Sentinel recibe información de los dispositivos, normaliza esta información en una estructura denominada evento, clasifica el evento y lo envía para ser procesado. Al añadir la información de categoría (taxonomía) a los eventos, estos pueden compararse más fácilmente entre los sistemas que notifican los eventos de manera diferente. Por ejemplo, fallos de autenticación. Los eventos se procesan mediante visualización en tiempo real, el motor de correlación, consolas y el servidor backend.
Un evento está formado por más de 200 campos. Los campos de evento son de diferentes tipos y sirven para diferentes fines. Existen algunos campos predefinidos como gravedad, importancia, IP de destino y puerto de destino. Existen dos conjuntos de campos configurables: campos reservados para el uso interno de Sentinel para permitir la expansión futura y campos del cliente para extensiones de clientes.
Los campos pueden determinarse de nuevo renombrándolos. El origen de un campo puede ser externo, lo que significa que es definido explícitamente por el dispositivo o el recopilador correspondiente, o referencial. El valor de un campo referencial se calcula como una función de uno o más campos utilizando el servicio de asignación. Por ejemplo, puede definirse un campo para que sea el código de generación para la asignación que contiene el activo mencionado como la IP de destino de un evento. Por ejemplo, el servicio de asignación puede calcular un campo utilizando una asignación definida por el cliente mediante una IP de destino desde el evento.
El servicio de asignación permite un mecanismo sofisticado para propagar los datos de relevancia empresarial en el sistema. Estos datos pueden enriquecer los eventos con información de referencia que proporcionará el contexto que permita a los analistas tomar mejores decisiones, redactar informes más útiles y crear reglas de correlación bien fundadas.
Puede enriquecer los datos de eventos utilizando asignaciones para añadir información adicional como el host y los datos de identidad a los eventos entrantes de los dispositivos de origen. Esta información adicional puede utilizarse para fines de correlación y generación de informes avanzados. El sistema admite varias asignaciones incorporadas además de asignaciones definidas por el usuario personalizadas.
Las asignaciones definidas en Sentinel se almacenan de dos formas diferentes:
Las asignaciones incorporadas se almacenan en la base de datos, se actualizan utilizando APIs en código del recopilador y se exportan automáticamente al servicio de asignación.
Las asignaciones personalizadas se almacenan en archivos CSV y se pueden actualizar en el sistema de archivos o a través de la interfaz del usuario de Configuración de los datos de la asignación, y luego los carga el Servicio de asignación.
En ambos casos, los archivos CSV se guardan en el servidor Sentinel central, pero los cambios en las asignaciones se distribuyen a cada gestor de recopiladores y se aplican a nivel local. Este procesamiento distribuido garantiza que la actividad de asignación no sobrecargue el servidor principal.
El servicio de asignación emplea un modelo de actualización dinámico y reproduce las asignaciones de un punto a otro, evitando la creación de grandes asignaciones estáticas en la memoria dinámica. El valor de esta función de emisión es particularmente importante en un sistema en tiempo real esencial como Sentinel donde debe haber un movimiento seguro, predictivo y ágil de independencia de datos de alguna carga transitoria en el sistema.
Sentinel ofrece la capacidad de contrastar las firmas de datos de eventos con los datos del escáner de vulnerabilidad. Los usuarios son notificados automática e inmediatamente cuando un ataque intenta explotar un sistema vulnerable. Esto se realiza mediante:
Datos del asesor
Detección de intrusiones
Exploración de vulnerabilidades
Cortafuegos
El asesor proporciona una referencia cruzada entre firmas de datos de eventos y datos del escáner de vulnerabilidad. Los datos del asesor contienen información sobre vulnerabilidades y amenazas así como una normalización de las firmas de eventos y los módulos auxiliares (plug-in) de vulnerabilidad. Para más información sobre el asesor, visite Cómo configurar el asesor
en la Guía de administración de NetIQ Sentinel 7.1 .