Sentinelは、IT環境全体のセキュリティ情報とイベントを継続的に管理することで、完全なモニタリングソリューションを提供します。
Sentinelは次の処理を行います。
IT環境内のさまざまなソースからログ、イベント、およびセキュリティの情報を収集します。
収集したログ、イベント、およびセキュリティの情報を標準Sentinelフォーマットに正規化します。
柔軟でカスタマイズ可能なデータ保持ポリシーを使用して、ファイルベースのデータストレージまたはHadoopベースのスケーラブルストレージにイベントを格納します。
IPフローデータを収集し、ネットワークの動作を詳しく監視するのを支援します。
Sentinel Log Managerを含む複数のSentinelシステムを階層的にリンクする機能を提供します。
ローカルのSentinelサーバ上のイベントに加えて、世界中に分散しているSentinelサーバ上のイベントも検索できる機能を提供します。
統計分析を実行してベースラインを定義し、そのベースラインと発生中の事象を比較して、未知の問題が発生していないかどうかを判断します。
特定の期間の類似または比較可能なイベントのセットを相関させて、パターンを特定します。
対応管理および追跡を効率的に行うため、イベントをインシデントにまとめます。
リアルタイムおよび履歴イベントに基づいたレポートを提供します。
次の図は、データストレージオプションとして従来のストレージを使用する場合に、Sentinelがどのように機能するかを示しています。
図 2-1 Sentinelのアーキテクチャ
以下のセクションでは、Sentinelコンポーネントについて詳しく説明します。