Sentinel nutzt nun ArcSight SmartConnectors, mit denen Sie Ihr Unternehmensnetzwerk besser überwachen können, indem Sie neben NetFlow-Daten auch IP-Flussdaten erfassen. SmartConnectors erfassen IP-Flussdaten als Ereignisse. Dies bietet folgende Vorteile:
Sie können vorhandene Collector Manager-Instanzen zum Erfassen von IP-Flussdaten verwenden. Sie benötigen keine NetFlow Collector Manager-Instanzen mehr zum Erfassen von NetFlow-Daten.
Sie können IP-Flussdaten in verschiedenen Bereichen von Sentinel nutzen, zum Beispiel in den Bereichen Ereignisgrafik, Ereignis-Routing, Datenverbund, Berichte und Korrelation.
Sie können Datenbeibehaltungsrichtlinien auf IP-Flussdaten anwenden und die Daten so für die gewünschte Dauer speichern.
Nach der Aufrüstung von Sentinel können Sie entweder weiterhin die NetFlow-Funktionen nutzen oder die Erfassung von IP-Flussdaten konfigurieren. Seitdem die Funktionen für die Erfassung von IP-Flussdaten und deren Anzeige in Ereignisgrafiken verfügbar ist, werden die früheren NetFlow-Funktionen einschließlich NetFlow-Ansichten jedoch als veraltet betrachtet und werden in Zukunft zur Verbesserung des Benutzererlebnisses entfernt.
Nachdem die Erfassung der IP-Flussdaten aktiviert ist, gilt Folgendes:
IP-Flussdaten werden als Ereignisse erfasst und daher im EPS-Wert berücksichtigt.
NetFlow-Daten, die vor dem Aktivieren der Erfassung von IP-Flussdaten erfasst wurden, gehen verloren. Das veraltete NetFlow-System bietet eine maximale Beibehaltungsdauer von 3 Tagen. Sie können die IP-Flussereignisse beliebig lange beibehalten.
NetFlow-Daten, die vor dem Aktivieren der Erfassung von IP-Flussdaten erfasst wurden, können nicht zur IP-Flussfunktion migriert werden.
Die einzige Möglichkeit, diese Konfiguration rückgängig zu machen, besteht in der Neuinstallation von Sentinel.
Sie werden von Sentinel Main abgemeldet und müssen sich neu anmelden.
So konfigurieren Sie die Erfassung von IP-Flussdaten:
Installieren und konfigurieren Sie ArcSight SmartConnector. Achten Sie bei der Konfiguration darauf, die relevanten SmartConnectors zum Erfassen von IP-Flussdaten zu konfigurieren.
Informationen über das Konfigurieren von SmartConnectors finden Sie in der Dokumentation zu Universal Common Event Format Collector auf der Website für Sentinel-Plugins.
Wählen Sie in Sentinel Main > Erfassung > IP-Fluss den Eintrag IP-Flussdaten erfassen aus und klicken Sie dann auf Aktivieren.
HINWEIS:Da IP-Flussereignisse jetzt an Collector Manager gesendet werden, benötigen Sie keine NetFlow Collector Manager-Instanzen mehr. Vorhandene NetFlow Collector Manager-Instanzen können Sie daher deinstallieren. Weitere Informationen finden Sie unter Deinstallieren von NetFlow Collector Manager.