le sujet /mcafee/event/tie/file/repchange.