Guía de instalación y configuración de Sentinel

Guía de instalación y configuración de Sentinel

Conocer Sentinel

¿Qué es Sentinel?

Retos de proteger un entorno de TI

La solución que ofrece Sentinel

Cómo funciona Sentinel

Orígenes de eventos

Evento de Sentinel

Collector Manager

ArcSight SmartConnectors

Encaminamiento y almacenamiento de datos de Sentinel

Visualizaciones de eventos

Correlación

Inteligencia de seguridad

Solución de incidencias

Flujos de trabajo de iTRAC

Acciones e integradores

Búsqueda

Informes

Seguimiento de identidad

Análisis de eventos

Planificación de su instalación de Sentinel

Lista de verificación de implementación

Información sobre licencias

Licencias de Sentinel

Cumplimiento de los requisitos del sistema

Requisitos del sistema para conectores y recopiladores

Entorno virtual

Consideraciones de implantación

Consideraciones de almacenamiento de datos

Ventajas de las implantaciones distribuidas

Implantación "todo en uno"

Implantación distribuida de un nivel

Implantación distribuida de un nivel con alta disponibilidad

Implantación distribuida de dos y tres niveles

Implantación de tres niveles con almacenamiento ampliable

Consideraciones sobre implantación para el modo FIPS 140-2

Implementación de FIPS en Sentinel

Componentes habilitados para FIPS en Sentinel

Conexiones de datos afectadas por el modo FIPS

Lista de verificación de implementación

Entornos de implantación

Puertos utilizados

Puertos del servidor Sentinel

Puertos de Collector Manager

Puertos de Correlation Engine

Puertos de almacenamiento ampliable

Opciones de instalación

Instalación tradicional

Instalación del dispositivo

Instalación de Sentinel

Descripción general de la instalación

Lista de verificación de instalación

Instalación y configuración de Elasticsearch

Requisitos previos

Instalación y configuración de Elasticsearch

Protección de datos en Elasticsearch

Ajuste del rendimiento para Elasticsearch

Nueva implantación del módulo auxiliar (plug-in) de Elasticsearch

Instalación y configuración del almacenamiento ampliable

Instalación y configuración de CDH

Habilitación del almacenamiento ampliable

Instalación tradicional

Realización de una instalación interactiva

Instalación silenciosa

Instalación de Sentinel como usuario diferente de root

Instalación del dispositivo

Requisitos previos

Instalación del dispositivo ISO de Sentinel

Instalación del dispositivo OVF de Sentinel

Configuración del dispositivo posterior a la instalación

Instalación de conectores y recopiladores adicionales

Instalación de un recopilador

Instalación de un conector

Verificación de la instalación

Configuración de Sentinel

Configuración de la hora

Comprender el tiempo en Sentinel

Configuración de la hora en Sentinel

Configuración del límite de tiempo de demora para los eventos

Cómo manejar las zonas horarias

Protección de datos en Elasticsearch

Habilitación de la visualización de eventos

Requisitos previos

Habilitación de la visualización de eventos

Modificación de la configuración después de la instalación

Configuración de módulos auxiliares (plug-ins) genéricos

Visualización de módulos auxiliares (plug-ins) preinstalados

Configuración de la recopilación de datos

Configuración de paquetes de soluciones

Configuración de acciones e integradores

Habilitar el modo FIPS 140-2 en una instalación de Sentinel existente

Habilitar el servidor Sentinel para su ejecución en modo FIPS 140-2

Habilitar el modo FIPS 140-2 en las instancias remotas de Collector Manager y Correlation Engine

Funcionamiento de Sentinel en el modo FIPS 140-2

Configuración del servicio Asesor en modo FIPS 140-2

Configuración de búsqueda distribuida en modo FIPS 140-2

Configuración de autenticación de LDAP en el modo FIPS 140-2

Actualización de certificados del servidor en instancias remotas de Collector Manager y Correlation Engine

Configuración de módulos auxiliares (plug-ins) de Sentinel para la ejecución en modo FIPS 140-2

Importación de certificados en la base de datos del almacén de claves de FIPS

Reversión de Sentinel al modo diferente de FIPS

Adición de una portada de consentimiento

Actualización de Sentinel

Lista de verificación de implementación

Requisitos previos

Cómo guardar la información de configuración personalizada

Ampliación del periodo de retención para datos de asociaciones de eventos

Configuración de SSDM previa a la actualización

Integración de Change Guardian

Actualización de la instalación tradicional de Sentinel

Actualización de Sentinel

Actualización de Sentinel como usuario diferente de root

Actualización de Collector Manager o Correlation Engine

Actualización del sistema operativo

Actualización del dispositivo Sentinel

Actualización de Sentinel

Actualización del sistema operativo

Configuraciones posteriores a la actualización

Protección de datos en Elasticsearch

Configuración de visualizaciones de eventos

Configuración de la recopilación de datos de flujo IP

Configuración posterior a la actualización de Sentinel Scalable Data Manager

Adición del controlador JDBC DB2

Configuración de las propiedades de federación de datos en la aplicación Sentinel

Registro del dispositivo Sentinel para recibir actualizaciones

Actualización de bases de datos externas para la sincronización de datos

Nueva autenticación de Sentinel en modo de autenticación múltiple

Actualización de módulos auxiliares (plug-in) de Sentinel

Migración de datos desde el almacenamiento tradicional

Migración de datos al almacenamiento ampliable

Datos que puede migrar

Migración de datos de configuración

Migración de datos de eventos y datos en bruto

Datos de NetFlow y alertas de migración

Actualización de clientes de Sentinel

Importación de la configuración de ESM

Migración de datos a Elasticsearch

Migración de datos

Implantación de Sentinel para alta disponibilidad

Conceptos

Sistemas externos

Almacenamiento compartido

Supervisión de servicios

Fencing

Requisitos del sistema

Instalación y configuración

Configuración de almacenamiento compartido

Instalación de Sentinel

Instalación del clúster

Configuración del clúster

Configuración de recursos

Configuración de almacenamiento secundario

Configuración de la función de alta disponibilidad (HA) de Sentinel como SSDM

Actualización de Sentinel con alta disponibilidad (HA)

Requisitos previos

Actualización de una instalación tradicional de HA de Sentinel

Actualización de una instalación de dispositivo HA de Sentinel

Recuperación de datos y copias de seguridad

Copia de seguridad

Solución de problemas

La instalación falló debido a una configuración de red incorrecta

El UUID no se crea para instancias de Correlation Engine o Collector Manager con imagen.

La interfaz principal de Sentinel está en blanco en Internet Explorer después de entrar a la sesión

Sentinel no se lanza en Internet Explorer 11 en Windows Server 2012 R2

Sentinel no puede ejecutar informes locales con una licencia EPS por defecto

Es necesario iniciar manualmente la sincronización en la configuración de alta disponibilidad de Sentinel después de convertir el nodo activo al modo FIPS 140-2

La interfaz principal de Sentinel muestra una página en blanco tras la conversión a Sentinel Scalable Data Manager

Falta el panel Campos de evento en la página Programación cuando se editan algunas búsquedas guardas

Sentinel no devuelve ningún evento correlacionado cuando se buscan eventos para la regla implantada con la búsqueda de número de activaciones por defecto

La consola de inteligencia de seguridad muestra una duración de línea de base no válida al regenerar una línea de base

El servidor Sentinel se apaga al ejecutar una búsqueda si hay muchos eventos en una sola partición

Error al utilizar el guion report_dev_setup.sh para configurar los puertos de Sentinel para excepciones de cortafuegos en las instalaciones actualizadas de dispositivos Sentinel

Desinstalación

Lista de verificación de desinstalación

Desinstalación de Sentinel

Tareas posteriores a la desinstalación

Información legal