2.0 Funktionsweise von Sentinel

Sentinel verwaltet kontinuierlich sicherheitsrelevante Informationen und Ereignisse in Ihrer IT-Umgebung und bietet so eine vollständige Überwachungslösung.

Sentinel führt folgende Aufgaben aus:

  • Erfassung von Protokoll-, Ereignis- und Sicherheitsinformationen aus den verschiedenen Quellen Ihrer IT-Umgebung

  • Konvertierung der erfassten Protokoll-, Ereignis- und Sicherheitsinformationen in ein Sentinel-Standardformat

  • Speicherung von Ereignissen in einem dateibasierten Datenspeicher oder einem skalierbaren Hadoop-basierten Speicher mit flexibel benutzerdefinierbaren Datenbeibehaltungsrichtlinien

  • Erfassen von IP-Flussdaten und Hilfe bei der detaillierten Überwachung der Netzwerkaktivitäten.

  • Fähigkeit zur hierarchischen Verknüpfung mehrerer Sentinel-Systeme, einschließlich Sentinel Log Manager

  • Suche nach Ereignissen auf dem lokalen sowie auch auf weltweit verteilten Sentinel-Servern

  • Durchführung statistischer Analysen zur Definition einer Baseline und Vergleich mit den aktuell einlaufenden Informationen, um verdeckte Probleme zu erkennen

  • Korrelation einer Gruppe ähnlicher oder vergleichbarer Ereignisse, die innerhalb eines bestimmten Zeitraums stattgefunden haben, um ein Muster zu erkennen

  • Einteilen von Ereignissen in Vorfälle, wodurch sich Response Management und Nachverfolgung effizienter gestalten

  • Berichterstellung auf Basis aktueller und alter Ereignisse

In der folgenden Abbildung ist dargestellt, wie Sentinel herkömmlichen Speicher zur Datenspeicherung nutzt:

Abbildung 2-1 Sentinel-Architektur

In den folgenden Abschnitten werden die Sentinel-Komponenten im Detail beschrieben: