Connecteurs et collecteurs
Un connecteur est un concentrateur ou adaptateur multiplex qui connecte le moteur de collecteur aux périphériques surveillés.
Les collecteurs regroupent au niveau composant les données d'événement d'une source spécifique. Sentinel 5 prend principalement en charge des connexions sans collecteur distantes aux sources. Cependant, les collecteurs peuvent être déployés sur des périphériques spécifiques où une approche distante est moins efficace.
Les collecteurs sont contrôlés à partir du Centre de contrôle Sentinel, qui régit la communication entre les collecteurs et la plate-forme Sentinel pour l'analyse en temps réel, le calcul de corrélation et la réponse aux incidents.
Moteur et Gestionnaire des collecteurs
Le Gestionnaire des collecteurs gère les collecteurs, surveille les messages de statut du système et filtre les événements selon les besoins. Les fonctions principales du
Gestionnaire des collecteurs incluent la transformation des événements, l'ajout de données métier aux événements par taxinomie, le filtrage global des événements, l'acheminement des événements et l'envoi de messages d'état de santé au serveur Sentinel.
Un moteur de collecteur constitue le composant d'interprétation qui analyse le code du collecteur.
Générateur de collecteurs
Le Générateur de collecteurs est une application autonome utilisée pour concevoir, configurer et déboguer des collecteurs. Cette application fait office d'environnement de développement intégré (IDE) : elle permet à l'utilisateur de créer des collecteurs pour analyser des données de périphériques source via un langage d'interprétation dédié conçu pour gérer la nature des
événements de réseau et de sécurité.
Services communs
Tous les composants de cette couche de collecte et d'enrichissement décrits ci-dessus sont régis par un ensemble de services communs. Ces services sont à la base de la collecte et de l'enrichissement des données et aident à filtrer les éléments parasitaires des informations
(via des filtres globaux), à appliquer des balises définies par l'utilisateur pour enrichir les informations d'événement (via des services de données métier et d'assignation de taxinomie) et à gérer les fonctions des collecteurs de données (via des services de commande et de contrôle).
Taxinomie : presque tous les produits de sécurité génèrent des événements dans différents formats et dont le contenu varie. Par exemple, Windows et Solaris signalent l'échec d'une connexion différemment.
La fonction de taxinomie de Sentinel traduit automatiquement les données de produit hétérogènes en termes significatifs, ce qui permet d'obtenir une vue homogène en temps réel de la sécurité de l'ensemble du réseau. Elle formate et filtre les événements de sécurité bruts avant d'ajouter un contexte d'événement au flux de données. Ce processus formate toutes les données de sécurité dans la structure la plus optimale pour qu'elles soient traitées par le moteur de corrélation Sentinel, comme l'illustre le diagramme suivant.
Présentation de Sentinel
1-17
Données d'entreprise : Sentinel 5 injecte des données métier contextuelles directement dans le flux d'événements. Il englobe jusqu'à 135 champs personnalisables dans lesquels les utilisateurs peuvent ajouter des informations d'actif, telles que la division stratégique, le propriétaire, la valeur d'actif ou des données géographiques. Une fois ces informations ajoutées dans le système, tous les autres composants peuvent tirer parti du contexte supplémentaire.
Détection d'exploitation : la détection d'exploitation active des notifications entraînant une action immédiate pour des attaques subies par des systèmes vulnérables. Elle fournit un lien en temps réel entre les signatures du système de détection d'intrusion et les résultats d'analyse de vulnérabilité. Les utilisateurs sont automatiquement et immédiatement informés des attaques qui tentent d'exploiter les systèmes vulnérables. L'efficacité de la réponse aux incidents s'en trouve ainsi considérablement améliorée.
La détection d'exploitation fournit aux utilisateurs des mises à jour des assignations entre les signatures du système de détection d'intrusion et les signatures des scanner de vulnérabilité.
Les assignations incluent une liste complète de scanners de détection d'intrusion et de vulnérabilité. Les utilisateurs n'ont qu'à télécharger les résultats d'analyse de vulnérabilité dans Sentinel. La détection d'exploitation analyse automatiquement ces résultats et met à jour les collecteurs IDS appropriés. Elle utilise les connaissances intégrées relatives au statut de vulnérabilité pour définir en temps réel la priorité des réponses aux menaces à la sécurité.
Lorsqu'une attaque est lancée contre un actif vulnérable, la fonctionnalité de détection d'exploitation alerte les utilisateurs avec le niveau de gravité correspondant de la vulnérabilité exploitée. Les utilisateurs peuvent alors prendre des mesures immédiates concernant les
événements hautement prioritaires. Ceci élimine l'aspect aléatoire de la surveillance des alertes et améliore l'efficacité de la réponse aux incidents car les mesures portent alors sur les attaques connues contre les actifs vulnérables.
1-18
Guide de L'Utilisateur de Sentinel
