Par défaut, le serveur Sentinel comprend les composants suivants :
Collector Manager : il fournit un point flexible de collecte de données pour Sentinel.
Correlation Engine : il traite les événements à partir du flux d'événements en temps réel pour déterminer s'ils doivent déclencher l'une des règles de corrélation.
Elasticsearch : Composant de stockage des données facultatif permettant de stocker et d'indexer des données. Par défaut, Sentinel comprend un nœud Elasticsearch. Si vous prévoyez beaucoup d'EPS, plus de 2 500, vous devez déployer des nœuds Elasticsearch supplémentaires dans une grappe.
IMPORTANT :Dans les environnements de production, vous pouvez configurer un déploiement distribué, car il isole les composants de collecte de données sur un ordinateur distinct, ce qui permet de gérer les pointes de trafic et les autres anomalies tout en garantissant une stabilité maximale du système.
Cette section décrit les avantages des déploiements distribués.
Par défaut, le serveur Sentinel comprend une instance Collector Manager. Cependant, pour les environnements de production, les instances Collector Manager distribuées assurent un isolement bien supérieur lors de la réception de gros volumes de données. Dans ce cas, même si une instance Collector Manager distribuée est surchargée, le serveur Sentinel continue de répondre aux demandes de l'utilisateur.
L'installation de plusieurs instances Collector Manager dans un réseau distribué présente les avantages suivants :
Des performances système améliorées : les instances Collector Manager supplémentaires peuvent analyser et traiter des données d'événements dans un environnement distribué, améliorant ainsi les performances système.
Une sécurité accrue des données et des exigences de bande passante moindres : si les instances Collector Manager se trouvent au même emplacement que les sources d'événements, le filtrage, le chiffrement de même que la compression des données peuvent être effectués à la source.
Caching de fichiers : les instances Collector Manager supplémentaires peuvent mettre en cache de grandes quantités de données pendant que le serveur est momentanément occupé à archiver des événements ou à traiter un pic d'événements. Cette fonction est avantageuse pour les protocoles, tels que syslog qui ne prennent pas d'office en charge le caching d'événements.
Vous pouvez installer des instances Collector Manager supplémentaires aux emplacements appropriés sur votre réseau. Ces instances Collector Manager distantes exécutent des connecteurs et collecteurs et transfèrent les données collectées au serveur Sentinel à des fins de stockage et de traitement. Pour obtenir des informations sur l'installation d'instances Collector Manager supplémentaires, reportez-vous à la Section III, Installation de Sentinel.
REMARQUE :vous ne pouvez pas installer plusieurs instances Collector Manager sur le même système. En revanche, vous pouvez installer des instances Collector Manager supplémentaires sur des systèmes distants, puis les connecter au serveur Sentinel.
Vous pouvez déployer plusieurs instances Correlation Engine, chacune sur son propre serveur, sans devoir répliquer de configurations ni ajouter des bases de données. Dans les environnements comptant un nombre élevé de règles de corrélation ou des taux d'événement extrêmement élevés, vous aurez avantage à installer plusieurs instances Correlation Engine et à redéployer certaines règles sur chaque nouvelle instance Correlation Engine. Ces instances Correlation Engine supplémentaires permettent de s'adapter à mesure que le système Sentinel intègre de nouvelles sources de données ou que les taux d'événements augmentent. Pour plus d'informations sur l'installation d'instances Correlation Engine supplémentaires, consultez la Section III, Installation de Sentinel.
REMARQUE :vous ne pouvez pas installer plusieurs instances de Correlation Engine sur le même système. En revanche, vous pouvez installer des instances Correlation Engine supplémentaires sur des systèmes distants, puis les connecter au serveur Sentinel.