DAS reçoit les requêtes des différents processus Sentinel, les convertit en une interrogation de la base de données, traite le résultat de la base de données, puis convertit de nouveau ce résultat en une réponse. Il prend en charge les requêtes d'extraction d'événement pour l'interrogation rapide et la hiérarchisation vers le bas vers les évènements, les requêtes d'extraction des informations de vulnérabilité et des informations Advisor et les requêtes de manipulation des informations de configuration. Le service DAS traite également la consignation de tous les événements reçus du Gestionnaire des collecteurs Wizard et les requêtes d'extraction et de stockage des informations de configuration.
Processus Query Manager (query_manager)
Le processus Query Manager (query_manager) reçoit les requêtes d'interrogation rapides et d'analyse approfondie du Centre de contrôle Sentinel et les transmet à la base de données via DAS. Les requêtes du Centre de contrôle Sentinel déterminent les événements requis d'un filtre. Si un filtre est utilisé, le Gestionnaire des requêtes extrait la définition du filtre et convertit le filtre au format XML. Il envoie ensuite la requête à DAS. Les filtres ne peuvent pas tous être convertis en requêtes traitables par la base de données. Si le filtre est entièrement converti, le Gestionnaire des requêtes indique à DAS d'envoyer directement la réponse au
Centre de contrôle Sentinel. Si le filtre contient des expressions génériques qui ne peuvent pas être converties en SQL, le Gestionnaire des requêtes convertit ce qu'il peut, puis génère un critère plus restrictif qui retourne un super jeu des événements requis. Dans ce cas, le Gestionnaire des requêtes indique à DAS de lui renvoyer le résultat. Lorsqu'il reçoit la réponse, il la filtre en mémoire et envoie les événements qui passent le filtre au Centre de contrôle Sentinel.
Architecture logique
Sentinel 5 comprend trois couches logiques :
Couche de collecte et d'enrichissement
Couche logique métier
Couche de présentation
La couche de collecte/d'enrichissement regroupe les événements issus de sources de données externes, convertit les formats spécifiques aux périphériques en formats Sentinel, intègre les données métier à la source des événements natifs, puis envoie les paquets d'événements au bus message. Le composant-clé dans l'exécution de cette fonction est le collecteur, aidé par un service d'assignation de taxinomie et de filtre global.
La couche de logique métier contient un jeu de composants distribuables. Le composant de base est, d'une part, un service Remoting qui apporte des fonctionnalités de messagerie aux objets de données et aux services pour permettre un accès transparent aux données sur l'ensemble du réseau et, d'autre part, un service Data Access qui est un service de gestion des objets permettant aux utilisateurs de définir des objets avec des métadonnées. D'autres services incluent Correlation, Query Manager, Workflow, Event Visualization, Incident Response,
Health, Advisor, Reporting et Administration.
Présentation de Sentinel
1-15
La couche de présentation restitue l'interface de l'application à l'utilisateur final. Un tableau de bord complet nommé Centre de contrôle Sentinel offre un outil de travail utilisateur intégré qui consiste en un tableau comprenant sept applications différentes accessibles via un même framework. Ce framework interplate-forme repose sur des standards Java™ 1.4 et offre une vue unifiée des composants de logique commerciale indépendants : graphiques interactifs en temps réel, réponse aux incidents donnant lieu à une action, flux de travail d'incidents applicable automatisé, génération de rapports, résolution des incidents au niveau d'exploitations connues, etc.
Chacune des couches est illustrée dans la figure ci-dessus et décrite en détail dans les sections suivantes.
Couche de collecte et d'enrichissement
Les événements sont regroupés à l'aide d'un ensemble de collecteurs flexibles et configurables qui collectent les données à partir d'une multitude de capteurs, de périphériques et de sources.
Les utilisateurs peuvent utiliser des collecteurs préconçus, modifier des collecteurs existants ou concevoir leurs propres collecteurs pour s'assurer que le système répond à tous les besoins.
Les données regroupées par les collecteurs sous la forme d'événements sont ensuite normalisées et converties au format XML, enrichies d'une série de métadonnées (à savoir des données relatives à des données) à l'aide d'un ensemble de services métier, puis propagées sur le serveur en vue d'une analyse informatique approfondie effectuée avec la plate-forme du bus message. La couche de collecte et d'enrichissement comprend les composants suivants :
Connecteurs et collecteur
Moteur et Gestionnaire des collecteurs
Générateur de collecteurs
1-16
Guide de L'Utilisateur de Sentinel
