Sentinel verwaltet kontinuierlich sicherheitsrelevante Informationen und Ereignisse in Ihrer IT-Umgebung und bietet so eine vollständige Überwachungslösung.
Sentinel führt folgende Aufgaben aus:
Erfassen von Protokoll-, Ereignis- und Sicherheitsinformationen aus allen Ereignisquellen Ihrer IT-Umgebung
Konvertieren der erfassten Protokoll-, Ereignis- und Sicherheitsinformationen in ein Standardformat
Speichern der Ereignisse in einem dateibasierten Datenspeicher mit flexiblen, benutzerdefinierbaren Datenbeibehaltungsrichtlinien
Fähigkeit zur hierarchischen Verknüpfung mehrerer Sentinel-Systeme, einschließlich Sentinel Log Manager.
Suche nach Ereignissen nicht nur auf dem lokalen, sondern auch auf weltweit verteilten Sentinel-Servern
Durchführen statistischer Analysen zur Definition einer Baseline und Vergleich mit den aktuell einlaufenden Informationen, um verdeckte Probleme zu erkennen
Korrelieren einer Gruppe ähnlicher oder vergleichbarer Ereignisse, die innerhalb eines bestimmten Zeitraums stattgefunden haben, um ein Muster zu erkennen
Einteilen von Ereignissen in Vorfälle, wodurch sich Response Management und Nachverfolgung effizienter gestalten
Berichterstellung auf Basis aktueller und alter Ereignisse
In der folgenden Abbildung wird dargestellt, wie Sentinel funktioniert:
Abbildung 2-1 Sentinel-Architektur
In den folgenden Abschnitten werden die Sentinel-Komponenten im Detail beschrieben: