Sentinel consta de los siguientes componentes:
El servicio de acceso a los datos de Sentinel es el principal componente utilizado para comunicarse con la base de datos de Sentinel. El servidor de acceso a datos y otros componentes de servidor trabajan conjuntamente para almacenar los eventos recibidos desde los gestores de recopiladores en la base de datos, filtrar datos, procesar presentaciones de Active Views, ejecutar consultas en la base de datos y procesar los resultados, así como gestionar tareas como la autenticación y la autorización de los usuarios. Para obtener más información, consulte Data Access Service
(Servicio de acceso a los datos) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Sentinel 6.1 Rapid Deployment utiliza un intermediario de mensajes de código abierto denominado Apache Active MQ. El bus de mensajes puede mover miles de paquetes de mensajes en un segundo entre los componentes de Sentinel. La arquitectura de Apache Active MQ está construida en torno a Java Message Oriented Middleware (JMOM), que admite llamadas asíncronas entre las aplicaciones cliente y servidor. Las colas de mensajes proporcionan un almacenamiento temporal cuando el programa de destino está ocupado o no está conectado. Para obtener más información, consulte Communication Server
(Servidor de comunicaciones) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
El producto Sentinel se genera en torno a una base de datos de un sistema secundario que almacena los eventos de seguridad y todos los metadatos de Sentinel. Sentinel 6.1 Rapid Deployment admite PostgreSQL. Los eventos se almacenan de forma normalizada, junto con datos de los activos y de vulnerabilidad, información de identidades, estados del flujo de trabajo y de las incidencias y muchos otros tipos de datos. Para obtener más información, consulte Sentinel Data Manager
(Gestor de datos de Sentinel) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel 6.1 Rapid Deployment).
El gestor de recopiladores de Sentinel gestiona la recopilación de datos, supervisa los mensajes de estado del sistema y realiza un filtrado de eventos según sea necesario. Las principales funciones del gestor de recopiladores son la transformación de eventos, la adición de relevancia empresarial en eventos mediante taxonomía, la realización de un filtrado global en eventos, el encaminamiento de los eventos y el envío de mensajes de la actividad al servidor de Sentinel. El gestor de recopiladores de Sentinel se conecta directamente con el bus de mensajes. Para obtener más información, consulte Collector Manager
(Gestor de recopiladores) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
El motor de correlación añade inteligencia a la gestión de eventos de seguridad mediante la automatización del análisis de los flujos de eventos entrantes para buscar patrones de interés. Además, la correlación permite definir reglas que identifican las amenazas importantes y los patrones complejos de ataque con el fin de asignar una prioridad a los eventos e iniciar tareas eficientes de gestión y respuesta para las incidencias. Para obtener más información, consulte Correlation Tab
(Pestaña Correlación) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Sentinel proporciona un sistema de gestión del flujo de tareas iTRAC para definir y automatizar procesos para las respuestas a incidencias. Aquellas incidencias que Sentinel identifique, bien manualmente o mediante una regla de correlación, pueden asociarse con un flujo de tareas iTRAC. Para obtener más información, consulte iTRAC Workflows
(Flujos de tareas iTRAC) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
El Asesor de Sentinel es un servicio de suscripción de datos opcional que incluye ataques conocidos, vulnerabilidades e información sobre la solución. Estos datos, combinados con las vulnerabilidades conocidas y la detección de intrusiones en tiempo real o la información de prevención del entorno, proporciona una detección de exploits proactiva y la capacidad de actuar de inmediato cuando tiene lugar un ataque contra un sistema vulnerable.
Junto a Sentinel 6.1 Rapid Deployment se instala por defecto una instantánea de datos del asesor. Necesita una licencia del asesor para poder suscribirse a las actualizaciones continuas de datos del asesor. Para obtener más información, consulte Advisor Usage and Maintenance
(Uso del asesor y mantenimiento) en la Sentinel Rapid Deployment User Guide (Guía del usuario de Sentinel Rapid Deployment).
Sentinel Rapid Deployment utiliza Apache Tomcat como servidor Web para permitir la conexión segura con la interfaz Web de Sentinel Rapid Deployment.