Sentinel gestisce costantemente le informazioni e gli eventi relativi alla sicurezza, sfruttando l'ambiente IT dell'utente per fornire una soluzione di monitoraggio completa.
Le funzioni di Sentinel sono:
Raccolta di log, eventi e informazioni sulla sicurezza provenienti da tutte le diverse origini evento presenti nell'ambiente IT.
Standardizzazione in un unico formato Sentinel di log, eventi e informazioni sulla sicurezza.
Memorizzazione degli eventi in una memorizzazione dati basata su file o in una scalabile basata su Hadoop con policy di permanenza dei dati flessibili e personalizzabili.
Raccolta di dati del flusso IP per facilitare il monitoraggio dettagliato delle attività di rete.
Collegamento gerarchico di più sistemi Sentinel, incluso Sentinel Log Manager.
Ricerca di eventi nel server Sentinel locale, ma anche in ulteriori server Sentinel situati in altre parti del mondo.
Analisi statistica per definire una linea di base da mettere a confronto con quanto sta avvenendo, allo scopo di stabilire se esistono problemi che non sono stati ancora rilevati.
Correlazione di un gruppo di eventi simili o confrontabili in un determinato periodo al fine di stabilire uno schema.
Organizzazione degli eventi in incidenti ai fini della gestione delle risposte e del controllo.
Rapporti basati sugli eventi in tempo reale e su quelli presenti nella cronologia.
Nella figura seguente è illustrato il funzionamento di Sentinel con la memorizzazione tradizionale come opzione di memorizzazione dati:
Figura 2-1 Architettura di Sentinel
Nelle sezioni seguenti si descrivono dettagliatamente i componenti di Sentinel: