Виды интеграции с Data Exchange Layer

Взаимодействие со слоем DXL осуществляется с использованием двух основных ролей: потребители информации и поставщики информации.

Потребители информации

Для получения информации посредством слоя DXL потребители используют предусмотренные в нем разные модели связи.

Подписчик на события

Такой потребитель подписывается на темы и пассивно получает события от издателей (режим связи «один ко многим»). Этот вид интеграции (подписка на события) обычно используется в следующих случаях:

  • координация мер реагирования: клиент настроен на прием определенного набора событий. После получения события инициируется рабочий процесс координации мер реагирования. Например, обнаружив, что та или иная конечная точка посылает данные на известный управляющий сервер, защитный продукт отправляет в DXL соответствующее событие. Клиент, настроенный на прием такого события, инициирует рабочий процесс координации мер реагирования, который в свою очередь запускает процесс устранения угрозы с помощью других продуктов, подключенных к DXL.

Инициатор служб

Это клиент, вызывающий методы в службах, зарегистрированных в слое DXL, т. е. активно запрашивающий информацию у службы (режим связи «один к одному»). Этот вид интеграции (вызов служб) обычно используется в следующих случаях:

  • сбор данных: к слою DXL подключены защитные службы, вызов которых позволяет искать информацию в режиме реального времени (например, информацию о запущенных процессах и т. д.) и проводить анализ на основе собранных признаков;
  • координация мер реагирования: в рамках рабочего процесса координации мер реагирования происходит вызов разных защитных служб, отвечающих за сбор данных, проведение анализа и устранение угрозы.

Поставщики информации

Эти поставщики поставляют в DXL информацию, используя для этого предусмотренные в нем разные модели связи.

Издатель событий

Это клиент, периодически публикующий события в конкретные темы (режим связи «один ко многим»). Опубликованные события доставляются потребителям, подписанным на данные темы. Этот вид интеграции (публикация событий) обычно используется в следующих случаях:

  • события угроз: посылаемые в DXL события служат указанием на наличие угрозы (например, когда на той или иной конечной точке обнаружено вредоносное ПО);
  • информационные события: посылаемые в DXL события предназначены для распространения той или иной информации (например, опубликована новая уязвимость, пользователь вошел в систему и т. д.).

Поставщики служб

Это клиент, зарегистрировавший в DXL службу. Служба состоит из одного или нескольких методов, доступ к которым предоставляется через соответствующие темы. Для вызова этих методов клиенты отправляют запросы в связанные с этими методами темы. Получив запрос, служба реагирует на него, отправляя запрашивающему клиенту сообщение-ответ (режим связи «один к одному»). Вот несколько примеров моделей интеграции служб:

  • встроенная служба: служба, в которую при разработке была встроена интеграция с DXL. Например, в McAfee Threat Intelligence Exchange встроена поддержка связи с DXL;
  • упакованная служба: для делегирования поступающих через DXL вызовов на интерфейс API/SDK уже имеющейся службы создается специальная программная оболочка. Например, защитную службу, имеющую API-интерфейс на основе REST, можно легко «упаковать» в программную оболочку, позволяющую данной службе функционировать в DXL.