In diesem Abschnitt erhalten Sie einen Einblick in die nach der Installation vorzunehmende Konfiguration für die Sentinel Rapid Deployment-Dienste.
Das Standardformat für Datum und Uhrzeit im Sentinel Control Center kann geändert werden. Weitere Informationen zur Anpassung des Formats von Datums- und Zeitangaben auf Ihre lokale Zeitzone finden Sie auf der Java-Website.
Bearbeiten Sie die Datei SentinelPreferences.properties.
<Installationsverzeichnis>/config/SentinelPreferences.properties
Entfernen Sie den Kommentar aus der folgenden Zeile und ändern Sie das Format für die Datums- und Uhrzeitfelder von Sentinel Control Center-Ereignissen:
com.eSecurity.Sentinel.event.datetimeformat=yyyy-MM-dd'T'HH:mm:ss.SSSZ
In Sentinel Rapid Deployment arbeitet eine JavaScript SendEmail-Aktion mit einem SMTP-Integrator zusammen, um Mail-Nachrichten aus verschiedenen Kontexten innerhalb der Sentinel-Schnittstelle an die Mail-Empfänger zu senden. Der SMTP-Integrator muss mit gültigen Verbindungsinformationen konfiguriert werden, damit er ordnungsgemäß funktioniert. Weitere Informationen finden Sie unter Sending an E-mail
(Senden einer Email) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
In jeder Sentinel-Installation wird automatisch eine Aktionsinstanz des Aktions-Plugins „SendEmail“ erstellt. Bis auf die Angabe der Empfänger und des Inhalts der Nachricht in den Aktionsparametern ist für die SendEmail-Aktion keine Konfiguration erforderlich.
Die SendEmail-Aktion wird intern von Sentinel ausgelöst, um in den folgenden Situationen Emails zu senden:
Wenn eine Korrelationsregel generiert wird, wird eine SendEmail-Aktion ausgelöst. Bei der SendEmail-Aktion handelt es sich um die durch das Zahnrad symbolisierte Aktion, die nur für die Korrelation gültig ist (anders als die JavaScript-SendEmail-Aktion, zu der das JavaScript-Symbol „JS“ gehört).
Wenn ein Workflow einen Email-Schritt oder eine Email-Aktivität enthält, der bzw. die für das Senden von Email konfiguriert ist.
Wenn ein Benutzer einen Vorfall öffnet und eine Aktivität ausführt, die zum Senden von Email konfiguriert ist.
Wenn ein Benutzer mit der rechten Maustaste auf ein Ereignis klickt und wählt.
Wenn der Benutzer einen Vorfall öffnet und wählt.
Collector-Manager verwalten alle Datensammel- und -analyseprozesse. Manchmal ist es für den Lastausgleich zwischen Computern erforderlich, einen zusätzlichen Sentinel Collector-Manager-Knoten für eine Sentinel-Umgebung zu installieren. Remote-Collector-Manager bieten einige Vorteile:
Sie ermöglichen eine verteilte Ereignisanalyse und -verarbeitung und tragen zur Verbesserung der Systemleistung bei.
Sie ermöglichen die Filterung, Verschlüsselung und Datenkomprimierung auf den Quellsystemen über die Kollokation mit den Ereignisquellen. Dies reduziert die Anforderungen an die Netzwerkbandbreite und gewährleistet zusätzliche Datensicherheit.
Sie ermöglichen die Installation auf weiteren Betriebssystemen. Beispielsweise die Installation eines Collector-Manager-Knotens auf Microsoft Windows, um die Datensammlung unter Verwendung des WMI-Protokolls zu ermöglichen.
Sie ermöglichen das Datei-Caching, mit dessen Hilfe Remote-Collector-Manager große Datenmengen im Cache speichern können, wenn der Server vorübergehend durch das Archivieren oder Verarbeiten eines hohen Ereignisaufkommens belegt ist. Dies ist ein Vorteil bei Protokollen wie Syslog, die nicht von vornherein ein Ereignis-Caching unterstützen.
Außerdem kann für die Collector-Manager-Komponenten ein Lastausgleich durchgeführt werden, indem Instanzen dieser Komponenten auf zusätzlichen Computern installiert werden. Sie können weitere Collector-Manager installieren, indem Sie das Installationsprogramm auf einem neuen Computer ausführen. Weitere Informationen zur Installation von Collector-Managern finden Sie in Abschnitt 3.3.4, Installieren des Sentinel Collector-Managers auf SLES oder Windows.
Während der Installation des Sentinel Rapid Deployment-Servers wird ein Collector mit der Bezeichnung „Generic Collector“ konfiguriert. Standardmäßig erstellt er 5 Ereignisse pro Sekunde (eps).
Weitere Collectors, die Sie für Ihr System benötigen, können Sie von der Novell Website herunterladen.
Sie müssen den Sentinel-Server mit einem NTP-Server oder einen anderen Zeitserver verbinden. Wenn die Systemzeit nicht zwischen den einzelnen Computern synchronisiert ist, funktionieren Sentinel Correlation Engine und Active Views nicht ordnungsgemäß. Die Ereignisse von den Collector-Managern werden nicht als Echtzeitereignisse betrachtet und daher unter Umgehung der Sentinel Control Center und Correlation Engines nicht direkt an die Sentinel-Datenbank gesendet.
Standardmäßig liegt der Schwellwert für Echtzeit-Daten bei 120 Sekunden. Diese Vorgabe kann durch eine Änderung des Werts esecurity.router.event.realtime.expiration in der Datei event-router.properties geändert werden. Die Sentinel-Ereignisuhrzeit wird entsprechend der Uhrzeit des Trust Device oder des Collector-Managers ausgefüllt. Die Uhrzeit des Trust Device kann während der Konfiguration eines Collector ausgewählt werden. Die Uhrzeit des Trust Device ist der Zeitpunkt, an dem das Protokoll vom Gerät erstellt wurde. Die Collector-Manager-Uhrzeit ist die lokale Systemzeit des Collector-Manager-Systems.