NetIQ Documentation: Guia de Instalação do Sentinel Log Manager 1.2.2 - Visão geral do produto

1.1 Visão geral do produto

O Novell Sentinel Log Manager 1.2 oferece uma solução flexível e escalável para gerenciamento de registros em organizações. O Novell Sentinel Log Manager é uma solução para gerenciamento de registros que resolve desafios básicos de coleta e gerenciamento de registros e também fornece uma solução completa focada na redução de custos e na complexidade de gerenciar o risco e simplificar requisitos de conformidade.

Figura 1-1 Arquitetura do Novell Sentinel Log Manager

O Novell Sentinel Log Manager possui os seguintes recursos:

A pesquisa distribuída permite pesquisar eventos coletados não apenas no servidor local do Sentinel Log Manager, mas também em um ou mais servidores do Sentinel Log Manager a partir de um console centralizado.
Os relatórios de conformidade pré-instalados simplificam a tarefa de gerar relatórios de conformidade para auditoria ou para análise forense.
Utilizando uma tecnologia de armazenamento não patenteada, os clientes podem aproveitar sua infraestrutura atual e gerenciar mais os custos.
A interface aprimorada baseada em browser suporta a coleta, o armazenamento, a geração de relatórios e a pesquisa de dados de registro para simplificar bastante as tarefas de monitoramento e gerenciamento.
Controles granulados e eficientes e personalização para administradores de TI através dos novos recursos de grupos e usuários para fornecer mais transparência nas atividades da infraestrutura de TI.

Esta seção contém as seguintes informações:

1.1.1 Fontes de eventos

O Novell Sentinel Log Manager coleta dados de fontes de eventos que geram registros para o syslog, do registro de atividades do Windows, de arquivos, bancos de dados, SNMP, Novell Audit, Security Device Event Exchange (SDEE), Check Point Open Platforms for Security (OPSEC) e outros mecanismos e protocolos de armazenamento.

O Sentinel Log Manager suporta todas as fontes de eventos se houver Conectores adequados para analisar os dados das fontes de eventos. O Novell Sentinel Log Manager fornece Coletores para diversas fontes de eventos. O Coletor de Eventos Genérico coleta e processa dados de fontes de eventos não reconhecidas que possuam conectores adequados.

Para configurar a coleta de dados nas fontes de eventos, use a interface de Gerenciamento de Fonte de Eventos.

Para obter uma lista completa das fontes de eventos suportadas, consulte a Seção 2.6, Fontes de eventos suportadas

1.1.2 Gerenciamento de Fonte de Eventos

A interface de Gerenciamento de Fonte de Eventos permite importar e configurar os Conectores e Coletores do Sentinel 6.0 e 6.1.

As seguintes tarefas podem ser efetuadas através da Tela Ativa da janela Gerenciamento de Fonte de Eventos:

Adicionar ou editar conexões a fontes de eventos usando assistentes de Configuração.
Ver o status em tempo real das conexões com fontes de eventos.
Importar ou exportar as configurações das fontes de eventos para ou da Tela Ativa.
Ver e configurar Conectores e Coletores instalados com o Sentinel.
Importar ou exportar Conectores e Coletores de ou para um repositório centralizado.
Monitorar o fluxo de dados dos Coletores e Conectores configurados.
Ver as informações de dados iniciais.
Projetar, configurar e criar os componentes da hierarquia da Fonte de Eventos, além de executar as ações necessárias usando esses componentes.

Para obter mais informações, consulte a seção Gerenciamento de Fonte de Eventos do Guia do Usuário do Sentinel.

1.1.3 Coleta de dados

O Novell Sentinel Log Manager coleta dados de fontes de eventos configuradas com a ajuda de Conectores e Coletores.

Os Coletores são scripts que analisam os dados de várias fontes de eventos na estrutura normalizada do Sentinel, ou em alguns casos coletam outras formas de dados em fontes de dados externas. Cada Coletor deve ser implantado com um Conector compatível. Os Conectores facilitam a conectividade entre os Coletores do Sentinel Log Manager e as fontes de eventos ou dados.

O Novell Sentinel Log Manager oferece uma interface do usuário com base na Web aprimorada para o syslog e o Novell Audit para coletar com facilidade registros de fontes de eventos diferentes.

O Novell Sentinel Log Manager usa diversos métodos de conexão para coletar dados:

O Conector Syslog automaticamente aceita e configura fontes de dados syslog que enviam dados usando UDP, TCP ou TLS seguro.
O Conector de Auditoria automaticamente aceita e configura fontes de dados da Novell habilitadas para auditoria.
O Conector de Arquivos lê arquivos de registro.
O Conector SNMP recebe detecções de SNMP.
O Conector JDBC lê tabelas em bancos de dados.
O Conector WMS acessa os registros de eventos do Windows em computadores e servidores.
O Conector SDEE conecta-se a dispositivos que suportam o protocolo SDEE, tais como os dispositivos Cisco.
O Conector de Exportação de Registros de Pontos de Verificação (LEA) facilita a integração entre os Coletores do Sentinel e servidores de Pontos de Verificação com firewall.
O Conector de Link do Sentinel aceita dados de outros servidores do Novell Sentinel Log Manager.
O Conector de Processos aceita dados de processos personalizados que geram registros de eventos.

Você também pode adquirir uma licença adicional para fazer download dos conectores em sistemas operacionais mainframe e SAP.

Para obter a licença, ligue para 1-800-529-3400 ou contate o Suporte Técnico da Novell.

Para obter mais informações sobre configuração de Conectores, consulte os documentos sobre Conectores no site de plug-ins do Sentinel .

Para obter mais informações sobre a configuração da coleta de dados, consulte a seção Configurando a coleta de dados no Sentinel Log Manager 1.2.2 Administration Guide (Guia de Administração do Sentinel Log Manager 1.2).

NOTA:Você sempre deve fazer o download e importar a versão mais recente dos Coletores e Conectores. Os Coletores e Conectores atualizados são disponibilizados regularmente no site de plug-ins do Sentinel 6.1. As atualizações dos Conectores e Coletores incluem correções, suporte a eventos adicionais e melhorias de desempenho.

1.1.4 Gerenciador de Coletor

O Gerenciador de Coletor oferece um ponto flexível para coleta de dados no Sentinel Log Manager. O Novell Sentinel Log Manager instala um Gerenciador de Coletor por padrão durante a instalação. Porém, você pode instalar Gerenciadores de Coletor remotamente em lugares adequados na rede. Esses Gerenciadores de Coletor remotos executam Conectores e Coletores, encaminhando os dados coletados ao Novell Sentinel Log Manager para armazenamento e processamento.

Para obter informações sobre a instalação de Gerenciadores de Coletor adicionais, consulte Instalação de Gerenciadores de Coletor adicionais.

1.1.5 Armazenamento de Dados

Os dados fluem dos componentes de coleta de dados para os componentes de armazenamento de dados. Esses componentes usam um armazenamento de dados baseado em arquivos e um sistema de indexação para manter os dados de registros coletados, e um banco de dados PostgreSQL para manter os dados de configuração do Novell Sentinel Log Manager.

Os dados são armazenados em formato comprimido no sistema de arquivos do servidor e depois armazenados em um local configurado para armazenamento de longo prazo. Os dados podem ser armazenados localmente ou em um compartilhamento NFS ou SMB (CIFS) montado remotamente. Os arquivos de dados são apagados dos locais de armazenamento local e em rede com base na programação configurada na política de retenção de dados.

Você pode configurar políticas de retenção de dados para apagar dados no local de armazenamento se o limite de tempo para a retenção de dados específicos for excedido ou se o espaço disponível estiver abaixo de um valor especificado.

Para obter mais informações sobre a configuração do armazenamento de dados, consulte a seção Configurando o armazenamento de dados no Sentinel Log Manager 1.2.2 Administration Guide (Guia de Administração do Sentinel Log Manager 1.2).

1.1.6 Pesquisa e geração de relatórios

Os componentes de pesquisa e geração de relatórios ajudam a pesquisar e gerar relatórios nos dados de registro de eventos nos armazenamentos de dados locais ou em rede e nos sistemas de indexação. Os dados de eventos armazenados podem ser pesquisados genericamente ou usando campos de eventos específicos, como o nome de usuário de origem. Os resultados da pesquisa podem ser refinados ou filtrados e gravados como um gabarito de relatório para utilização futura.

O Sentinel Log Manager vem com relatórios pré-instalados. Você também pode fazer upload de relatórios adicionais. Você pode executar relatórios programados ou sempre que for necessário.

Para obter uma lista de relatórios padrão, consulte a seção Geração de relatórios no Sentinel Log Manager 1.2.2 Administration Guide (Guia de Administração do Sentinel Log Manager 1.2).

Para obter mais informações sobre a pesquisa de eventos e a geração de relatórios, consulte as seções Pesquisa de eventos e Gerador de relatórios no Guia de Administração do Sentinel Log Manager 1.2.2.

1.1.7 Link do Sentinel

O Sentinel Link pode ser usado para encaminhar dados de eventos de um Sentinel Log Manager para outro. Com a organização hierárquica dos Sentinel Log Managers, é possível reter registros completos em várias regiões e encaminhar eventos mais importantes para um único Sentinel Log Manager, de modo a centralizar a realização de pesquisas e a geração de relatórios.

Além disso, o Link do Sentinel pode encaminhar eventos importantes para o Novell Sentinel, um sistema completo de Gerenciamento de Segurança, Informações e Eventos (SIEM), para correlação avançada, correção de incidentes e injeção de informações contextuais de alto valor, como informações de identidade ou importância do servidor fornecidas por um sistema de gerenciamento de identidade.

1.1.8 Interface do usuário com base na Web

O Novell Sentinel Log Manager vem com uma interface do usuário com base na web para configurar e usar o Log Manager. A funcionalidade da interface do usuário é fornecida por um servidor Web e uma interface gráfica do usuário com base no Java Web Start. Todas as interfaces de usuário comunicam-se com o servidor através de uma conexão criptografada.

Você pode usar a interface da Web do Novell Sentinel Log Manager para executar as seguintes tarefas:

Pesquisar eventos
Gravar os critérios de pesquisa como um gabarito de relatório
Exibir e gerenciar relatórios
Iniciar a interface de Gerenciamento de Fonte de Eventos para configurar a coleta de dados em fontes de eventos diferentes do syslog e aplicativos Novell. (somente administradores)
Configurar o encaminhamento de dados (somente administradores)
Fazer download do instalador do Gerenciador de Coletor do Sentinel para instalação remota (somente administradores)
Ver a saúde de fontes de eventos (somente administradores)
Configurar a coleta de dados em fontes de eventos syslog e Novell (somente administradores)
Configurar o armazenamento de dados e ver a saúde do banco de dados (somente administradores)
Configurar o arquivamento de dados (somente administradores)
Configurar ações associadas para enviar dados de eventos correspondentes aos canais de saída (somente administradores)
Gerenciar contas e permissões de usuários (somente administradores)