Sentinel 由下列元件組成:
Sentinel 資料存取服務是用來與 Sentinel 資料庫通訊的主要元件。資料存取伺服器搭配其他伺服器元件,可將自收集器管理員所接收的事件儲存至資料庫中、過濾資料、處理主動檢視顯示、執行資料庫查詢並處理結果,以及處理權限管理任務,例如使用者驗證與授權。如需詳細資訊,請參閱《Sentinel Rapid Deployment Reference Guide》(Sentinel Rapid Deployment 參考指南) 中的 Data Access Service
(資料存取服務)。
Sentinel 6.1 Rapid Deployment 使用開放原始碼的訊息仲介,稱為 Apache Active MQ。訊息匯流排可以在短時間內於 Sentinel 元件之間移動數以千計的訊息封包。Apache Active MQ 架構是以 Java Message Oriented Middleware (JMOM) 為基礎,JMOM 支援用戶端與伺服器應用程式之間的非同步呼叫。當目的程式忙碌或未連接時,訊息佇列可提供暫時儲存空間。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Communication Server
(通訊伺服器)。
Sentinel 產品是以儲存安全性事件和所有 Sentinel 中繼資料的終端資料庫為基礎而建立的。Sentinel 6.1 Rapid Deployment 支援 PostgreSQL。事件會連同資產、漏洞資料、識別資訊、事件與工作流程狀態及其他類型的資料,以標準化格式一起儲存。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Sentinel Data Manager
(Sentinel 資料管理員)。
Sentinel 收集器管理員可管理資料收集、監控系統狀態訊息,並視需要執行事件過濾。收集器管理員的主要功能包括轉換事件、經由分類來為事件新增業務相關性、對事件執行全域過濾、路由事件並傳送狀態訊息至 Sentinel 伺服器。「Sentinel 收集器管理員」會直接連接到訊息匯流排。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Collector Manager
(收集器管理員)。
關連引擎會自動分析收到的事件資料流來尋找有嫌疑的模式,藉此提升安全性事件管理方面的情報完整度。您可使用關聯性來定義規則以識別嚴重威脅和複雜的攻擊模式,以便您按優先順序來處理事件並進行有效的事件管理和回應作業。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Correlation Tab
(關連索引標籤)。
Sentinel 提供 iTRAC 工作流程管理系統,以定義與自動化事件回應的程序。在 Sentinel 中利用關聯性規則或透過手動方式所識別的事件,都可以與 iTRAC 工作流程建立關聯。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 iTRAC Workflows
(iTRAC 工作流程)。
「Sentinel Advisor」為選擇性的資料訂閱服務,其中包括已知攻擊、弱點,以及矯正的資訊。本資料結合您環境的已知弱點與即時入侵偵測或預防資訊,提供主動入侵偵測,並且可以在易受威脅系統遭受攻擊時立即行動。
安裝 Sentinel 6.1 Rapid Deployment 時預設會安裝一個 Advisor 資料快照。您需要 Advisor 授權才能訂閱持續發佈的 Advisor 資料更新。如需詳細資訊,請參閱《Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南) 中的 Advisor Usage and Maintenance
(Advisor 的使用與維護)。
Sentinel Rapid Deployment 使用 Apache Tomcat 做為其 Web 伺服器,藉此確保連往 Sentinel Rapid Deployment Web 介面的連線安全無虞。