Guide d'installation et de configuration de Sentinel

Guide d'installation et de configuration de Sentinel

Présentation de Sentinel

Qu'est-ce que Sentinel ?

Défis liés à la sécurisation d'un environnement informatique

Principe de la solution Sentinel

Fonctionnement de Sentinel

Sources d'événements

Événement Sentinel

Collector Manager

ArcSight SmartConnectors

Routage et stockage des données Sentinel

Visualisation des événements

Corrélation

Security Intelligence

Réparation d'incident

Workflows iTRAC

Opérations et intégrateurs

Recherches

Rapports

Suivi des identités

Analyse d'événements

Planification de votre installation Sentinel

Liste de contrôle pour la mise en œuvre

Présentation des informations de licence

Licences Sentinel

Configuration du système

Configuration système requise des connecteurs et des collecteurs

Environnement virtuel

Considérations sur le déploiement

Considérations relatives au stockage de données

Avantages des déploiements distribués

Déploiement tout-en-un

Déploiement distribué en un niveau

Déploiement distribué en un niveau avec haute disponibilité

Déploiement distribué en deux ou trois niveaux

Déploiement à trois niveaux à l'aide du stockage évolutif

Considérations sur le déploiement pour le mode FIPS140-2

Implémentation FIPS dans Sentinel

Composants compatibles FIPS dans Sentinel

Connexions de données affectées par le mode FIPS

Liste de contrôle pour la mise en œuvre

Scénarios de déploiement

Ports utilisés

Ports du serveur Sentinel

Ports Collector Manager

Ports Correlation Engine

Ports de stockage évolutif

Options d'installation

Installation traditionnelle

Installation de l'applicatif

Installation de Sentinel

Présentation générale de l'installation

Liste de contrôle de l'installation

Installation et configuration d'Elasticsearch

Conditions préalables

Installation et configuration d'Elasticsearch

Sécurisation des données dans Elasticsearch

Réglage des performances pour Elasticsearch

Redéploiement du plug-in de sécurité Elasticsearch

Installation et configuration du stockage évolutif

Installation et configuration de CDH

Activation du stockage évolutif

Installation traditionnelle

Installation interactive

Installation silencieuse

Installation de Sentinel en tant qu'utilisateur non-root

Installation de l'applicatif

Conditions préalables

Installation de l'applicatif ISO Sentinel

Installation de l'applicatif OVF Sentinel

Configuration post-installation de l'applicatif

Installation de collecteurs et de connecteurs supplémentaires

Installation d'un collecteur

Installation d'un connecteur

Vérification de l'installation

Configuration de Sentinel

Configuration de l'heure

Présentation de l'heure dans Sentinel

Configuration de l'heure dans Sentinel

Configuration de la limite de délai pour les événements

Gestion des fuseaux horaires

Sécurisation des données dans Elasticsearch

Activation de la visualisation des événements

Conditions préalables

Activation de la visualisation des événements

Modification de la configuration après l'installation

Configuration des plug-ins prêts à l'emploi

Consultation des plug-ins préinstallés

Configuration de la collecte des données

Configuration des Solution Packs

Configuration d'opérations et d'intégrateurs

Activation du mode FIPS 140-2 dans une installation Sentinel existante

Activation du serveur Sentinel pour une exécution en mode FIPS 140-2

Activation du mode FIPS 140-2 sur des instances Collector Manager et Correlation Engine distantes

Fonctionnement de Sentinel en mode FIPS 140-2

Configuration du service Advisor en mode FIPS 140-2

Configuration de la recherche distribuée en mode FIPS 140-2

Configuration de l'authentification LDAP en mode FIPS 140-2

Mise à jour des certificats de serveur dans les instances Collector Manager et Correlation Engine distantes

Configuration des plug-ins Sentinel pour une exécution en mode FIPS 140-2.

Importation de certificats dans une base de données keystore FIPS

Rétablissement de Sentinel en mode non-FIPS

Ajout d'une bannière de consentement

Mise à niveau de Sentinel

Liste de contrôle pour la mise en œuvre

Conditions préalables

Enregistrement des informations de configuration personnalisées

Période de conservation étendue des données d'association des événements

Configuration préalable à la mise à niveau pour SSDM

Intégration à Change Guardian

Mise à niveau de l'installation traditionnelle de Sentinel

Mise à niveau de Sentinel

Mise à niveau de Sentinel en tant qu'utilisateur non-root

Mise à niveau de Collector Manager ou Correlation Engine

Mise à niveau du système d'exploitation

Mise à niveau de l'applicatif Sentinel

Mise à niveau de Sentinel

Mise à niveau du système d'exploitation

Configurations après mise à niveau

Sécurisation des données dans Elasticsearch

Configuration de visualisations d'événements

Configuration de la collecte de données de flux IP

Configuration du gestionnaire de données évolutif de Sentinel après la mise à niveau

Ajout du pilote JDBC DB2

Configuration des propriétés de fédération de données dans l'applicatif Sentinel

Enregistrement de l'applicatif Sentinel pour les mises à jour

Mise à jour des bases de données externes pour la synchronisation des données

Réauthentification de Sentinel en mode d'authentification multi-critères (AMC)

Mise à niveau des plug-ins Sentinel

Migration de données à partir du stockage traditionnel

Migration de données vers un stockage évolutif

Données migrables

Migration des données de configuration

Migration des données d'événements et des données brutes

Migration des alertes et des données NetFlow

Mise à jour des clients Sentinel

Importation de la configuration ESM

Migration de données vers Elasticsearch

Migration des données

Déploiement de Sentinel pour une haute disponibilité

Concepts

Systèmes externes

Stockage partagé

Surveillance des services

Fencing (Isolement)

Configuration système requise

Installation et configuration

Configuration initiale

Configuration de l'espace de stockage partagé

Installation de Sentinel

Installation de clusters

Configuration du cluster

Configuration des ressources

Configuration du stockage secondaire

Configuration de Sentinel HA en tant que SSDM

Mise à niveau de Sentinel dans une configuration à haute disponibilité

Conditions préalables

Mise à niveau d'une installation Sentinel HA traditionnelle

Mise à niveau d'une installation d'applicatif Sentinel HA

Sauvegarde et récupération

Sauvegarde

Échec de l'installation en raison d'une configuration réseau incorrecte

L'UUID n'est pas créé pour instances Collector Manager avec création d'image ou Correlation Engine

Après la connexion, l'interface principale de Sentinel est vide dans Internet Explorer

Sentinel ne se lance pas dans Internet Explorer 11 sous Windows Server 2012 R2

Sentinel ne peut pas exécuter de rapports locaux avec une licence EPS standard

La synchronisation doit être démarrée manuellement dans Sentinel High Availability après avoir converti le noeud actif en mode FIPS 140-2

L'interface principale de Sentinel affiche une page vide après la conversion vers SSDM

Le panneau Champs d'événement est manquant dans la page de planification lors de l'édition de certaines recherches sauvegardées

Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez des événements pour la règle déployée avec la recherche du nombre de déclenchements par défaut

Le tableau de bord Security Intelligence affiche une durée de ligne de base incorrecte lors de la regénération d'une ligne de base

Le serveur Sentinel s'arrête lors de l'exécution d'une recherche si de nombreux événements figurent dans une seule partition

Erreur lors de l'utilisation du script report_dev_setup.sh dans la configuration des ports Sentinel pour les exceptions de pare-feu sur les installations d'applicatifs de Sentinel mises à niveau

Désinstallation

Liste de contrôle pour la désinstallation

Désinstallation de Sentinel

Tâches ultérieures à la désinstallation

Mentions légales