SentinelではArcSight SmartConnectorを使用するようになりました。これは、NetFlowデータに加えて、IPフローデータを収集して、企業のネットワークを監視するのに役立ちます。SmartConnectorは、IPフローデータをイベントとして収集します。これにより、以下のことが可能になります。
既存のCollector Managerインスタンスを使用してIPフローデータを収集します。NetFlowデータを収集するためにNetFlow Collector Managerインスタンスが不要になります。
視覚化、イベントルーティング、データフェデレーション、レポート、および相関など、Sentinelのいくつかの領域でIPフローデータを利用します。
データ保持ポリシーをIPフローデータに適用します。これにより、必要な期間、このデータを保存できます。
Sentinelのアップグレード後、NetFlow機能の使用を継続するか、IPフローデータ収集を設定するか、そのどちらかを選択できます。しかし、IPフローデータ収集と視覚化機能が利用できるようになったことに伴い、NetFlowビューを含む、以前に利用可能であったNetFlow機能は非推奨になりました。将来、これは、ユーザエクスペリエンスを向上させるために削除される予定です。
IPフローデータ収集を有効にすると、次のようになります:
IPフローデータはイベントとして収集されるため、EPSカウントと見なされます。
IPフローを有効にする前に収集されたNetFlowデータは失われます。非推奨のNetFlowシステムの最大保持日数は3日です。IPフローイベントは必要な期間、保持できます。
IPフローを有効にする前に収集されたNetFlowデータをIPフロー機能に移行することはできません。
Sentinelを再インストールする場合を除き、設定を元に戻すことはできません。
Sentinel Mainからログアウトされるので、もう一度ログインする必要があります。
IPフローデータ収集を設定する方法:
ArcSight SmartConnectorをインストールして設定します。設定時に、IPフローデータを収集する関連SmartConnectorを忘れずに設定します。
SmartConnectorの設定方法の詳細については、SentinelプラグインWebサイトの汎用Universal CEFコレクタのマニュアルを参照してください。
[Sentinel Main]>[収集]>[IPフロー]で、[IPフローデータの収集]を選択して[有効]をクリックします。
メモ:IPフローイベントはCollector Managerに送信されるようになったため、NetFlow Collector Managerインスタンスを使用する必要はなくなりました。そのため、既存のNetFlow Collector Managerインスタンスはすべてアンインストールできます。詳細については、NetFlow Collector Managerのアンインストールを参照してください。