Événement Sentinel
Sentinel reçoit les informations des périphériques, normalise ces informations en une structure nommée Événement Sentinel (ou Événement), puis envoie l'événement afin qu'il soit traité. L'événement est traité par l'affichage en temps réel, le moteur de corrélation et le serveur principal.
Un événement consiste en plus de 200 balises. Les balises sont de types différents et ont des fonctions différentes. Certaines sont prédéfinies, telles que celles relatives à la gravité,
à la sévérité, à l'IP cible et au port cible. Il existe deux groupes de balises configurables : les balises réservées, destinées au fonctionnement interne de Novell en vue d'une expansion future, et les balises client, destinées aux extensions client.
Il est possible d'attribuer une nouvelle fonction aux balises en les renommant. La source d'une balise peut être externe, auquel cas la balise est définie explicitement par le périphérique ou le collecteur ou référentiel correspondant. La valeur d'une balise de référence est calculée en tant que fonction d'une ou de plusieurs autres balises à l'aide du service d'assignation.
Par exemple, une balise peut être définie pour être le code de génération du bâtiment contenant l'actif mentionné comme IP cible d'un événement, ou bien encore, une balise peut être définie par le service d'assignation à l'aide d'une assignation définie par le client utilisant l'IP cible de l'événement.
Service d'assignation
Le service d'assignation permet à un mécanisme sophistiqué de propager les données d'entreprise sur le système. Cette fonctionnalité favorise l'évolutivité et apporte des capacités d'extension en permettant un transfert intelligent des données entre différents nœuds du système distribué.
Le service d'assignation constitue une fonction de propagation des données qui permet d'effectuer des renvois entre les données de scanner de vulnérabilité et les signatures du système de détection d'intrusion, et autres données (par exemple, données d'actif, données d'entreprise, etc.). Ceci permet une notification immédiate lorsqu'une attaque tente d'exploiter un système vulnérable. Trois composants distincts fournissent cette fonctionnalité :
La collecte des événements en temps réel à partir d'une source de détection d'intrusion.
La comparaison de ces signatures aux dernières analyses de vulnérabilité.
Le référencement croisé de données de flux d'attaque via Sentinel Advisor (un module facultatif qui effectue des renvois entre les signatures d'attaque IDS en temps réel et les données de scanner de vulnérabilité de l'utilisateur).
Le service d'assignation propage les informations dynamiquement à travers le système sans affecter sa charge. Lorsque d'importants jeux de données (à savoir, des assignations telles que des informations d'actif ou des informations de mise à jour de correctif) sont mis à jour sur le système, le service d'assignation propage les mises à jour à travers le système, dont la taille peut souvent atteindre des centaines de mégaoctets.
Les algorithmes du service d'assignation d'iSCALE traitent les jeux de données de référence volumineux via un système de production traitant de gros volumes de données en temps réel.
Ces algorithme sont «conscients» des mises à jour et ne déplacent sélectivement que les modifications ou «jeux de données delta» du référentiel vers le bord ou le périmètre du système.
1-6
Guide de L'Utilisateur de Sentinel
