6.7 Installazione su tre livelli con memorizzazione scalabile
Per la memorizzazione e l'elaborazione di grandi quantità di dati in cui non si desidera distribuire gli eventi fra più server Sentinel e duplicare le impostazioni di configurazione in più istanze, è possibile configurare un'installazione distribuita su tre livelli con la memorizzazione scalabile. Questo tipo di installazione consente di memorizzare e gestire grandi quantità di dati utilizzando un solo server Sentinel con la memorizzazione scalabile, invece di più server Sentinel.
È possibile configurare un nuovo server Sentinel con la memorizzazione scalabile oppure eseguire l'upgrade del server Sentinel esistente per abilitare la memorizzazione scalabile.
A seconda delle funzionalità di Sentinel che si desidera utilizzare, è possibile determinare come si desidera configurare la distribuzione di Sentinel.
Figura 6-6 Installazione su tre livelli per la memorizzazione scalabile
Questa installazione include i seguenti livelli:
-
Livello di raccolta dati: per raccogliere gli eventi da un'ampia gamma di origini. In alternativa, se si desidera conservare tutte le impostazioni esistenti della raccolta dati di Sentinel con la memorizzazione tradizionale e comunque sfruttare i vantaggi delle funzioni di memorizzazione scalabile, è possibile inoltrare gli eventi desiderati direttamente dalla memorizzazione tradizionale a quella scalabile utilizzando lo script scalablestorage_data_uploader.sh. Per ulteriori informazioni, consultare Migrazione di dati evento e dati non elaborati.
-
Livello della memorizzazione scalabile: per memorizzazione, indicizzazione e analisi di grandi quantità di dati. In questo livello, il server SSDM consente di gestire la raccolta e la correlazione dei dati; inoltre, fornisce altre funzionalità SSDM. Per utilizzare le funzionalità di Sentinel che non sono disponibili in SSDM, è possibile configurare il livello di memorizzazione tradizionale. È possibile inoltrare i dati raccolti a qualsiasi altro sistema SIEM. In alternativa, è possibile abilitare altri strumenti di business intelligence affinché interroghino i dati oppure effettuino l'analisi direttamente nella distribuzione Hadoop utilizzando le ben supportate API di Hadoop, Kafka, Spark ed Elasticsearch.
-
Livello di memorizzazione tradizionale: per funzionalità di Sentinel quali security intelligence, ricerca convenzionale e generazione di rapporti è necessario installare istanze separate di Sentinel con memorizzazione tradizionale. È possibile configurare le regole d'instradamento degli eventi in modo che quelli desiderati siano inoltrati da SSDM a Sentinel attraverso Collegamento Sentinel.
Si possono eseguire ricerche e generare rapporti anche nel livello di memorizzazione tradizionale, utilizzando uno qualsiasi dei server Sentinel. Facoltativamente, è possibile configurare un livello di ricerca separato che fornisce un pratico punto di accesso singolo per effettuare ricerche e generare rapporti tra tutti i server di Sentinel che si trovano nel livello di memorizzazione tradizionale. Per cercare gli eventi nella memorizzazione scalabile, utilizzare l'opzione di ricerca in SSDM.
Per ulteriori informazioni sull'installazione e la configurazione della memorizzazione scalabile, vedere il Sezione 12.0, Installazione e configurazione della memorizzazione scalabile.