O Sentinel recebe informações de dispositivos, normaliza-as em uma estrutura chamada evento, categoriza o evento e, em seguida, envia-o para processamento.
Um evento representa um registro normalizado relatado ao Sentinel por um dispositivo de segurança, por uma rede ou dispositivo de aplicativo de terceiros ou por uma fonte interna do Sentinel. Existem vários tipos de eventos:
Eventos externos (eventos recebidos de um dispositivo de segurança) como:
Um ataque detectado por um IDS (Intrusion Detection System — Sistema de Detecção de Intrusão)
Um login bem-sucedido relatado por um sistema operacional
Uma situação definida pelo cliente, como um usuário acessando um arquivo
Eventos internos (eventos gerados pelo Sentinel), incluindo:
Uma regra de correlação sendo desativada
O preenchimento do banco de dados
O Sentinel adiciona informações de categoria (taxonomia) a eventos, para facilitar a comparação de eventos entre sistemas que relatam eventos de maneira diferente. Os eventos são processados pela exibição em tempo real, pelo mecanismo de correlação, por painéis e pelo servidor back end.
Um evento é composto por mais de 200 campos; campos de evento são de diferentes tipos e de diferentes finalidades. Alguns são predefinidos, como gravidade, importância, endereço IP de destino e porta de destino.
Há dois conjuntos de campos configuráveis:
Campos reservados. Para uso interno do Sentinel para permitir a extensão de funcionalidade no futuro.
Campos do cliente: De uso do cliente para permitir a personalização.
A fonte para um campo pode ser externa ou referencial:
O valor de um campo externo é definido explicitamente pelo dispositivo ou o Coletor correspondente. Por exemplo, um campo pode ser definido como o código da construção que contém o bem mencionado como o endereço IP de destino de um evento.
O valor de um campo referencial é computado como uma função de um ou mais campos que usam o serviço de mapeamento. Por exemplo, um campo pode ser computado pelo serviço de mapeamento por meio de um mapa definido pelo cliente usando o endereço IP de destino do evento.
O Serviço de mapeamento propaga os dados de relevância dos negócios por todo o sistema. Esses dados podem enriquecer eventos com informações de referência.
Você pode aprimorar os dados de evento usando mapas para adicionar informações (como detalhes do host e da identidade) aos eventos recebidos de seus dispositivos de origem. O Sentinel pode usar essas informações adicionais para correlação e emissão avançadas de relatórios. O Sentinel suporta diversos mapas integrados e também mapas definidos pelo usuário.
Os mapas definidos no Sentinel são armazenados de duas formas:
Os mapas integrados são armazenados no banco de dados, atualizados internamente e exportados automaticamente para o serviço de mapeamento.
Os mapas personalizados são armazenados como arquivos CSV e podem ser atualizados no sistema de arquivos ou usando a Interface do Usuário da Configuração dos Dados do Mapa e, em seguida, carregados pelo serviço de Mapeamento.
Em ambos os casos, os arquivos CSV são mantidos no servidor central do Sentinel, mas as alterações feitas nos mapas são distribuídas para cada Collector Manager e aplicadas localmente. Esse processamento distribuído garante que a atividade de mapeamento não sobrecarregue o servidor principal.
O Serviço de Mapeamento emprega um modelo de atualização dinâmica e transmite os mapas de um ponto para outro, evitando o acúmulo de grandes mapas estáticos na memória dinâmica. Isso é relevante em um sistema em tempo real crítico ao sistema como o Sentinel onde uma movimentação de dados sólida, previsível e ágil independente de qualquer carga transitória no sistema seja necessária.
O Sentinel permite a referência cruzada entre as assinaturas dos dados de eventos e os dados do Vulnerability Scanner. O Sentinel notifica os usuários automática e imediatamente quando há uma tentativa de explorar um sistema vulnerável. O Sentinel realiza isso por meio das seguintes funções:
A alimentação do Consultor;
Detecção de intrusão;
Verificação de vulnerabilidades; e
Firewalls
O feed do Advisor contém informações sobre vulnerabilidades e ameaças, uma normalização de assinaturas de evento e plug-ins de vulnerabilidade. Ele fornece uma referência cruzada entre as assinaturas de dados do evento e os dados do verificador de vulnerabilidades. Para obter mais informações sobre o feed do Consultor, consulte Detectando vulnerabilidades e explorações
no Guia de administração do Sentinel .