Sentinel 由以下组件组成:
Sentinel 数据访问服务是用于与 Sentinel 数据库通讯的主要组件。数据访问服务器需与其他服务器组件一同工作,以便将从收集器管理器收到的事件存储到数据库中、过滤数据、处理活动视图显示、执行数据库查询并处理结果,以及处理管理任务(如用户鉴定和授权)。有关详细信息,请参见《Sentinel Rapid Deployment 参考指南》中的数据访问服务
。
Sentinel 6.1 Rapid Deployment 使用名为 Apache Active MQ 的开放源代码讯息中介程序。该讯息总线可在一秒内将数千个讯息包在 Sentinel 的组件之间进行移动。Apache Active MQ 体系结构是基于 Java 面向消息的中间件 (Java Message Oriented Middleware, JMOM) 构建的,JMOM 支持客户端和服务器应用程序之间的异步调用。当目标程序繁忙或未连接时,讯息队列将提供临时存储。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的通讯服务器
。
Sentinel 产品基于存储安全性事件以及所有 Sentinel 元数据的后端数据库构建。Sentinel 6.1 Rapid Deployment 支持 PostgreSQL。事件以规范化的形式与资产和漏洞数据、身份信息、事件和工作流程状态以及许多其他类型的数据存储在一起。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的 Sentinel 数据管理器
。
Sentinel 收集器管理器管理数据收集、监视系统状态讯息并根据需要执行事件过滤。收集器管理器的主要功能包括转换事件、通过分类为事件添加业务相关性、对事件执行全局过滤、对事件进行路由以及将运行状况讯息发送到 Sentinel 服务器。Sentinel 收集器管理器将直接连接到讯息总线。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的收集器管理器
。
关联引擎可通过自动分析收到的事件流来发现感兴趣的模式,从而提高安全事件管理的智能水平。关联功能允许您定义用于确定严重威胁以及复杂攻击模式的规则,以便确定事件的优先级并进行有效的事件管理和响应。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的关联选项卡
。
Sentinel 提供用于定义事件响应过程并使其自动执行的 iTRAC 工作流程管理系统。可以将 Sentinel 中通过关联规则标识的事件或手动标识的事件与 iTRAC 工作流程关联。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的 iTRAC 工作流程
。
Sentinel Advisor 是一种可选的数据订阅服务,其中包括已知攻击、漏洞和补救措施方面的信息。此数据结合您所在环境的已知漏洞和实时入侵检测或预防信息,可提供主动的攻击检测,并可让您在存在漏洞的系统遭受攻击时立即采取措施。
Sentinel 6.1 Rapid Deployment 安装在默认情况下会安装一份 Advisor 数据快照。您需要 Advisor 许可证来订购持续的 Advisor 数据更新。有关详细信息,请参见《Sentinel Rapid Deployment 用户指南》中的 Advisor 的使用和维护
。
Sentinel Rapid Deployment 使用 Apache Tomcat 作为其 Web 服务器,以实现与 Sentinel Rapid Deployment Web 界面的安全连接。