6.7 Drei-Ebenen-Bereitstellung mit skalierbarem Speicher

Die Drei-Ebenen-Bereitstellung mit skalierbarem Speicher eignet sich für die umfangreiche Datenspeicherung und -verarbeitung, für die Ereignisse nicht auf mehrere Sentinel-Server verteilt und Konfigurationseinstellungen nicht auf mehrere Instanzen kopiert werden sollen. Bei dieser Art der Bereitstellung speichern und verwalten Sie große Datenmengen auf einem einzigen Sentinel-Server statt auf mehreren, weil dieser mit skalierbarem Speicher arbeitet.

Sie können einen neuen Sentinel-Server mit skalierbarem Speicher einrichten oder einen vorhandenen Sentinel-Server zur Aktivierung des skalierbaren Speichers aufrüsten.

Wählen Sie je nach den von Ihnen gewünschten Sentinel-Funktionen, wie Sie Ihre Sentinel-Bereitstellung einrichten möchten.

Abbildung 6-6 Drei-Ebenen-Bereitstellung für skalierbaren Speicher

Die Ebenen dieser Art der Bereitstellung:

  • Datenerfassungsebene: Zum Erfassen von Ereignissen von einem breiten Spektrum an Ereignisquellen. Wenn Sie Ihre vorhandene Datensammlungseinrichtung in Sentinel mit herkömmlichem Speicher beibehalten möchten, aber dennoch die Möglichkeiten des skalierbaren Speichers nutzen möchten, können Sie optional die gewünschten Ereignisse vom herkömmlichen Speicher zum skalierbaren Speicher weiterleiten. Verwenden Sie hierzu das Skript scalablestorage_data_uploader.sh. Weitere Informationen finden Sie unter Migrieren von Ereignisdaten und Rohdaten.

  • Ebene des skalierbaren Speichers: Zum Speichern, Indizieren und Analysieren von großen Datenmengen. Mit dem SSDM-Server in dieser Ebene können Sie Datensammlungen und die Korrelation verwalten. Außerdem bietet der SSDM-Server weitere SSDM-Funktionen. Um Sentinel-Funktionen zu nutzen, die in SSDM nicht verfügbar sind, können Sie die herkömmliche Speicherebene einrichten. Sie können die erfassten Daten auch an andere SIEM-Systeme weiterleiten oder weitere Business-Intelligence-Werkzeuge aktivieren, um Daten abzufragen oder Analysen mit den umfangreich unterstützten APIs von Hadoop, Kafka, Spark und Elasticsearch direkt in der Hadoop-Verteilung auszuführen.

  • Herkömmliche Speicherebene: Für Sentinel-Funktionen wie die Sicherheitsintelligenz und die konventionelle Suche und Berichterstellung müssen Sie separate Instanzen von Sentinel mit herkömmlichem Speicher installieren. Sie können Ereignis-Routing-Regeln konfigurieren, um die gewünschten Ereignisse von SSDM über Sentinel Link zu Sentinel weiterzuleiten.

    Für die Suche und Berichterstellung können Sie auch jeden anderen Sentinel-Server der herkömmlichen Speicherebene verwenden. Optional können Sie eine separate Suchebene einrichten, die einen praktischen, zentralen Zugriffspunkt für die Suche und die Berichterstellung auf allen Sentinel-Servern der herkömmlichen Speicherebene bietet. Wenn Sie Ereignisse im skalierbaren Speicher suchen, verwenden Sie bitte die Suchoption in SSDM.

Weitere Informationen zur Installation und Einrichtung von skalierbarem Speicher finden Sie in Abschnitt 12.0, Installation und Einrichtung von skalierbarem Speicher.