Sentinel 提供了一组强大的工具,可以帮助您轻松查找并分析重要事件数据。在任何特定类型的分析中,系统都会进行调整并优化以实现最大效率,而且提供的方法便于从一种类型的分析转换到另一种类型,从而实现无缝转换。
在 Sentinel 中调查事件通常首先从近乎实时的活动视图开始。尽管有更高级的工具可用,但活动视图显示的过滤事件流以及摘要图表足够用于对事件趋势和事件数据进行简单、粗略的分析,而且还可用于识别特定事件。在一段时间过后,您便可以为特定数据类(如,来自关联的输出)构建经过调整的过滤器。您可以将活动视图用作仪表板,以便显示整体运作和安全态势。
然后,您可以使用交互式搜索对事件执行更为详细的分析。这使您能够快速、方便地搜索和查找与特定查询相关的数据,如,由特定用户执行的活动或在特定系统上执行的活动。通过单击事件数据或使用左侧的细化窗格,您可以快速地分析感兴趣的特定事件。
在分析数百个事件时,Sentinel 的报告功能可以对事件布局进行自定义控制,并且还可显示较大的数据量。Sentinel 允许您将搜索界面中构建的交互式搜索传输到报告模板中,从而使此转换更加方便;该报告模板可以立即创建报告,以更加适合大量事件的格式显示相同的数据。
Sentinel 包含许多用于此用途的模板。一些模板已调整为显示特定类型的信息(如,鉴定数据或用户创建),还有一些模板则为通用模板,这些模板允许您以交互方式自定义报告中的组和列。
在一段时间过后,您便会开发出可使工作流更简便的常用过滤器和报告。Sentinel 完全支持储存此信息并将其分配给组织中的用户。有关详细信息,请参阅《NetIQ Sentinel 7.1 用户指南》。