2.0 Fonctionnement de Sentinel
Sentinel gère en permanence les informations de sécurité et les événements dans tout votre environnement informatique afin de vous offrir une solution de surveillance complète.
Sentinel effectue les opérations suivantes :
-
collecte les journaux, événements et informations de sécurité de l'ensemble des sources d'événements de votre environnement informatique ;
-
uniformise le format des journaux, événements et informations de sécurité collectés ;
-
stocke les événements dans une zone de stockage de fichiers avec des stratégies de conservation des données personnalisables ;
-
permet de lier de manière hiérarchique plusieurs systèmes Sentinel dont Sentinel Log Manager ;
-
permet de rechercher des événements non seulement sur votre serveur Sentinel local, mais aussi sur d'autres serveurs Sentinel situés aux quatre coins du globe ;
-
effectue une analyse statistique qui vous permet de définir une ligne de base, puis de la comparer à la situation réelle afin de déterminer s'il existe des problèmes non identifiés ;
-
met en corrélation un ensemble d'événements similaires ou comparables sur une période donnée, afin de déterminer un modèle ;
-
organise les événements en incidents, afin de garantir l'efficacité du suivi et de la gestion des réponses ;
-
fournit des rapports sur la base des événements historiques et en temps réel.
La figure ci-dessous illustre le fonctionnement de Sentinel :
Figure 2-1 Architecture de Sentinel
Les sections suivantes décrivent en détail les composants Sentinel :