Guida all'installazione e alla configurazione di Sentinel

Guida all'installazione e alla configurazione di Sentinel

Informazioni su Sentinel

Cos'è Sentinel?

Sfide da affrontare per rendere sicuro l'ambiente IT

La soluzione Sentinel

Le funzioni di Sentinel

Origini degli eventi

Evento Sentinel

Collector Manager

ArcSight SmartConnectors

Instradamento e memorizzazione dei dati in Sentinel

Visualizzazioni degli eventi

Correlazione

Security Intelligence

Contromisure per incidenti

Azioni e integratori

Esecuzione di ricerche

Rapporti

Controllo delle identità

Pianificazione dell'installazione di Sentinel

Elenco di controllo per l'implementazione

Informazioni sulla licenza

Licenze di Sentinel

Requisiti di sistema

Requisiti di sistema relativi al connettore e al servizio di raccolta

Ambiente virtuale

Considerazioni sull'installazione

Considerazioni sulla memorizzazione dei dati

Vantaggi delle installazioni distribuite

Installazione all-in-one

Installazione distribuita a un livello

Installazione distribuita a un livello con alta disponibilità

Installazione distribuita a due e tre livelli

Installazione su tre livelli con memorizzazione scalabile

Considerazione sull'installazione per la modalità FIPS140-2

Implementazione di FIPS in Sentinel

Componenti di Sentinel che supportano FIPS

Connessioni dati interessate dalla modalità FIPS

Elenco di controllo per l'implementazione

Scenari di distribuzione

Porte utilizzate

Porte del server Sentinel

Porte di Collector Manager

Porte di Correlation Engine

Porte della memorizzazione scalabile

Opzioni di installazione

Installazione tradizionale

Installazione in modalità applicazione

Installazione di Sentinel

Panoramica relativa all'installazione

Elenco di controllo per l'installazione

Installazione e configurazione di Elasticsearch

Prerequisiti

Installazione e configurazione di Elasticsearch

Sicurezza dei dati in Elasticsearch

Ottimizzazione delle prestazioni di Elasticsearch

Reinstallazione del plug-in di sicurezza per Elasticsearch

Installazione e configurazione della memorizzazione scalabile

Installazione e configurazione di CDH

Abilitazione della memorizzazione scalabile

Installazione tradizionale

Installazione interattiva

Installazione in modalità automatica

Installazione di Sentinel come utente non root

Installazione in modalità applicazione

Prerequisiti

Installazione dell'applicazione Sentinel ISO

Installazione dell'applicazione Sentinel OVF

Configurazione dell'applicazione successiva all'installazione

Installazione di servizi di raccolta e connettori aggiuntivi

Installazione di un servizio di raccolta

Installazione di un connettore

Verifica dell'installazione

Configurazione di Sentinel

Orario di configurazione

L'orario in Sentinel

Configurazione dell'orario in Sentinel

Configurazione della soglia di ritardo degli eventi

Gestione dei fusi orari

Sicurezza dei dati in Elasticsearch

Abilitazione della visualizzazione degli eventi

Prerequisito

Abilitazione della visualizzazione degli eventi

Modificare la configurazione dopo l'installazione

Configurazione dei plug-in pronti all'uso

Visualizzazione dei plug-in preinstallati

Configurazione della raccolta di dati

Configurazione dei pacchetti soluzione

Configurazione di azioni e integratori

Abilitazione della modalità FIPS 140-2 in un'installazione esistente di Sentinel

Abilitazione dell'esecuzione in modalità FIPS 140-2 nel server Sentinel

Abilitazione della modalità FIPS 140-2 in istanze remote di Collector Manager e di Correlation Engine

Esecuzione di Sentinel in modalità FIPS 140-2

Configurazione del servizio Advisor in modalità FIPS 140-2

Configurazione della ricerca distribuita in modalità FIPS 140-2

Configurazione dell'autenticazione LDAP in modalità FIPS 140-2

Aggiornamento dei certificati del server nelle istanze remote di Collector Manager e di Correlation Engine

