Sentinel è costituito dai componenti seguenti:
Sentinel Data Access Service è il componente principale utilizzato per comunicare con il database di Sentinel. Il processo DAS e altri componenti del server funzionano congiuntamente per memorizzare gli eventi ricevuti da istanze di Gestione servizi di raccolta nel database, filtrare i dati, elaborare le visualizzazioni Active Views, eseguire interrogazioni del database ed elaborare i risultati e gestire task amministrativi, ad esempio l'autenticazione e l'autorizzazione utente. Per ulteriori informazioni, vedere Data Access Service
in Sentinel Rapid Deployment Reference Guide (in lingua inglese).
Sentinel 6.1 Rapid Deployment utilizza un broker dei messaggi open source denominato Apache Active MQ. Il bus dei messaggi è in grado di spostare migliaia di pacchetti di messaggi in un secondo tra i componenti di Sentinel. L'architettura di Apache Active MQ è basata sul middleware di messaggistica Java, che supporta le chiamate asincrone tra le applicazioni client e server. Le code di messaggi forniscono una memorizzazione temporanea quando il programma di destinazione è occupato o non connesso. Per ulteriori informazioni, vedere Communication Server
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Il prodotto Sentinel è stato creato sulla base di un database backend in cui sono memorizzati gli eventi di sicurezza e tutti i metadati di Sentinel. Sentinel 6.1 Rapid Deployment supporta PostgreSQL. Gli eventi vengono memorizzati nel formato normale, insieme ai dati sulla risorsa e sulla vulnerabilità, alle informazioni sull'identità, allo stato dei casi e del workflow e a molti altri tipi di dati. Per ulteriori informazioni, vedere Sentinel Data Manager
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Gestione servizi di raccolta Sentinel gestisce la raccolta dei dati, monitora i messaggi di stato del sistema e applica i filtri agli eventi in base secondo necessità. Le funzioni principali di Gestione servizi di raccolta comprendono la trasformazione degli eventi, l'aggiunta di rilevanza aziendale agli eventi mediante tassonomia, l'applicazione di filtri globali sugli eventi, l'instradamento degli eventi e l'invio di messaggi di stato al server Sentinel. Gestione servizi di raccolta Sentinel si connette direttamente al bus dei messaggi. Per ulteriori informazioni, vedere Collector Manager
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Grazie al motore di correlazione sono disponibili nuove funzioni di gestione degli eventi di sicurezza che consentono di automatizzare l'analisi del flusso di eventi in ingresso per individuare eventuali schemi di interesse. La correlazione consente di definire regole per l'identificazione di minacce critiche e modelli di attacco complessi, al fine di poter stabilire una priorità per gli eventi, nonché reagire e gestire i casi in modo efficace. Per ulteriori informazioni, vedere Correlation Tab
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Sentinel fornisce un sistema di gestione del workflow iTRAC per la definizione e l'automazione dei processi relativi alla risposta dei casi. I casi identificati in Sentinel, tramite una regola di correlazione o manualmente, possono essere associati a un workflow iTRAC. Per ulteriori informazioni, vedere iTRAC Workflows
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Advisor di Sentinel è un servizio facoltativo di sottoscrizione ai dati che include attacchi noti, vulnerabilità e informazioni sulla correzione. Questi dati, associati alle vulnerabilità note e al rilevamento delle istruzioni in tempo reale o a informazioni sulla prevenzione dal rispettivo ambiente, consentono un rilevamento exploit proattivo e la possibilità di agire tempestivamente in caso di attacco a un sistema vulnerabile.
Per default, con Sentinel 6.1 Rapid Deployment viene installato uno snapshot dei dati di Advisor. Per ricevere gli aggiornamenti periodici dei dati di Advisor è necessaria una licenza Advisor. Per ulteriori informazioni, vedere Advisor Usage and Maintenance
in Sentinel Rapid Deployment User Guide (in lingua inglese).
Sentinel Rapid Deployment utilizza Apache Tomcat come server Web per consentire la connessione sicura all'interfaccia Web di Sentinel Rapid Deployment.