Sentinel est constitué des composants suivants :
Sentinel Data Access Service est le principal composant utilisé pour communiquer avec la base de données Sentinel. Le composant DAS et d'autres composants serveur fonctionnent conjointement pour recevoir les événements envoyés par les gestionnaires des collecteurs, les stocker dans la base de données, filtrer les données, traiter les affichages Active Views, exécuter les requêtes de base de données et en analyser les résultats, ainsi que gérer les tâches administratives telles que l'authentification et les autorisations des utilisateurs. Pour plus d'informations, reportez-vous à la section Data Access Service
du Guide de référence de Sentinel Rapid Deployment.
Sentinel 6.1 Rapid Deployment utilise un courtier de messages Open Source intitulé Apache ActiveMQ. Le bus de messages peut déplacer, en une seule seconde, des milliers de paquets de messages entre les différents composants de Sentinel. L'architecture d'Apache ActiveMQ s'articule autour de l'intergiciel Java orienté message (JMOM - Java Message Oriented Middleware) qui prend en charge les appels synchrones entre les programmes clients et les applications serveur. Les files d'attente de messages constituent une zone de stockage temporaire lorsque le programme cible est occupé ou n'est pas connecté. Pour plus d'informations, reportez-vous à la section Serveur de communication
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Le produit Sentinel s'articule autour d'une base de données principale qui stocke les événements de sécurité et toutes les métadonnées de Sentinel. Sentinel 6.1 Rapid Deployment prend en charge le système PostgreSQL. Les événements sont stockés sous forme normalisée, avec les données de vulnérabilité et de ressource, les informations d'identité, l'état des incidents et des processus de travail, et bien d'autres données. Pour plus d'informations, reportez-vous à la section Gestionnaire de données Sentinel
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Le gestionnaire des collecteurs Sentinel gère la collecte des données, surveille les messages d'état du système et filtre les événements selon les besoins. Il permet notamment de transformer des événements, de les rendre pertinents pour l'entreprise en utilisant la taxonomie, de leur appliquer un filtre global, de les acheminer et d'envoyer des messages d'état de santé au serveur Sentinel. Le gestionnaire des collecteurs Sentinel se connecte directement au bus de messages. Pour plus d'informations, reportez-vous à la section Gestionnaire des collecteurs
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Le moteur de corrélation améliore la gestion des événements de sécurité en automatisant l'analyse des flux d'événements entrants en vue de rechercher des modèles pertinents. Cette fonction vous permet de définir des règles qui identifient les menaces critiques et les modèles d'attaque complexes de sorte que vous puissiez classer les événements par priorité ainsi que gérer les incidents et y répondre avec efficacité. Pour plus d'informations, reportez-vous à la section Onglet de corrélation
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Sentinel propose un système de gestion des processus de travail iTRAC permettant de définir et d'automatiser les processus de réponse en cas d'incidents. Les incidents identifiés dans Sentinel, soit manuellement soit par une règle de corrélation, peuvent être associés avec un processus de travail iTRAC. Pour plus d'informations, reportez-vous à la section Processus de travail iTRAC
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Sentinel Advisor est un service facultatif par abonnement qui fournit des informations sur les attaques, les vulnérabilités et les traitements connus. Ces données, associées aux vulnérabilités connues et à la détection d'intrusion en temps réel ou aux informations de prévention issues de votre environnement, permettent une détection proactive des exploits et une action immédiate en cas d'attaque contre un système vulnérable.
Un instantané des données Advisor est installé par défaut avec Sentinel 6.1 Rapid Deployment. Vous devez disposer d'une licence Advisor pour vous abonner aux mises à jour régulières des données Advisor. Pour plus d'informations, reportez-vous à la section Utilisation et maintenance d'Advisor
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Sentinel Rapid Deployment utilise Apache Tomcat en tant que serveur Web pour assurer la connexion à l'interface Web de Sentinel Rapid Deployment.