Sentinel verwaltet kontinuierlich sicherheitsrelevante Informationen und Ereignisse in Ihrer IT-Umgebung und bietet so eine vollständige Überwachungslösung.
Sentinel führt folgende Aufgaben aus:
Erfassung von Protokoll-, Ereignis- und Sicherheitsinformationen aus den verschiedenen Quellen Ihrer IT-Umgebung
Konvertierung der erfassten Protokoll-, Ereignis- und Sicherheitsinformationen in ein Sentinel-Standardformat
Speicherung von Ereignissen in einem dateibasierten Datenspeicher oder einem skalierbaren Hadoop-basierten Speicher mit flexibel benutzerdefinierbaren Datenbeibehaltungsrichtlinien
Erfassen von IP-Flussdaten und Hilfe bei der detaillierten Überwachung der Netzwerkaktivitäten.
Fähigkeit zur hierarchischen Verknüpfung mehrerer Sentinel-Systeme, einschließlich Sentinel Log Manager
Suche nach Ereignissen auf dem lokalen sowie auch auf weltweit verteilten Sentinel-Servern
Durchführung statistischer Analysen zur Definition einer Baseline und Vergleich mit den aktuell einlaufenden Informationen, um verdeckte Probleme zu erkennen
Korrelation einer Gruppe ähnlicher oder vergleichbarer Ereignisse, die innerhalb eines bestimmten Zeitraums stattgefunden haben, um ein Muster zu erkennen
Einteilen von Ereignissen in Vorfälle, wodurch sich Response Management und Nachverfolgung effizienter gestalten
Berichterstellung auf Basis aktueller und alter Ereignisse
In der folgenden Abbildung ist dargestellt, wie Sentinel herkömmlichen Speicher zur Datenspeicherung nutzt:
Abbildung 2-1 Sentinel-Architektur
In den folgenden Abschnitten werden die Sentinel-Komponenten im Detail beschrieben: