Sentinelは、デバイスから情報を受信し、この情報をイベントと呼ばれる構造に正規化し、そのイベントを分類してから処理用に送信します。イベントに分類情報(Taxonomy)を追加することで、異なった形でイベントをレポートするシステム間でのイベントの比較をより簡単に行えます。例として、認証の失敗などが挙げられます。イベントは、リアルタイム表示、相関エンジン、ダッシュボード、およびバックエンドサーバによって処理されます。
イベントは200を超えるフィールドで構成されます。イベントフィールドの種類と目的はさまざまです。重大度、重大性、宛先IP、宛先ポートなど、定義済みのフィールドがいくつかあります。構成可能なフィールドが2種類あります。予約済みフィールドは、将来の拡張のためにSentinelが内部で使用します。顧客フィールドは、顧客が拡張に使用します。
名前を変更することで、フィールドの目的を再設定できます。フィールドのソースは、外部(デバイスまたは対応するコレクタによって明示的に設定されます)、または参照の場合があります。参照フィールドの値は、マッピングサービスを使用して1つ以上の他のフィールドに応じて計算されます。たとえば、イベントの宛先IPとして指定されているアセットを含む建物の建物コードになるようフィールドを定義できます。たとえば、イベントの宛先IPを使用する顧客定義マップを使用してマッピングサービスによってフィールドを計算することができます。
マッピングサービスにより、システム全体にビジネス関連データを伝達する高度なメカニズムが使用できるようになります。このデータによってイベントは参照情報で充実したものとなるため、アナリストは、より適切な決定、より有用なレポートの作成、考え抜かれた相関ルールの作成を行うことができます。
ソースデバイスからの着信イベントにホストと識別情報の詳細などの情報を追加するマップを使用することで、イベントデータを充実させることができます。この追加情報は、高度な相関とレポーティングに使用できます。システムは複数の組み込みマップとユーザ定義のカスタムマップをサポートしています。
Sentinelで定義されるマップは2つの方法で格納されます。
組み込みマップは、データベースに格納され、コレクタコードでAPIを使用して更新され、マッピングサービスに自動的にエクスポートされます。
カスタムマップは、CSVファイルとして格納され、ファイルシステム上またはマップデータの環境設定UIを使用して更新され、マッピングサービスによってロードされます。
いずれの場合も、CSVファイルは中核となるSentinelサーバに保存されますが、マップへの変更は、各コレクタマネージャに分散され、ローカルに適用されます。この分散処理で、マッピング動作によるメインサーバのオーバーロードを防止できます。
マップサービスにはダイナミック更新モデルが採用されており、ある場所から別の場所にマップをストリーミングして、ダイナミックメモリ内に大きなスタティックマップが蓄積されるのを回避します。このストリーミング機能は、システム上の一時的な負荷に関係なく、予測されるデータ移動を着実かつ迅速に行う必要があるSentinelなどのミッションクリティカルなリアルタイムシステムで特に重要です。
Sentinelは、イベントデータ署名と脆弱性スキャナデータを相互参照する機能を提供します。攻撃により脆弱なシステムが悪用されそうになると直ちに、自動的にユーザに対し通知が送信されます。これは次のような機能によって実現できます。
アドバイザのフィード
侵入検出
脆弱性スキャン
ファイアウォール
アドバイザは、イベントデータ署名と脆弱性スキャナデータとの相互参照を提供します。アドバイザのフィードには、脆弱性と脅威、さらにイベント署名と脆弱性プラグインの正規化に関する情報が含まれます。アドバイザの詳細については、『NetIQ Sentinel 7.1 Administration Guide』の「Configuring Advisor
」を参照してください。