6.7 Déploiement à trois niveaux à l'aide du stockage évolutif

Lorsque vous devez traiter et stocker des données volumineuses sans pour autant devoir distribuer les événements sur plusieurs serveurs Sentinel ni dupliquer les paramètres de configuration sur plusieurs instances, vous pouvez configurer un déploiement distribué en trois niveaux à l'aide du stockage évolutif. Ce déploiement permet de stocker et de gérer des données volumineuses en n'employant qu'un seul serveur Sentinel au moyen du stockage évolutif au lieu d'utiliser plusieurs serveurs Sentinel.

Vous pouvez définir un nouveau serveur Sentinel avec stockage évolutif ou mettre à niveau votre serveur Sentinel existant afin d'activer le stockage évolutif.

Déterminez le paramétrage de votre déploiement Sentinel selon les fonctionnalités que vous souhaitez utiliser.

Figure 6-6 Déploiement à trois niveaux pour le stockage évolutif

Ce déploiement inclut les niveaux suivants :

  • Niveau Collecte de données : pour collecter les événements à partir d'un large éventail de sources d'événements. Sinon, si vous souhaitez conserver votre configuration existante de collecte de données à l'aide d'un stockage Sentinel traditionnel tout en exploitant les capacités du stockage évolutif, vous pouvez faire suivre les effets souhaités directement depuis le stockage traditionnel vers le stockage évolutif grâce au script data_uploader.sh. Pour plus d'informations, reportez-vous à la section Section 32.0, Migration de données vers un stockage évolutif.

  • Niveau Stockage évolutif : Pour stocker, indexer et analyser des données volumineuses. Le serveur SSDM à ce niveau vous permet de gérer la collecte et la corrélation de données et vous offre d'autres fonctionnalités SSDM. Pour utiliser les fonctionnalités Sentinel qui ne sont pas disponibles dans SSDM, vous pouvez configurer le niveau Stockage traditionnel. Vous pouvez également transférer les données collectées à un autre système SIEM ou activer d'autres outils d'informatique décisionnelle pour interroger des données ou effectuer des analyses directement sur votre distribution Hadoop via les API compatibles Hadoop, Kafka, Spark et Elasticsearch.

  • Niveau Stockage traditionnel : Pour utiliser les fonctionnalités Sentinel comme Security Intelligence, la recherche classique et les rapports, vous devez installer des instances distinctes de Sentinel avec un stockage traditionnel. Vous pouvez configurer des règles de routage d'événements pour acheminer les événements souhaités depuis SSDM à Sentinel via Sentinel Link.

    Vous pouvez effectuer des recherches et créer des rapports à l'aide de l'un des serveurs Sentinel dans le niveau Stockage traditionnel. Vous pouvez configurer un niveau Recherche distinct qui fournit un point d'accès unique et pratique pour effectuer des recherches et créer des rapports sur tous les serveurs Sentinel au niveau Stockage traditionnel (facultatif). Pour lancer une recherche dans les événements du stockage évolutif, utilisez l'option de recherche de SSDM.

Pour plus d'informations sur l'installation et la configuration d'un stockage évolutif, reportez-vous au Section 13.0, Installation et configuration du stockage évolutif.