Data Exchange Layer の統合タイプ

DXL ファブリックとの通信では、情報の消費側と情報の提供側という 2 つの役割が存在します。

情報の消費側

情報の消費側は、複数の通信モデルを介して DXL ファブリック経由で情報を受信します。

イベントの購読者

イベント ベースの消費側はトピックを購読し、発行側からイベントを受信します (1 対多の通信モデル)。イベントの購読者は次のようなケースで使用します。

  • 調整 - クライアントが特定のイベントを待機します。イベントを受信すると、調整ワークフローが開始します。たとえば、特定のエンドポイントが既知の指令サーバーにデータを送信していることをセキュリティ製品が検出し、その応答してイベントを DXL ファブリックに送信します。このイベントを待機しているクライアントが調整ワークフローを開始し、ファブリックで使用可能な他の製品を利用して修復プロセスを開始します。

サービスの呼び出し者

DXL ファブリックに登録されているサービスのメソッドを呼び出すクライアントです。サービスからの情報を要求します (1 対 1 の通信モード)。サービスの呼び出しは次のようなケースで使用します。

  • データの収集 - DXL ファブリック経由でセキュリティ サービスを呼び出し、クエリーで情報 (実行中のプロセスなど) をリアルタイムで取得します。収集した情報は、フォレンジック分析にも使用されます。
  • 調整 - 調整ワークフローの中で様々なセキュリティ サービスを呼び出し、データの収集、分析、修復などを行います。

情報の提供側

情報の提供側は、複数の通信モデルを介して DXL ファブリックに情報を配信します。

イベントの発行者

DXL ファブリックの特定のトピックに定期的にイベントを公開するクライアントです (1 対多の通信モード)。これらのイベントは、このトピックを購読している情報の消費者に配信します。イベントの発行者は次のようなケースで使用します。

  • 脅威イベント - イベントをファブリックに送信し、脅威の存在を通知します (たとえば、特定のエンドポイントでマルウェアが検出された場合など)。
  • 情報イベント - イベントをファブリックに送信し、特定の情報を通知します (たとえば、新しい脆弱性の検出や、ユーザーのログインなど)。

サービス プロバイダー

DXL ファブリックでサービスを登録するクライアントです。サービスは 1 つ以上のメソッドから構成されます。これらのメソッドはトピックに対応しています。クライアントがサービス メソッドに関連するトピックに要求メッセージを送信すると、サービス メソッドが呼び出されます。メッセージを受信すると、サービスはファブリック経由で呼び出し側のクライアントに応答メッセージを送信します (1 対 1 の通信モード)。共通のサービス統合モデルでは、次のサービスが使用されます。

  • ネイティブ サービス - ネイティブの DXL ファブリック統合で開発されたサービス。たとえば、McAfee Threat Intelligence Exchange はネイティブで DXL ファブリックとの通信をサポートしています。
  • ラッピング サービス - 既存サービスの API/SDK への呼び出しを代行するために作成された DXL サービス ラッパーです。たとえば、REST ベースの API を利用するセキュリティ サービスは、DXL サービス ラッパーでラッピングすることで、DXL ファブリック上で使用することができます。