O Sentinel gerencia as informações e os eventos de segurança de forma contínua em todo o ambiente de TI para garantir uma solução de monitoramento completa.
O Sentinel faz o seguinte:
Reúne informações de registros, eventos e segurança de diversas fontes de eventos presentes em seu ambiente de TI.
Padroniza as informações de registros, eventos e segurança reunidas em um formato padrão do Sentinel.
Armazena eventos em um armazenamento de dados com base no arquivo ou em um armazenamento escalável com base em Hadoop com políticas de retenção de dados flexíveis e personalizáveis.
Coleta dados de Fluxo de IP e ajuda você a monitorar as atividades de rede em detalhes.
Fornece a capacidade de vincular hierarquicamente vários sistemas Sentinel, incluindo o Sentinel Log Manager;
Permite a você pesquisar eventos não apenas no seu servidor Sentinel local, mas também em outros servidores Sentinel distribuídos no mundo.
Realiza uma análise estatística que permite definir uma linha de base e, depois, compará-la ao que está acontecendo a fim de determinar se há problemas que passaram despercebidos.
Correlaciona um conjunto de eventos semelhantes ou comparáveis em uma duração específica para estabelecer um padrão.
Organiza os eventos por incidente a fim de viabilizar gerenciamento de resposta e monitoramento eficientes; e
Fornece relatórios com base em eventos em tempo real e históricos.
A figura a seguir ilustra como o Sentinel funciona, tendo o armazenamento tradicional como opção de armazenamento de dados:
Figura 2-1 Arquitetura do Sentinel
As seções a seguir descrevem os componentes do Sentinel em detalhes: