Sentinel reçoit des informations des périphériques, les normalise dans une structure appelée événement, catégorise l'événement et l'envoie pour qu'il soit traité. L'ajout d'informations de catégorie (taxonomie) à des événements facilite leur comparaison, notamment lorsqu'ils sont issus de systèmes dont le mode de signalisation est différent. Par exemple, l'authentification échoue. Les événements sont traités par l'affichage en temps réel, le moteur de corrélation, les tableaux de bord et le serveur dorsal.
Un événement comprend plus de 200 champs. Les champs d'événement sont de types différents et ont des fonctions différentes. Certains sont prédéfinis, tels que ceux relatifs à la gravité, à la sévérité, à l'IP de destination et au port de destination. Il existe deux ensembles de champs configurables : d'une part, les champs réservés, destinés à l'usage interne de Sentinel pour permettre le développement futur du produit et, d'autre part, les champs client, destinés aux extensions client.
Il est possible d'attribuer une nouvelle fonction aux champs en les renommant. La source d'un champ peut être externe, auquel cas le champ est défini explicitement par le périphérique ou le collecteur ou référentiel correspondant. La valeur d'un champ de référence est calculée en tant que fonction d'un ou de plusieurs autres champs à l'aide du service d'assignation. Par exemple, un champ peut être défini pour être le code de génération du bâtiment contenant les ressources mentionnées comme IP de destination d'un événement, ou bien encore, un champ peut être défini par le service d'assignation à l'aide d'une assignation définie par le client utilisant l'IP de destination de l'événement.
Le service d'assignation permet à un mécanisme sophistiqué de propager les données pertinentes pour l'entreprise sur le système. Ces données peuvent enrichir les événements d'informations de référence qui fourniront le contexte nécessaire aux analystes : les décisions prises sont plus pertinentes, les rapports plus utiles et les règles de corrélation mûrement réfléchies.
Vous pouvez enrichir les données d'événement à l'aide d'assignations afin d'ajouter des informations détaillées sur l'hôte et sur l'identité aux événements entrants qui proviennent des périphériques source. Ces informations supplémentaires peuvent être utilisées pour les opérations avancées de corrélation et de création de rapports. Le système prend en charge plusieurs assignations intégrées, ainsi que des assignations définies par l'utilisateur.
Les assignations définies dans Sentinel sont stockées de deux manières :
Les assignations intégrées sont stockées dans la base de données, sont mises à jour à l'aide d'API dans le code du collecteur, puis sont exportées automatiquement vers le service d'assignation.
Les assignations personnalisées sont stockées sous forme de fichiers CSV et peuvent être mises à jour dans le système de fichiers ou par l'intermédiaire de l'interface utilisateur de configuration des données d'assignation, puis chargées par le service d'assignation.
Dans les deux cas, les fichiers CSV sont conservés sur le serveur Sentinel central, mais les modifications apportées aux assignations sont distribuées sur chaque gestionnaire des collecteurs et appliquées localement. Ce processus distribué garantit que l'assignation ne surcharge pas le serveur principal.
Le service d'assignation utilise un modèle de mise à jour dynamique et achemine les assignations d'un point à un autre, ce qui évite l'accumulation d'assignations statiques volumineuses dans la mémoire dynamique. Cette capacité d'acheminement s'avère particulièrement précieuse dans un système en temps réel critique tel que Sentinel, où doit exister un mouvement des données régulier, prédictif, flexible et indépendant des charges temporaires du système.
Sentinel permet de recouper des signatures de données d'événement avec les données d'analyse de vulnérabilité. Les utilisateurs sont notifiés automatiquement et immédiatement lorsqu'une attaque tente d'exploiter un système vulnérable. Ceci est réalisé au moyen des éléments suivants :
Données de flux Advisor
Détection d'intrusion
Analyse de la vulnérabilité
pare-feux
Advisor fournit une référence croisée entre les signatures de données d'événement et les données de scanner de vulnérabilité. Les données de flux Advisor contiennent des informations sur les vulnérabilités et les menaces, ainsi qu'une normalisation de signatures d'événements et plug-ins de vulnérabilité. Pour plus d'informations sur Advisor, reportez-vous à la section Configuring Advisor
(Configuration d'Advisor) du NetIQ Sentinel 7.1 Administration Guide (Guide d'administration de NetIQ Sentinel 7.0.1).