Novell Doc: Sentinel Rapid Deploymentインストールガイド

1.4 Sentinelサーバコンポーネント

Sentinelは次のコンポーネントから構成されています。

1.4.1 データアクセスサービス

Sentinelデータアクセスサービスは、Sentinelデータベースとの通信に使用される主要なコンポーネントです。データアクセスサーバと他のサーバコンポーネントとの連携により、コレクタマネージャから受け取ったイベントのデータベースへの格納、データのフィルタ処理、アクティブビュー表示の処理、データベースクエリの実行と結果の処理、およびユーザの認証や承認など管理タスクの管理を行うことができます。詳細については、『Sentinel Rapid Deployment Reference Guide』のData Access Serviceを参照してください。

1.4.2 メッセージバス

Sentinel 6.1 Rapid Deploymentは、Apache Active MQという名前のオープンソースメッセージブローカを使用します。メッセージバスを使用すると、Sentinelのコンポーネント間で何千ものメッセージパケットを直ちに移動できます。Apache Active Mqのアーキテクチャは、Javaメッセージ指向ミドルウェア(JMOM)を基礎として構築され、クライアントアプリケーションとサーバアプリケーションの間の非同期呼び出しをサポートしています。宛先のプログラムがビジーまたは接続されていない場合、メッセージキューによって一時的な保存場所が提供されます。詳細については、『Sentinel Rapid Deployment User Guide』のCommunication Serverを参照してください。

1.4.3 Sentinelデータベース

Sentinel製品は、セキュリティイベントおよびすべてのSentinelメタデータを格納するバックエンドデータベースを基に構築されます。Sentinel 6.1 Rapid Deploymentは、PostgreSQLをサポートしています。イベントは、アセットおよび脆弱性データ、ID情報、インシデントおよびワークフローステータス、および多くのその他の種類のデータとともに、正規化された形式で格納されます。詳細については、『Sentinel Rapid Deployment User Guide』のSentinel Data Managerを参照してください。

1.4.4 Sentinelコレクタマネージャ

Sentinelコレクタマネージャは、データコレクションを管理し、システムステータスメッセージを監視し、必要に応じてイベントフィルタリングを実行します。コレクタマネージャの主な機能には、イベントの変換、タクソノミを通じてのイベントのビジネスへの関連付け、イベントに対するグローバルフィルタリングの実行、イベントのルーティング、Sentinelサーバへのヘルスメッセージの送信があります。Sentinelコレクタマネージャは、メッセージバスに直接接続します。詳細については、『Sentinel Rapid Deployment User Guide』のCollector Managerを参照してください。

1.4.5 Correlation Engine (相関エンジン)

相関エンジンにより、受信するイベントストリームの分析を自動化し、特定のパターンを発見できるため、セキュリティイベント管理のインテリジェンスが高まります。相関関係により、重大な脅威や複雑な攻撃パターンを識別するルールを定義できることで、イベントに優先順位をつけるとともに、効果的なインシデント管理と対応が可能になります。詳細については、『Sentinel Rapid Deployment User Guide』のCorrelation Tabを参照してください。

1.4.6 iTRAC

Sentinelには、インシデント応答プロセスを定義して自動化するための、iTRACワークフロー管理システムが用意されています。Sentinelで特定されるインシデントは、相関ルールによるものであろうと手動によるものであろうと、iTRACワークフローと関連付けることができます。詳細については、『Sentinel Rapid Deployment User Guide』のiTRAC Workflowsを参照してください。

1.4.7 Sentinel Advisorとエクスプロイト検出

Sentinel Advisorは、既知の攻撃、脆弱性、修正に関する情報を含む、オプションのデータサブスクリプションサービスです。このデータを、既知の脆弱性、そして環境からのリアルタイムの侵入検知/防御情報と組み合わせて使用することによって、予防的なエクスプロイト検出を行い、脆弱なシステムに対する攻撃に直ちに対処することができます。

アドバイザデータのスナップショットはSentinel 6.1 Rapid Deploymentのインストール時にデフォルトでインストールされます。アドバイザデータの継続的な更新を購読するには、アドバイザライセンスが必要です。詳細については、『Sentinel Rapid Deployment User Guide』のAdvisor Usage and Maintenanceを参照してください。

1.4.8 Webサーバ

Sentinel Rapid Deploymentは、Sentinel Rapid DeploymentのWebインタフェースに安全な接続ができるように、WebサーバにApache Tomcatを採用しています。