Sentinelは、デバイスから情報を受信し、この情報をイベントと呼ばれる構造に正規化し、そのイベントを分類してから処理用に送信します。
イベントとは、サードパーティのセキュリティデバイスや、ネットワーク、アプリケーションデバイス、あるいは内部のSentinelソースからSentinelに報告された、正規化されたログレコードです。イベントにはいくつかのタイプがあります。
次のような外部イベント(セキュリティデバイスから受信したイベント)
侵入検知システム(IDS)が検出した攻撃
オペレーティングシステムによって報告された、正常なログイン
ユーザによるファイルへのアクセスなど、顧客が定義した状況
次を含む内部イベント(Sentinelによって生成されたイベント)
無効化されている相関ルール
データベースの空きがなくなる
Sentinelは、カテゴリ情報(taxonomy)をイベントに追加します。これにより、異なる方法でイベントをレポートするシステム全体でイベントを容易に比較できます。イベントは、リアルタイム表示、Correlation Engine、ダッシュボード、およびバックエンドサーバによって処理されます。
1つのイベントは、200を超えるフィールドで構成されます。イベントフィールドの種類と目的はさまざまです。重大度、深刻性、宛先IPアドレス、宛先ポートなど、定義済みのフィールドがいくつかあります。
設定可能なフィールドのセットが2つあります。
予約済みフィールド: 将来の機能拡張を可能にするために、Sentinel内部で使用します。
カスタマフィールド: カスタマイズのために、お客様が使用します。
フィールドのソースは、外部または参照のどちらかになります。
外部フィールドの値は、デバイスまたは対応するコレクタにより明示的に設定されます。たとえば、イベントの宛先IPアドレスとして指定されているアセットを含む建物の建物コードになるようフィールドを定義できます。
参照フィールドの値は、マッピングサービスを使用して1つ以上の他のフィールドに応じて計算されます。たとえば、イベントから得られる宛先IPアドレスを使用して定義したマップを使用するマッピングサービスでフィールドを計算することができます。
マッピングサービスにより、ビジネス関連のデータがシステム全体に伝播されます。このデータは、参照情報によってイベントを補足できます。
ソースデバイスからの着信イベントにホストや識別情報などの情報を追加するマップを使用することで、イベントデータを補足できます。Sentinelは、高度な相関とレポーティングに、この追加情報を使用できます。Sentinelは、複数の組み込みマップに加えて、カスタマイズされたユーザ定義のマップもサポートします。
Sentinelで定義されるマップは2つの方法で格納されます。
組み込みマップは、データベースに格納され、内部で更新されて、自動的にマッピングサービスにエクスポートされます。
カスタムマップは、CSVファイルとして格納され、ファイルシステム上または[マップデータの環境設定]ユーザインタフェースを使用して更新され、マッピングサービスによってロードされます。
いずれの場合も、CSVファイルは中核となるSentinelサーバに保存されますが、マップへの変更は、各Collector Managerに分散され、ローカルに適用されます。この分散処理で、マッピング動作によるメインサーバのオーバーロードを防止できます。
マップサービスにはダイナミック更新モデルが採用されており、ある場所から別の場所にマップをストリーミングして、ダイナミックメモリ内に大きなスタティックマップが蓄積されないようにしています。これは、システムの一時的な負荷によって低下せず、安定して予測可能な素早いデータ移動を必要とする、Sentinelのようなミッションクリティカルなリアルタイムシステムにとって重要なことです。
Sentinelは、イベントデータ署名と脆弱性スキャナデータを相互参照する機能を提供します。脆弱なシステムに対してエクスプロイトが試行されると、即座にSentinelは、自動的にユーザへ通知を送信します。Sentinelは、次の機能を使用して、これを実現しています。
アドバイザのフィード
侵入検出
脆弱性スキャン
ファイアウォール
Advisorフィードには、脆弱性と脅威、さらにイベント署名と脆弱性プラグインの正規化に関する情報が含まれます。Advisorは、イベントデータ署名と脆弱性スキャナデータとの相互参照を提供します。Advisorフィードの詳細については、『 Sentinel Administration Guide
』の「Detecting Vulnerabilities and Exploits」を参照してください。