Sentinel 能持續管理 IT 環境中的安全性資訊和事件,提供全方位的監控解決方案。
Sentinel 進行下列動作:
從 IT 環境中各個不同的事件來源蒐集記錄、事件及安全性資訊。
將收集來的記錄、事件及安全性資訊標準化,使其成為通用的格式。
透過彈性、可自訂的資料保留規則,將事件儲存在檔案式資料儲存中。
提供以階層方式連結多個 Sentinel 系統的能力,包括 Sentinel Log Manager。
能讓您搜尋本地 Sentinel 伺服器上的事件,也能搜尋散佈全球的其他 Sentinel 伺服器上的事件。
執行能讓您定義基線的統計分析,接著再比對基線和發生的事件,以判斷是否有潛藏的問題。
使指定期間內一組類似或可比較的事件相互關連,以判斷出模式。
將事件 (event) 組織為事件 (incident),以獲得有效的回應管理和追蹤能力。
提供以即時和歷程事件為基礎的報告。
下圖說明 Sentinel 的運作方式:
圖 2-1 Sentinel 架構
以下各節會詳細說明 Sentinel 元件: