2.0 Como o Sentinel funciona
O Sentinel gerencia as informações e os eventos de segurança de forma contínua em todo o ambiente de TI para garantir uma solução de monitoramento completa.
O Sentinel faz o seguinte:
-
Reúne informações de registros, eventos e segurança de todas as diferentes fontes de eventos presentes em seu ambiente de TI.
-
Padroniza as informações de registros, eventos e segurança reunidas em um formato comum.
-
Armazena eventos em um repositório de dados baseado em arquivo com políticas flexíveis e personalizáveis de retenção de dados.
-
Fornece a capacidade de vincular hierarquicamente vários sistemas Sentinel, incluindo o Sentinel Log Manager;
-
Permite pesquisar eventos não apenas no servidor Sentinel local, mas também em outros servidores Sentinel distribuídos no mundo.
-
Realiza uma análise estatística que permite definir uma linha de base e, depois, compará-la ao que está acontecendo a fim de determinar se há problemas que passaram despercebidos.
-
Correlaciona um conjunto de eventos semelhantes ou comparáveis em determinado período para estabelecer um padrão.
-
Organiza os eventos por incidente a fim de viabilizar gerenciamento de resposta e monitoramento eficientes; e
-
Fornece relatórios com base em eventos em tempo real e históricos.
A figura a seguir ilustra o funcionamento do Sentinel:
Figura 2-1 Arquitetura do Sentinel
As seções a seguir descrevem os componentes do Sentinel em detalhes: