Sentinel 安装和配置指南

  Sentinel 安装和配置指南
    了解 Sentinel
      Sentinel 是什么?
        保护 IT 环境的挑战
        Sentinel 提供的解决方案
      Sentinel 工作原理
        事件源
        Sentinel 事件
        Collector Manager
        ArcSight SmartConnector
        代理管理器
        Sentinel 数据路由和数据储存
        事件可视化
        关联
        安全智能
        事件补救
        iTrac 工作流程
        操作和集成器
        搜索
        报告
        身份跟踪
        事件分析
    计划 Sentinel 安装
      实现核对清单
      了解许可证信息
        Sentinel 许可证
      满足系统要求
        连接器和收集器系统要求
        虚拟环境
      部署考虑事项
        数据储存考虑事项
        分布式部署的优势
        一体机部署
        一层分布式部署
        具有高可用性的一层分布式部署
        两层和三层分布式部署
        使用可缩放储存进行三层部署
      FIPS140-2 模式的部署考虑事项
        Sentinel 中的 FIPS 实现
        Sentinel 中启用 FIPS 的部件
        FIPS 模式影响的数据连接
        实现核对清单
        部署方案
      使用的端口
        Sentinel 服务器端口
        Collector Manager 端口
        Correlation Engine 端口
        可缩放储存端口
      安装选项
        传统安装
        设备安装
    安装 Sentinel
      安装概述
      安装核对清单
      安装和配置 Elasticsearch
        先决条件
        安装和配置 Elasticsearch
        确保 Elasticsearch 中数据的安全
        Elasticsearch 性能优化
        部署 Elasticsearch 安全插件
      安装和设置可缩放储存
        安装和配置 CDH
        启用可缩放储存
      传统安装
        执行交互式安装
        执行无提示安装
        以非 root 用户身份安装 Sentinel
      设备安装
        先决条件
        安装 Sentinel ISO 设备
        安装 Sentinel OVF 设备
        设备的安装后配置
      安装附加的收集器和连接器
        安装收集器
        安装连接器
      校验安装
    配置 Sentinel
      配置时间
        理解 Sentinel 中的时间
        配置 Sentinel 中的时间
        为事件配置延迟时间限制
        处理时区
      确保 Elasticsearch 中数据的安全
      启用事件可视化
        先决条件
        启用事件可视化
      安装之后修改配置
      配置即用型插件
        查看预安装的插件
        配置数据收集
        配置解决方案包
        配置操作和集成器
      在现有的 Sentinel 安装中启用 FIPS 140-2 模式
        启用 Sentinel 服务器以在 FIPS 140-2 模式下运行
        在远程 Collector Manager 和 Correlation Engine 上启用 FIPS 140-2 模式
      在 FIPS 140-2 模式下操作 Sentinel
        在 FIPS 140-2 模式下配置 Advisor 服务
        在 FIPS 140-2 模式下配置分布式搜索
        在 FIPS 140-2 模式下配置 LDAP 鉴定
        在远程 Collector Manager 和 Correlation Engine 中更新服务器证书
        将 Sentinel 插件配置为在 FIPS 140-2 模式下运行
        将证书导入 FIPS 密钥存储区数据库
        将 Sentinel 还原为非 FIPS 模式
      添加同意标题
    升级 Sentinel
      实现核对清单
      先决条件
        保存自定义配置信息
        延长事件关联数据的保留期限
        升级前 SSDM 的配置
        Change Guardian 集成
      升级 Sentinel 传统安装
        升级 Sentinel
        以非 root 用户身份升级 Sentinel
        升级 Collector Manager 或 Correlation Engine
        升级操作系统
      升级 Sentinel 设备
        升级 Sentinel
        升级操作系统
      升级后配置
        确保 Elasticsearch 中数据的安全
        配置事件可视化
        配置 IP 流数据集合
        Sentinel Scalable Data Manager 升级后配置
        添加 JDBC DB2 驱动程序
        在 Sentinel 设备中配置数据联合属性
        注册 Sentinel 设备以进行更新
        更新外部数据库以进行数据同步
        在多因子鉴定模式下重新鉴定 Sentinel
      升级 Sentinel 插件
    从传统储存迁移数据
      将数据迁移至可缩放储存
        您可以迁移的数据
        迁移配置数据
        迁移事件数据和原始数据
        迁移警报和 NetFlow 数据
        更新 Sentinel 客户端
        导入 ESM 配置
      将数据迁移到 Elasticsearch
      迁移数据
    部署 Sentinel 实现高可用性
      概念
        外部系统
        共享储存
        服务监视
        隔离
      系统要求
      安装和配置
        初始设置
        共享储存设置
        Sentinel 安装
        群集安装
        群集配置
        资源配置
        辅助储存配置
      将 Sentinel HA 配置为 SSDM
      在高可用性环境中升级 Sentinel
        先决条件
        升级传统 Sentinel HA 安装
        升级 Sentinel HA 设备安装
      备份和恢复
        备份
        恢复
     附录
      查错
        因为错误网络配置导致安装失败
        UUID 不是为 Collector Manager 或 Correlation Engine 映像而创建
        登录后 Sentinel 主界面在 Internet Explorer 中为空白
        Sentinel 无法在 Windows Server 2012 R2 中的 Internet Explorer 11 中起动
        Sentinel 无法通过默认 EPS 许可证运行本地报告
        将活动节点转换为 FIPS 140-2 模式后,需要在 Sentinel 高可用性模式中手动启动同步
        转换到 Sentinel 可缩放数据管理器后 Sentinel 主界面显示空白页
        在编辑某些保存的搜索时,在日程表页中缺少事件字段面板
        在您使用默认的 Fire 计数搜索来搜索部署规则的事件时,Sentinel 不返回任何关联事件
        当重新生成基线时,安全智能仪表板显示无效的基线持续时间
        如果单个分区中有大量事件,运行搜索时,Sentinel 服务器会关闭
        使用 report_dev_setup.sh 脚本为升级的 Sentinel 设备安装上的防火墙异常配置 Sentinel 端口时,出现错误
      卸装
        卸装核对清单
        卸装 Sentinel
        卸装后的任务
    法律声明