6.7 Implantación de tres niveles con almacenamiento ampliable

Para atender a las necesidades de procesamiento de datos y almacenamiento de datos de gran tamaño cuando no desea distribuir los eventos a través de varios servidores de Sentinel y duplicar los valores de configuración en varias instancias, puede configurar una implantación distribuida de tres niveles con almacenamiento ampliable. Esta implantación permite almacenar y gestionar datos de gran tamaño mediante el uso de un solo servidor de Sentinel con almacenamiento ampliable, en lugar de utilizar varios servidores de Sentinel.

Puede configurar un servidor Sentinel nuevo con almacenamiento ampliable, o bien actualizar el servidor Sentinel existente para habilitar el almacenamiento ampliable.

Dependiendo de las funciones de Sentinel que desee utilizar, puede determinar cómo desea configurar la implementación de esta solución.

Figura 6-6 Distribución de tres niveles de almacenamiento ampliable

Esta implantación incluye los siguientes niveles:

  • Nivel de recopilación de datos: destinado a la recopilación de eventos de una amplia gama de orígenes de eventos. Opcionalmente, si desea conservar su configuración existente de recopilación de datos con el almacenamiento tradicional de Sentinel y aprovechar a la vez las capacidades de almacenamiento ampliable, puede reenviar los eventos que desee directamente del almacenamiento tradicional al almacenamiento ampliable utilizando el guión data_uploader.sh. Para obtener más información, consulte Sección 32.0, Migración de datos al almacenamiento ampliable.

  • Nivel de almacenamiento ampliable: destinado al almacenamiento, indexación y análisis de datos de gran tamaño. En este nivel, el servidor SSDM permite gestionar la correlación y recopilación de datos y ofrece otras funciones SSDM. Para utilizar las funciones de Sentinel no disponibles en SSDM, puede configurar el nivel tradicional de almacenamiento. También puede reenviar los datos recopilados a los otros sistemas de SIEM o habilitar otras herramientas de inteligencia empresarial para consultar los datos o realizar análisis directamente en la distribución Hadoop utilizando las API ampliamente compatibles Hadoop, Kafka, chispa y Elasticsearch APIs.

  • Nivel de almacenamiento tradicional: Para utilizar las funciones de Sentinel como inteligencia de seguridad, búsqueda convencional y generación de informes, debe instalar instancias independientes de Sentinel con almacenamiento tradicional. Puede configurar reglas de encaminamiento de eventos para reenviar los eventos que desee desde SSDM a Sentinel mediante el uso de Sentinel Link.

    También puede realizar búsquedas y generar informes utilizando cualquiera de los servidores de Sentinel en el nivel de almacenamiento tradicional. Opcionalmente, puede configurar un nivel de búsqueda independiente que proporciona un punto de acceso práctico para búsquedas y generación de informes a través de todos los servidores de Sentinel en el nivel de almacenamiento tradicional. Para buscar los eventos en el almacenamiento ampliable, utilice la opción de búsqueda en SSDM.

Para obtener más información acerca de la instalación y configuración del almacenamiento ampliable, consulte Sección 13.0, Instalación y configuración del almacenamiento ampliable.