O Sentinel agora aproveita os ArcSight SmartConnectors que ajudam você a monitorar sua rede corporativa, coletando dados de Fluxo de IP além dos dados do NetFlow. Os SmartConnectors coletam dados de Fluxo de IP como eventos, o que permite:
Usar as instâncias do Collector Manager existentes para coletar dados do Fluxo de IP. Você não precisa mais das instâncias do NetFlow Collector Manager para coletar dados do NetFlow.
Aproveite os dados do Fluxo de IP em várias áreas do Sentinel, como visualizações, roteamento de eventos, federação de dados, relatórios e correlação.
Aplique políticas de retenção de dados aos dados do Fluxo de IP, que lhe permite armazenar esses dados pelo tempo que você quiser.
Depois de fazer upgrade do Sentinel, é possível continuar usando os recursos do NetFlow ou optar por configurar a coleta de dados do Fluxo de IP. No entanto, com a disponibilidade do recurso de visualização e coleta de dados do Fluxo de IP, os recursos do NetFlow anteriormente disponíveis, incluindo as visualizações do NetFlow, agora foram descontinuados e serão removidos no futuro para uma melhor experiência do usuário.
Depois de habilitar a coleta de dados do Fluxo de IP:
Os dados de Fluxo de IP serão coletados como eventos e, portanto, serão considerados para contagem de EPS.
Você perderá todos os dados do NetFlow coletados antes de habilitar o Fluxo de IP. O sistema NetFlow descontinuado tinha uma retenção máxima de 3 dias. Você pode manter os eventos de Fluxo de IP pelo tempo que precisar.
Não é possível migrar os dados do NetFlow coletados antes de habilitar o Fluxo de IP no recurso de Fluxo de IP.
Não será possível reverter a configuração, a menos que você reinstale o Sentinel.
Você será desconectado do Sentinel Principal e precisará efetuar login novamente.
Para configurar a coleta de dados do Fluxo de IP:
Instale e configure o ArcSight SmartConnector. Ao configurar, verifique se você definiu os SmartConnectors relevantes que coletam dados de Fluxo de IP.
Para obter informações sobre como configurar SmartConnectors, consulte a documentação do Generic Universal CEF Collector no site de plug-ins do Sentinel.
No Sentinel Principal > Coleção > Fluxo de IP, selecione Coletar dados de Fluxo de IP e clique em Habilitar.
NOTA:Como os eventos de Fluxo de IP agora são enviados ao Collector Manager, você não precisa mais usar as instâncias do NetFlow Collector Manager. Portanto, é possível desinstalar quaisquer instâncias do NetFlow Collector Manager. Para obter mais informações, consulte Desinstalando o NetFlow Collector Manager.