18.1 Zeit in Sentinel

Sentinel ist ein verteiltes System, das aus verschiedenen Prozessen besteht, die im Netzwerk verteilt sind. Zudem kann es durch die Ereignisquelle zu einer gewissen Verzögerung kommen. Aus diesem Grund ordnen die Sentinel-Vorgänge die Ereignisse vor der Verarbeitung nach der Uhrzeit neu an.

Jedes Ereignis verfügt über drei Zeitfelder:

  • Ereigniszeit: Dies ist die Ereigniszeit, die von allen Analyse-Engines, Suchen, Berichten usw. verwendet wird.

  • Sentinel-Verarbeitungszeit: Die Zeit, zu der Sentinel die Daten vom Gerät erfasst hat. Sie wird von der Zeit des Collector Manager-Systems bestimmt.

  • Observer-Ereigniszeit: Der Zeitstempel, den das Gerät den Daten zugewiesen hat. Diese Angabe ist nicht immer ein verlässlicher Zeitstempel und kann erheblich von der Sentinel-Verarbeitungszeit abweichen. Dies ist beispielsweise der Fall, wenn das Gerät Daten gesammelt liefert.

Die folgende Abbildung zeigt dieses Vorgehen in einem Sentinel-System mit herkömmlichem Speicher:

Abbildung 18-1 Sentinel-Zeit

  1. Standardmäßig wird die Ereigniszeit auf die Sentinel-Verarbeitungszeit festgelegt. Im Idealfall stimmt jedoch die Ereigniszeit mit der Observer-Ereigniszeit überein, wenn diese verfügbar und zuverlässig ist. Wenn die Gerätezeit verfügbar und genau ist und vom Collector richtig analysiert wird, ist es am besten, die Datenerfassung mit verbürgter Ereignisquellenzeit zu konfigurieren. Der Collector stimmt die Ereigniszeit mit der Observer-Ereigniszeit ab.

  2. Ereignisse mit einer Ereigniszeit, die um weniger als 5 Minuten von der Serverzeit abweicht, werden normal von „Event Views“ (Ereignisansichten) verarbeitet. Ereignisse, deren Ereigniszeit mehr als 5 Minuten in der Zukunft liegen, werden in den „Event Views“ (Ereignisansichten) nicht angezeigt, sondern in den Ereignisspeicher eingefügt. Ereignisse, deren Ereigniszeit über 5 Minuten in der Zukunft oder weniger als 24 Stunden in der Vergangenheit liegt, werden in den Diagrammen angezeigt, jedoch nicht in den Ereignisdaten dieser Diagramme. Zum Abrufen dieser Ereignisse aus dem Ereignisspeicher ist eine Detailanalyse erforderlich.

  3. Die Ereignisse werden in 30-Sekunden-Intervallen sortiert, damit die Correlation Engine sie in chronologischer Reihenfolge verarbeiten kann. Liegt die Ereigniszeit mehr als 30 Sekunden vor der Serverzeit, verarbeitet die Correlation Engine das Ereignis nicht.

  4. Liegt die Ereigniszeit mehr als 5 Minuten vor der Collector Manager-Systemzeit, leitet Sentinel das Ereignis direkt an den Ereignisspeicher und umgeht dabei die Echtzeitsysteme wie Correlation Engine und Sicherheitsintelligenz.