Tipi di integrazione in Data Exchange Layer

L’interazione con il tessuto DXL si compone di due ruoli primari: i consumatori delle informazioni e i fornitori di informazioni.

Consumatori delle informazioni

I consumatori ricevono le informazioni tramite il tessuto DXL e i suoi multipli modelli di comunicazione.

Abbonamento agli eventi

Un consumatore di eventi si abbona agli argomenti e riceve in modo passivo gli eventi dai server di pubblicazione (modalità di comunicazione da uno a molti). I casi di uso comune delle integrazioni di tipo abbonamento a eventi includono:

  • Orchestrazione: un client è in ascolto di una particolare serie di eventi. Una volta ricevuto un evento, si avvia il flusso di lavoro dell’orchestrazione. Per esempio, un prodotto di sicurezza rileva che un particolare endpoint sta inviando dei dati a un noto destinatario di comando e controllo. Come reazione, il prodotto invia un evento al tessuto DXL. Un client in ascolto di questo evento avvia il flusso di lavoro dell’orchestrazione che fa scattare il processo di remediation utilizzando gli altri prodotti disponibili nel tessuto.

Invoker di un servizio

Questo client richiama dei metodi sui servizi registrati nel tessuto DXL, richiedendo attivamente le informazioni dal servizio (modalità di comunicazione da uno a uno). I casi di uso comune delle integrazioni di tipo richiamo di un servizio includono:

  • Raccolta dati: i servizi di sicurezza vengono richiamati tramite il tessuto DXL per richiedere informazioni in tempo reale (es., processi in esecuzione ecc.) o per svolgere analisi forensi.
  • Orchestrazione: nel flusso di lavoro di un’orchestrazione vengono richiamati vari servizi di sicurezza allo scopo di raccolta dati, analisi e remediation.

Fornitori di informazioni

I fornitori distribuiscono le informazioni al tessuto DXL tramite i suoi multipli modelli di comunicazione.

Server di pubblicazione degli eventi

Client che periodicamente pubblica degli eventi in argomenti specifici nel tessuto DXL (modalità di comunicazione da uno a molti). Questi eventi vengono inviati ai consumatori attualmente abbonati agli argomenti. I casi di uso comune delle integrazioni di tipo server di pubblicazione degli eventi includono:

  • Eventi di minaccia: gli eventi vengono inviati al tessuto per indicare la presenza di una minaccia (es. il malware rilevato in un particolare endpoint).
  • Eventi informativi: gli eventi vengono inviati al tessuto per comunicare una particolare informazione (es., la pubblicazione di una nuova vulnerabilità, l’accesso di un utente al sistema ecc.).

Fornitore di servizi

Client che registra un servizio con il tessuto DXL. Un servizio si compone di uno o più metodi che vengono esposti tramite gli argomenti corrispondenti. Questi metodi di servizio vengono richiamati dai client tramite l’invio di una richiesta di messaggio a un argomento associato con un metodo di servizio. Dopo la ricezione il servizio risponde con l’invio di un messaggio di risposta tramite il tessuto al client che richiama (modalità di comunicazione da uno a uno). I modelli comuni di integrazione del servizio includono:

  • Servizio nativo: un servizio sviluppato con un’integrazione nativa del tessuto DXL. Per esempio McAfee Threat Intelligence Exchange supporta in modo nativo le comunicazioni con i tessuti DXL.
  • Servizio con wrapper: viene creato un wrapper di servizio DXL che delega i richiami a un’API/SDK di servizio esistente. Per esempio, un servizio di sicurezza che espone un’API basata su REST può essere facilmente protetto da un wrapper di servizio DXL che fornisce la sua funzionalità al tessuto DXL.