O Sentinel gerencia as informações e os eventos de segurança de forma contínua em todo o ambiente de TI para garantir uma solução de monitoramento completa.
O Sentinel faz o seguinte:
Reúne informações de registros, eventos e segurança de todas as diferentes fontes de eventos presentes em seu ambiente de TI.
Padroniza as informações de registros, eventos e segurança reunidas em um formato comum.
Armazena eventos em um repositório de dados baseado em arquivo com políticas flexíveis e personalizáveis de retenção de dados.
Fornece a capacidade de vincular hierarquicamente vários sistemas Sentinel, incluindo o Sentinel Log Manager;
Permite pesquisar eventos não apenas no servidor Sentinel local, mas também em outros servidores Sentinel distribuídos no mundo.
Realiza uma análise estatística que permite definir uma linha de base e, depois, compará-la ao que está acontecendo a fim de determinar se há problemas que passaram despercebidos.
Correlaciona um conjunto de eventos semelhantes ou comparáveis em determinado período para estabelecer um padrão.
Organiza os eventos por incidente a fim de viabilizar gerenciamento de resposta e monitoramento eficientes; e
Fornece relatórios com base em eventos em tempo real e históricos.
A figura a seguir ilustra o funcionamento do Sentinel:
Figura 2-1 Arquitetura do Sentinel
As seções a seguir descrevem os componentes do Sentinel em detalhes: