2.0 Como o Sentinel funciona

O Sentinel gerencia as informações e os eventos de segurança de forma contínua em todo o ambiente de TI para garantir uma solução de monitoramento completa.

O Sentinel faz o seguinte:

  • Reúne informações de registros, eventos e segurança de diversas fontes de eventos presentes em seu ambiente de TI.

  • Padroniza as informações de registros, eventos e segurança reunidas em um formato padrão do Sentinel.

  • Armazena eventos em um armazenamento de dados com base no arquivo ou em um armazenamento escalável com base em Hadoop com políticas de retenção de dados flexíveis e personalizáveis.

  • Coleta dados de Fluxo de IP e ajuda você a monitorar as atividades de rede em detalhes.

  • Fornece a capacidade de vincular hierarquicamente vários sistemas Sentinel, incluindo o Sentinel Log Manager;

  • Permite a você pesquisar eventos não apenas no seu servidor Sentinel local, mas também em outros servidores Sentinel distribuídos no mundo.

  • Realiza uma análise estatística que permite definir uma linha de base e, depois, compará-la ao que está acontecendo a fim de determinar se há problemas que passaram despercebidos.

  • Correlaciona um conjunto de eventos semelhantes ou comparáveis em uma duração específica para estabelecer um padrão.

  • Organiza os eventos por incidente a fim de viabilizar gerenciamento de resposta e monitoramento eficientes; e

  • Fornece relatórios com base em eventos em tempo real e históricos.

A figura a seguir ilustra como o Sentinel funciona, tendo o armazenamento tradicional como opção de armazenamento de dados:

Figura 2-1 Arquitetura do Sentinel

As seções a seguir descrevem os componentes do Sentinel em detalhes: