Sentinelでは、IT環境全体のセキュリティ情報とイベントを継続的に管理することで、完全なモニタリングソリューションを提供します。
Sentinelは次の処理を行います。
IT環境におけるすべての異なるイベントソースからログ、イベント、およびセキュリティ情報を収集します。
収集したログ、イベント、およびセキュリティ情報を共通の形式に正規化します。
柔軟でカスタマイズ可能なデータ保持ポリシーを使用して、ファイルベースのデータストアにイベントを格納します。
Sentinel Log Managerを含む複数のSentinelシステムを階層的にリンクする機能を提供します。
ローカルのSentinelサーバはもとより、世界中に分散しているSentinelサーバでもイベントを検索できる機能を提供します。
統計分析を実行してベースラインを定義し、次にベースラインと発生中の事象を比較し、未知の問題が発生していないかどうかを判断します。
指定された期間の類似または比較可能なイベントのセットを相関させて、パターンを特定します。
対応管理および追跡を効率的に行うため、イベントをインシデントにまとめます。
リアルタイムおよび履歴イベントに基づいたレポートを提供します。
次の図は、Sentinelがどのように動作するのかを示しています。
図 2-1 Sentinelのアーキテクチャ
以下のセクションでは、Sentinelコンポーネントについて詳しく説明します。