Sentinel besteht aus den folgenden Komponenten:
Der Sentinel Data Access Service ist die Hauptkomponente für die Kommunikation mit der Sentinel-Datenbank. Der Data Access Server sorgt gemeinsam mit anderen Server-Komponenten dafür, dass von den Collector-Managern übermittelte Ereignisse in der Datenbank gespeichert, Daten gefiltert, Active View-Anzeigen verarbeitet, Datenbankabfragen durchgeführt, Ergebnisse verarbeitet und administrative Aufgaben wie z. B. die Benutzerauthentifizierung und -autorisierung durchgeführt werden. Weitere Informationen finden Sie unter Data Access Service
im Sentinel Rapid Deployment Reference Guide (Sentinel Rapid Deployment Referenzhandbuch).
Sentinel Rapid 6.1 Deployment verwendet den Open-Source-Message-Broker Apache Active MQ. Der Nachrichtenbus kann in einer einzigen Sekunde Tausende Nachrichtenpakete zwischen den Komponenten von Sentinel übertragen. Die Apache Active MQ-Architektur orientiert sich an der Java Message Oriented Middleware (JMOM), die asynchrone Aufrufe zwischen den Client- und Server-Anwendungen unterstützt. Nachrichtenwarteschlangen ermöglichen die temporäre Speicherung, wenn das Zielprogramm beschäftigt ist oder keine Verbindung hergestellt werden kann. Weitere Informationen finden Sie unter Communication Server
(Kommunikationsserver) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Das Produkt Sentinel wurde um eine Backend-Datenbank herum erstellt, in der Sicherheitsereignisse sowie sämtliche Sentinel-Metadaten gespeichert sind. Sentinel 6.1 Rapid Deployment unterstützt PostgreSQL. Die Ereignisse werden in normalisierter Form gespeichert, zusammen mit Bestands- und Anfälligkeitsdaten, Identitätsdaten, Vorfall- und Workflow-Status sowie zahlreichen anderen Datentypen. Weitere Informationen finden Sie unter Sentinel Data Manager
im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Der Sentinel Collector-Manager verwaltet die Datenerfassung, überwacht Meldungen zum Systemstatus und führt bei Bedarf eine Ereignisfilterung durch. Zu den Hauptfunktionen des Collector-Managers zählen das Umwandeln von Ereignissen, das Hinzufügen unternehmensrelevanter Kontextinformationen zu Ereignissen über die Taxonomie, das globale Filtern von Ereignissen, das Routing von Ereignissen sowie das Senden von Zustandsmeldungen an den Sentinel-Server. Der Sentinel Collector-Manager stellt eine direkte Verbindung mit dem Nachrichtenbus her. Weitere Informationen finden Sie unter Collector Manager
(Collector-Manager) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Die Correlation Engine automatisiert die Analyse des eingehenden Ereignisdatenstroms zur Identifikation relevanter Muster und verbessert auf diese Weise die Handhabung von Sicherheitsereignissen. Die Korrelation ermöglicht Ihnen das Definieren von Regeln, die kritische Bedrohungen und komplexe Angriffsmuster identifizieren, sodass Sie Ereignissen Priorität verleihen und eine effektive Vorfallsverwaltung und -reaktion initialisieren können. Weitere Informationen finden Sie unter Correlation Tab
(Registerkarte Correlation) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Sentinel stellt ein iTRAC-Workflow-Verwaltungssystem bereit, mit dem Prozesse für die Vorfallsreaktion definiert und automatisiert werden können. Vorfälle, die in Sentinel entweder durch eine Korrelationsregel oder manuell identifiziert werden, können mit einem iTRAC-Workflow verknüpft werden. Weitere Informationen finden Sie unter iTRAC Workflows
(iTRAC-Workflows) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Sentinel Advisor ist ein optionaler Datenabonnement-Service mit Informationen zu bekannten Angriffen, Anfälligkeiten und Gegenmaßnahmen. Diese Daten ermöglichen in Kombination mit Informationen zu bekannten Schwachstellen sowie Echtzeit-Informationen zu Intrusion Detection (Erkennung von Eindringversuchen) und den entsprechenden Gegenmaßnahmen aus Ihrer Systemumgebung eine proaktive Schwachstellenerkennung. Außerdem kann im Falle eines Angriffs eines anfälligen Systems sofort reagiert werden.
Bei der Installation von Sentinel 6.1 Rapid Deployment wird standardmäßig ein Advisor-Daten-Snapshot installiert. Sie benötigen eine Advisor-Lizenz, um die fortlaufenden Aktualisierungen der Advisor-Daten zu abonnieren. Weitere Informationen finden Sie unter Advisor Usage and Maintenance
(Verwendung und Wartung von Advisor) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Für eine sichere Verbindung zur Weboberfläche von Sentinel Rapid Deployment wird Apache Tomcat als Webserver verwendet.