6.7 Implantação de três níveis com armazenamento escalável

Quando há necessidade de armazenamento de dados grandes e processamento de dados, e você não deseja distribuir eventos em vários servidores do Sentinel nem duplicar definições de configuração em várias instâncias, é possível configurar uma implantação distribuída de três níveis com armazenamento escalável. Essa implantação permite armazenar e gerenciar dados grandes usando um único servidor do Sentinel com armazenamento escalável, em vez de usar vários servidores do Sentinel.

Você pode configurar um novo servidor do Sentinel com armazenamento escalável ou fazer upgrade do servidor do Sentinel existente para habilitar o armazenamento escalável.

Dependendo dos recursos do Sentinel que você deseja usar, você pode determinar como deseja configurar a implantação do Sentinel.

Figura 6-6 Implantação de três níveis para armazenamento escalável

Esta implantação inclui os seguintes níveis:

  • Nível de coleta de dados: Para coletar eventos de uma ampla faixa de fontes de eventos. Opcionalmente, se desejar manter a configuração de coleta de dados existente com o Sentinel de armazenamento tradicional e ainda aproveitar os recursos de armazenamento escaláveis, você poderá encaminhar os eventos desejados diretamente do armazenamento tradicional para o armazenamento escalável usando o script data_uploader.sh. Para obter mais informações, consulte Seção 32.0, Migrando dados para o armazenamento escalável.

  • Nível de armazenamento escalável: Para armazenar, indexar e analisar grandes dados. O servidor do SSDM nessa camada habilita você a gerenciar a coleta e a correlação de dados e fornece outros recursos do SSDM. Para usar os recursos do Sentinel não disponíveis no SSDM, você pode configurar a camada de armazenamento tradicional. Você também pode encaminhar os dados coletados para qualquer outro sistema SIEM ou habilitar outras ferramentas de inteligência comercial para consultar os dados ou executar análises diretamente na sua distribuição Hadoop usando as APIs Hadoop, Kafka, Spark e Elasticsearch que têm amplo suporte.

  • Camada de armazenamento tradicional: Para recursos do Sentinel, como Inteligência de Segurança, pesquisa convencional e geração de relatórios, você deve instalar instâncias separadas do Sentinel com armazenamento tradicional. Você pode configurar as regras de roteamento de eventos para encaminhar os eventos desejados do SSDM para o Sentinel usando o Sentinel Link.

    Você pode realizar pesquisas e gerar relatórios usando qualquer um dos servidores do Sentinel no nível de armazenamento tradicional. Como opção, você pode configurar uma Camada de Pesquisa separada que forneça um ponto de acesso único conveniente para pesquisa e geração de relatórios em todos os servidores do Sentinel na camada de armazenamento tradicional. Para pesquisar eventos no armazenamento escalável, use a opção de pesquisa no SSDM.

Para obter mais informações sobre instalação e configuração do armazenamento escalável, consulte Seção 13.0, Instalando e configurando o armazenamento escalável.