Sentinel gestiona de forma continua la información de seguridad y los eventos en todo el entorno de TI para ofrecer una solución de supervisión completa.
Sentinel hace lo siguiente:
Reúne registros, eventos e información de seguridad de todos los orígenes de eventos diferentes en su entorno de TI.
Normaliza los registros recopilados, eventos e información de seguridad en un formato común.
Almacena eventos en un almacén de datos basado en archivos con directivas de retención de datos personalizables.
Proporciona la posibilidad de vincular de forma jerárquica varios sistemas Sentinel, incluido Sentinel Log Manager.
Le permite buscar eventos no solo en su servidor local de Sentinel, sino también en otros servidores de Sentinel distribuidos en el mundo.
Realiza un análisis estático que le permite definir una línea de base y luego lo compara con lo que está ocurriendo para determinar si hay problemas no detectados.
Correlaciona un conjunto de eventos similares o comparables en un período dado para determinar un patrón.
Organiza eventos de incidentes para una gestión de la respuesta y seguimiento eficiente.
Ofrece informes basados en eventos en tiempo real e históricos.
La siguiente figura muestra cómo funciona Sentinel:
Figura 2-1 Arquitectura de Sentinel
En las siguientes secciones se describen detalladamente los componentes de Sentinel: