Sentinelには、重大なイベントデータの検索と分析を簡単にする強力なツールのセットが用意されています。Sentinelは、あらゆるタイプの分析で効率が最大になるようにシステムを最適化し、あるタイプの分析から別のタイプの分析へのシームレスで簡単な移行方法を提供しています。
Sentinelでのイベントの調査は、ほぼリアルタイムのイベントビューで開始する場合がよくあります。さらに高度なツールも使用できますが、イベントビューにはフィルタされたイベントストリームとサマリチャートが一緒に表示されるため、イベントの傾向とイベントデータのシンプルで手早い分析や、特定のイベントの識別に使用できます。時間の経過と共に、相関からの出力など、特定のクラスのデータに合わせて調整したフィルタを構築できるようになります。イベントビューは、運用とセキュリティに関する全般的な方針を示すダッシュボードとして使用できます。
さらに、インタラクティブ検索を使用して、詳細なイベントの分析を実行できます。これにより、特定のユーザや特定のシステムによるアクティビティなど、特定のクエリに関連するデータをすばやく簡単に検索して見つけることができます。イベントデータをクリックしたり、左側の絞り込みウィンドウを使用すると、簡単に目的のイベントに焦点を絞ることができます。
多数のイベントを分析する場合でも、Sentinelのレポーティング機能にはイベントのレイアウトに対するカスタムコントロールが用意されているため、大量のデータを表示できます。Sentinelでは、検索インタフェースで構築したインタラクティブ検索をレポーティングテンプレートに移動できるため、この移行が簡単になります。これにより、多数のイベントにより適したフォーマットで同じデータを表示するレポートをすぐに作成できます。
Sentinelには、これを目的としたレポーティングテンプレートが多数含まれています。レポーティングテンプレートには、2つのタイプがあります。
特定のタイプの情報(認証データやユーザ作成など)の表示に合わせて微調整されたテンプレート。
レポート上のグループと列を対話的にカスタマイズできる汎用テンプレート。
時間の経過と共に、共通して使用するフィルタとレポートを開発して、ワークフローをより簡単にできます。Sentinelでは、この情報の保存と、組織内のユーザへの配布がサポートされています。詳細については、『 Sentinel User Guide』を参照してください。