O Sentinel é formado pelos seguintes componentes:
O Serviço de Acesso a Dados do Sentinel é o principal componente usado na comunicação com o banco de dados do Sentinel. O Serviço de Acesso a Dados e outros componentes do servidor trabalham juntos para armazenar eventos recebidos dos Gerenciadores de Coletor no banco de dados, filtrar dados, processar telas do Active View, executar consultas de bancos de dados e processar resultados, e também gerenciar tarefas administrativas, como autorização e autenticação do usuário. Para obter mais informações, consulte Data Access Service
(Serviço de Acesso a Dados) no Sentinel Rapid Deployment Reference Guide (Guia de Referência do Sentinel Rapid Deployment).
O Sentinel 6.1 Rapid Deployment usa o mediador de mensagens de código-fonte aberto chamado Apache Active MQ. O barramento de mensagem pode mover milhares de pacotes de mensagens em um segundo entre os componentes do Sentinel. A arquitetura do Apache Active MQ foi desenvolvida com base no Java Message Oriented Middleware (JMOM), que suporta chamadas assíncronas entre os aplicativos cliente e servidor. As filas de mensagens fornecem armazenamento temporário quando o programa de destino está ocupado ou não está conectado. Para obter mais informações, consulte Communication Server
(Servidor de comunicação) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment)
O Sentinel tem como base um banco de dados de back end que armazena eventos de segurança e todos os metadados do Sentinel. O Sentinel 6.1 Rapid Deployment suporta PostgreSQL. Os eventos são armazenados em um formato regularizado juntamente com dados de vulnerabilidade e de ativos, informações de identidade, status de incidente e de workflow e muitos outros tipos de dados. Para obter mais informações, consulte Sentinel Data Manager
(Gerenciador de Dados do Sentinel) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O Gerenciador de Coletor do Sentinel gerencia coletas de dados, monitora mensagens de status do sistema e filtra eventos, conforme necessário. As principais funções do Gerenciador de Coletor incluem transformar eventos, adicionar relevância comercial aos eventos por meio de taxonomia, executar filtragem global nos eventos, rotear eventos e enviar mensagens sobre saúde ao Sentinel Server. O Gerenciador de Coletor do Sentinel conecta-se diretamente ao barramento de mensagem. Para obter mais informações, consulte Collector Manager
(Gerenciador de Coletor) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O Mecanismo de Correlação agrega inteligência ao gerenciamento de eventos de segurança automatizando a análise do fluxo de eventos de entrada para localizar padrões de interesse. A correlação permite definir regras que identificam as ameaças importantes e padrões complexos de ataque, para que você consiga priorizar os eventos e iniciar o gerenciamento e a resposta eficazes aos incidentes. Para obter mais informações, consulte Correlation Tab
(Guia Correlação) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O Sentinel fornece um sistema de gerenciamento de workflow do iTRAC para que você possa definir e automatizar processos de respostas a incidentes. Incidentes identificados no Sentinel, seja por uma regra de correlação ou manualmente, podem ser associados a um workflow do iTRAC. Para obter mais informações, consulte iTRAC Workflows
(Workflows do iTRAC) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O Sentinel Advisor é um serviço opcional de inscrição de dados que inclui informações sobre ataques conhecidos, vulnerabilidades e correções. Esses dados, combinados com informações sobre vulnerabilidades conhecidas e sobre prevenção ou detecção de intrusão em tempo real no ambiente, fornecem uma detecção de exploração proativa e a capacidade de agir imediatamente quando um ataque ocorre em um sistema vulnerável.
Um instantâneo de dados do Advisor é instalado por padrão durante a instalação do Sentinel 6.1 Rapid Deployment. Você precisa de uma licença do Advisor para assinar as atualizações contínuas de dados do Advisor. Para obter mais informações, consulte Advisor Usage and Maintenance
(Uso e manutenção do Advisor) no Sentinel Rapid Deployment User Guide (Guia do Usuário do Sentinel Rapid Deployment).
O Sentinel Rapid Deployment usa o Apache Tomcat como seu servidor Web para conectar-se com segurança à interface da Web do Sentinel Rapid Deployment.