Configurazione dei plug-in di Sentinel per l'esecuzione in modalità FIPS 140-2

Importazione di certificati nel database di archivio chiavi FIPS

Ripristino di Sentinel nella modalità non FIPS

Aggiunta di un'intestazione di consenso

Esecuzione dell'upgrade di Sentinel

Elenco di controllo per l'implementazione

Salvataggio delle informazioni sulla configurazione personalizzata

Estensione del periodo di permanenza per i dati delle associazioni dell'evento

Configurazione pre-upgrade per SSDM

Integrazione di Change Guardian

Upgrade dell'installazione tradizionale di Sentinel

Esecuzione dell'upgrade di Sentinel

Upgrade di Sentinel come utente non root

Upgrade di Collector Manager o di Correlation Engine

Upgrade del sistema operativo

Esecuzione dell'upgrade dell'applicazione Sentinel

Esecuzione dell'upgrade di Sentinel

Upgrade del sistema operativo

Configurazioni di post-upgrade

Sicurezza dei dati in Elasticsearch

Configurazione delle visualizzazioni degli eventi

Configurazione della raccolta dati del flusso IP

Configurazione di post-upgrade per la gestione scalabile dei dati di Sentinel

Aggiunta del driver JDBC DB2

Configurazione delle proprietà della federazione dati nell'applicazione Sentinel

Registrazione dell'applicazione Sentinel per gli aggiornamenti

Aggiornamento dei database esterni per la sincronizzazione dei dati

Riautenticazione di Sentinel in modalità di autenticazione multifattori

Esecuzione dell'upgrade dei plug-in di Sentinel

Migrazione dei dati dalla memorizzazione tradizionale

Migrazione dei dati nella memorizzazione scalabile

Dati di cui è possibile eseguire la migrazione

Migrazione dei dati di configurazione

Migrazione di dati evento e dati non elaborati

Migrazione dei dati degli avvisi e di NetFlow

Aggiornamento dei client Sentinel

Importazione della configurazione ESM

Migrazione dei dati in Elasticsearch

Migrazione dei dati

Installazione di Sentinel per alta disponibilità

Concetti

Sistemi esterni

Memorizzazione condivisa

Monitoraggio dei servizi

Fencing

Requisiti di sistema

Installazione e configurazione

Configurazione iniziale

Configurazione della memorizzazione condivisa

Installazione di Sentinel

Installazione del cluster

Configurazione del cluster

Configurazione delle risorse

Configurazione della memorizzazione secondaria

Configurazione di Sentinel ad alta disponibilità come SSDM

Upgrade di Sentinel in configurazione ad alta disponibilità

Prerequisiti

Esecuzione dell'upgrade di un'installazione tradizionale ad alta disponibilità di Sentinel

Esecuzione dell'upgrade di un'installazione in modalità applicazione ad alta disponibilità di Sentinel

backup e recupero d'emergenza

Backup

PlateSpin

Soluzione dei problemi

Installazione non riuscita a causa di una configurazione della rete non corretta

Non viene creato l'UUID per le istanze di Collector Manager e Correlation Engine

Dopo aver eseguito il login l'interfaccia principale di Sentinel appare vuota in Internet Explorer

Sentinel non si avvia in Internet Explorer 11 con Windows Server 2012 R2

Impossibile eseguire i rapporti locali con la licenza EPS di default

Dopo la conversione del nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, è necessario avviare manualmente la sincronizzazione

Nell'interfaccia principale di Sentinel appare una pagina vuota dopo la conversione a Sentinel Scalable Data Manager

Nella pagina della pianificazione non viene visualizzato il pannello Campi evento quando si modifica una ricerca salvata

Sentinel non restituisce alcun evento correlato quando si effettua la ricerca di eventi relativi alla regola installata utilizzando la ricerca Totale attivazioni di default

Nel dashboard di Security Intelligence viene visualizzata una durata non valida quando si rigenera la linea di base

Il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione quando si effetua una ricerca

Errore dello script report_dev_setup.sh quando si configurano le porte di Sentinel per le eccezioni del firewall nelle installazioni di upgrade dell'applicazione Sentinel

Disinstallazione

Elenco di controllo per la disinstallazione

Disinstallazione di Sentinel

Task successivi alla disinstallazione