Architektur
Dieses Diagramm veranschaulicht das Architektur-Framework von Hydden Discovery und zeigt sowohl Cloud- als auch On-Premises-Bereitstellungsoptionen, die Broker-Architektur, verfügbare Dienste und Datenquellen-Collectors.
Anzeigetipp
Klicken Sie auf das Diagramm, um es zu vergrößern. Auf kleineren Bildschirmen verwenden Sie den Browser-Zoom (Strg/Cmd + Scrollen) für bessere Sichtbarkeit.
Integrationsreferenz
Das Diagramm zeigt die wichtigsten Integrationskategorien. Siehe die Vollständige Integrationsreferenz unten für die namentlich aufgeführten 45+ unterstützten Datenquellen und Collectors.
Kann je nach Anbieter ein separates API-Token-Guthaben erfordern
Windows / Linux / Mac / Container
57.151.59.226 · 172.171.154.194Windows / Linux / Mac / Container
Bootstrap: TCP 22101 (On-Prem) oder TCP 443 (Cloud)
Für SaaS-Kunden steht ein integrierter Client-Dienst zur Verfügung. Ein zusätzlicher Client wird nur für On-Premises- oder netzwerkisolierte Datenquellen benötigt.
Verbindet sich mit jeder Datenquelle über LDAP, SQL, REST, SCP, FTP, SFTP, FTPS und Dateien.
Beispiele: CCURE9K · Morpheus · Qualys · Symantec DCS · Workday · ADP · Jira · Domo · Oracle
Vollständige Integrationsreferenz
Hydden Discovery unterstützt 45+ vollständig verifizierte Datenquellen-Integrationen über mehrere Kategorien:
☁️ Cloud-Plattformen & SaaS
- AWS - Amazon Web Services (EC2, IAM, S3 usw.)
- AWS Key Vault - AWS Secrets Manager
- Azure - Microsoft Azure (AD, Ressourcen, Abonnements)
- Azure Key Vault - Azure Secrets Management
- Google Cloud - GCP (IAM, Projekte, Ressourcen)
- Google Workspace - Gmail, Drive, Groups
👥 Identitäts- & Zugriffsverwaltung
- Active Directory - Microsoft AD (Benutzer, Gruppen, OUs)
- AD Workstation - Windows-Arbeitsplatzkonten
- LDAP - Lightweight Directory Access Protocol
- Okta - Cloud-Identitätsanbieter
- SailPoint IIQ - Identity IQ Governance-Plattform
📱 Geschäftsanwendungen
- GitHub - Repository-Zugriff und Teams
- GitLab - Repository-Zugriff und Gruppen
- Salesforce - CRM-Benutzer und Profile
- ServiceNow - ITSM-Benutzer und Rollen
- Slack - Workspace-Mitglieder und Kanäle
- Dayforce - HR- und Lohnabrechnungssystem
- Tableau - Analyse- und Visualisierungsplattform
🔐 Privilegierter Zugriff & Vaults
- BeyondTrust - Privileged Access Management
- CyberArk - Enterprise-Passwort-Vault
- Keeper - Passwortverwaltungsplattform
- StrongDM - Infrastruktur-Zugriffsplattform
🗝️ Infrastruktur & Systeme
- Linux Host - Linux-Server (Benutzer, Gruppen, sudo)
- Linux Apache2 - Apache-Webserver-Konfigurationen
- Windows Host - Windows-Server und -Arbeitsplätze
- WindowsRm Host - Windows Remote Management
- VMware vSphere - Virtuelle Infrastruktur
- PAN-OS - Palo Alto Networks Firewall
🐳 Container-Orchestrierung
- Kubernetes - K8s-Cluster-Zugriff (RBAC, Service-Konten)
- Kubernetes Pods - Pod-Level-Zugriffskontrolle
💾 Datenbanken
- SQL Server - Microsoft SQL Server
- PostgreSQL - Postgres-Datenbank
- AS/400 - IBM System i (DB2)
🔍 Sicherheit & Bedrohungsintelligenz
- Have I Been Pwned - Erkennung kompromittierter Anmeldeinformationen
🔧 Universal Collector
Der Universal Collector (Benutzerdefiniert) ermöglicht die Integration mit jedem System über:
- REST API - HTTP/HTTPS-API-Endpunkte
- Database SQL - Direkte SQL-Abfragen (MySQL, Oracle usw.)
- CSV/JSON-Dateien - Dateibasierte Datenimporte
- Custom Scripts - Sandboxed Python-basierte Datenerfassung
Beliebte Universal Collector-Beispiele:
- Domo (Business Intelligence)
- Oracle Database
- Microsoft SQL (benutzerdefinierte Abfragen)
- Benutzerdefinierte REST APIs
- HR-Systeme (Workday, ADP usw.)
- Ticketing-Systeme (Jira usw.)
- Benutzerdefinierte Anwendungen
Architekturkomponenten
Bereitstellungsmodelle
- Cloud-Bereitstellung: Verwendet NATS Cluster als Core Broker für zentralisierte Verwaltung
- On-Premises-Bereitstellung: Verwendet Leaf Broker (Gateway)-Architektur für lokale Datenerfassung und -verarbeitung
Kernkomponenten
Hydden Server (Cloud)
Die Serverkomponente fungiert als zentraler Knotenpunkt unter Verwendung von NATS Cluster-Technologie, erreichbar unter https://portal.hydden.io:
- Verwaltet mehrere Broker-Instanzen
- Bietet Webdienste und Berichtsfunktionen
- Pflegt den Identity Graph
- Orchestriert alle Plattformdienste
Hydden Client (On-Premises)
Die Client-Komponente fungiert als Gateway zwischen der On-Premises-Infrastruktur und der Cloud:
- Läuft auf Windows / Linux / Mac / Container
- Leaf-Broker-Architektur für sichere Kommunikation
- Lokale Collector-Module für die Datenerfassung (OOB Collector-Module, Universal Collector)
- Verbindet sich mit verschiedenen Datenquellen
- Bietet lokale Dienste einschließlich Web-Oberfläche, Berichterstattung und Identity-Graph-Visualisierung
- Bootstrappt lokal auf TCP-Port 22101 (On-Prem)
SaaS-Kunden
Für SaaS-Kunden bietet Hydden einen integrierten Client-Dienst an. Ein zusätzlicher Client-Dienst wird nur benötigt, um On-Premises- oder netzwerkisolierte Datenquellen anzubinden.
Plattformdienste
Serverdienste
Umfassende Suite von Diensten auf der Serverseite:
- Web Services: Benutzeroberfläche und API-Endpunkte
- Classifications: Datenkategorisierung und Tagging
- Configuration: Systemeinstellungsverwaltung
- Dashboard: Visualisierung und Überwachung
- Communications: Internes Nachrichtensystem
- Data Store: Persistente Speicherschicht
- Reporting: Analytik und Berichtserstellung
- Scheduler: Aufgabenplanung und Automatisierung
- Vault: Sichere Anmeldeinformationsspeicherung
- Identity Mapper: Identitätskorrelations-Engine
- Entity Mapper: Entitätsbeziehungs-Zuordnung
- Time Server: Zeitstempel-Synchronisierung
- Audit: Aktivitätsprotokollierung und Compliance-Tracking
- OpenAI Module: KI-gestützte Erkenntnisse und Automatisierung
- Notification: Alarm- und Benachrichtigungssystem
- Package Repository: Modul- und Update-Verwaltung
- Simple KV Store: Schlüssel-Wert-Speicher
- Stream: Echtzeit-Datenstreaming
- SNOW Action: ServiceNow-Integrationsaktionen
- SMTP Action: E-Mail-Benachrichtigungsaktionen
Client-Dienste
Auf der Client-Seite (On-Premises) verfügbare Dienste:
- Web Services: Lokale Web-Oberfläche
- Gateway: Sichere Kommunikationsbrücke
- Vault: Lokale Anmeldeinformationsverwaltung
Datenquellen-Collectors
Die Plattform unterstützt eine unbegrenzte Anzahl von Datenquellen-Integrationen über mehrere Kategorien, insbesondere über die Universal Collector-Datenquelle. Eine Liste der vollständig verifizierten Integrationen finden Sie unter Vollständige Integrationsreferenz oben:
Identitätssysteme (6)
Active Directory, AD Workstation, LDAP, Okta, SailPoint IIQ
Cloud-Plattformen (6)
AWS, Azure, Google Cloud, Google Workspace, AWS Key Vault, Azure Key Vault
Geschäftsanwendungen (7)
Salesforce, ServiceNow, GitHub, GitLab, Slack, Dayforce, Tableau
Privilegierter Zugriff & Vaults (4)
BeyondTrust, CyberArk, Keeper, StrongDM
Infrastruktur (6)
Linux Host, Linux Apache2, Windows Host, WindowsRm, VMware vSphere, PAN-OS
Container-Orchestrierung (2)
Kubernetes, Kubernetes Pods
Datenbanken (3)
SQL Server, PostgreSQL, AS/400
Sicherheit & Bedrohungsintelligenz (1)
Have I Been Pwned (HIBP)
Universal Collector (Benutzerdefiniert)
REST APIs, Database SQL, CSV/JSON-Dateien, Custom Scripts (sandboxed Python)
Netzwerkports & Konnektivität
Die folgende Tabelle listet die Standardports auf, die von Hydden-Collectors für die Kommunikation mit Datenquellen verwendet werden. Alle Ports können je nach Unterstützung der Datenquelle für benutzerdefinierte Ports angepasst werden.
Datenquellen-Ports
| Datenquellenkategorie | Port(s) | Protokoll / Hinweise |
|---|---|---|
| Web-/Cloud-Quellen (AWS, Azure, GCP, Okta, SaaS-Apps) | TCP 443 | HTTPS |
| Active Directory | TCP 3269/3268, 636/389 | Global Catalog (SSL/non-SSL), LDAPS/LDAP |
| LDAP | TCP 636/389 | LDAPS (SSL) / LDAP |
| Linux / SSH-Hosts | TCP 22 | SSH |
| Mainframe | TCP 22 | SSH |
| PostgreSQL | TCP 5432 | PostgreSQL Wire Protocol |
| SQL Server | TCP 1433 | TDS (SQL Server) |
| Kubernetes | TCP 6443 | Kubernetes API Server |
| Keeper | TCP 443 | HTTPS |
| Edge | TCP 443 | HTTPS |
| Value-Add-Integrationen (ServiceNow, BeyondTrust usw.) | TCP 443 | HTTPS |
| Universal Collector | Variiert | Ports abhängig von der Ziel-Datenquelle |
Plattformkommunikations-Ports
| Verbindung | Port(s) | Beschreibung |
|---|---|---|
| Client → Server (Gateway) | TCP 22103 (SMB Client) oder TCP 22104 (Message Broker Gateway) | Client-zu-Server-Kommunikationskanal |
| Client Bootstrap (On-Prem) | TCP 22101 | Lokaler Bootstrap für On-Premises-Client-Setup |
| Stream Broker | TCP 22100 | Echtzeit-Datenstreaming zwischen Client und Server |
| AI Layer | TCP 443 oder TCP 11434 (Ollama) | KI-Anbieter-Konnektivität (Cloud-APIs oder lokales Ollama) |
KI-Token-Anforderungen
Die KI-Layer-Konnektivität kann je nach KI-Anbieter ein separates API-Token-Guthaben erfordern.
SaaS-Allowlisting
Wenn Ihre Organisation IP-Allowlisting für Hydden SaaS benötigt, fügen Sie die folgenden öffentlichen IPs zu Ihren Firewall-Regeln hinzu:
| IP-Adresse | Identifikator |
|---|---|
57.151.59.226 | 50b2e38e-0fd3-45f6-a8ed-e5ace54d387e |
172.171.154.194 | kubernetes-a4ac63ffe385b4d648ba0214d896d3bb |
Kommunikationsfluss
- Server-Client-Kommunikation: Bidirektionale Verbindung zwischen Cloud-Server und On-Premises-Clients über TCP 22103 (SMB Client) oder TCP 22104 (Message Broker Gateway), mit TCP 22100 für Stream-Broker-Verkehr
- Dienstintegration: Broker nutzen verschiedene Dienste für Verarbeitung und Verwaltung
- Datenerfassung: Clients sammeln Daten von verbundenen Quellen unter Verwendung quellenspezifischer Ports (siehe Netzwerkports) und übertragen sie an Broker zur Verarbeitung
- KI-Verarbeitung: Server verbindet sich mit KI-Anbietern über TCP 443 (Cloud-LLMs) oder TCP 11434 (lokale Ollama-Instanzen)
- Verteilte Verarbeitung: Mehrere Clients können unabhängig arbeiten und gleichzeitig die Verbindung zum zentralen Server aufrechterhalten
Skalierbarkeit
Die Architektur unterstützt:
- Mehrere Server-Broker für Lastverteilung
- Mehrere Client-Broker für geografische Verteilung
- Mehrere Collector-Clients für breite Datenquellenabdeckung
- Flexible Bereitstellungsmodelle (Cloud-only, Hybrid oder On-Premises)