NetIQ® Sentinel™ 能夠讓企業組織即時掌握 IT 活動的全貌,以降低安全威脅、改善安全作業,並在實體、虛擬和雲端環境中,自動實施規則控管。本產品能減少傳統安全性資訊與事件管理 (SIEM) 的複雜性,降低 SIEM 在導入方面的障礙,讓所有企業組織都能輕鬆獲取安全情報。NetIQ Sentinel 7 也將即時情報、異常狀況偵測及使用者活動監控功能結合起來,提供預警機制和更準確的 IT 活動評估,為企業組織帶來一套更有效率的 SIEM 解決方案。
功能與特色
- IT資訊系統事件蒐集
NetIQ Sentinel可以支援各種不同稽核紀錄傳送之標準,例如:Syslog、OPSEC、Database Query等,可以廣泛接收異質環境中各種不同的稽核紀錄。Sentinel™ 將接收到的稽核紀錄立即進行分析、索引與儲存,讓IT人員或稽核人員可以透過Web瀏覽器立即快速查詢稽核軌跡資料。Sentinel™ 採用類似全文檢索技術來儲存與查詢事件紀錄,不再將巨量的事件紀錄儲放在傳統的關聯式資料庫中,不但可以降低持有及維護成本並且可以加速事件搜尋的速度。
 |
| 圖1 Sentinel中文化查詢界面 |
- 異常狀況偵測
要從眾多事件中,辨識出需要調查的真實或潛在問題,往往是相當困難的。NetIQ Sentinel除了內建關聯分析引擎,透過自訂的關聯分析規則來即時分析異常行為外,NetIQ Sentinel的異常狀況偵測功能可自動辨識組織環境中的不一致情形。當您導入 Sentinel 時,您會為貴組織的特定環境建立各項基準(Baseline),進而立即獲得更好的情報,並加速異常活動偵測。將趨勢與基準相比較,可讓您檢視歷史活動模式,以快速建立典型 IT 活動的模型 (亦即正常狀態),透過這個模型,您可以輕易發現新的潛在性有害趨勢。為了增強這些功能,您可以進一步調整您環境的基準和相應的異常狀況偵測。NetIQ Sentinel 也能顯示您的安全和法規遵循狀況如何隨著時間而改變。
- 彈性的部署選項
NetIQ Sentinel以兩種形式提供,第一種是可透過國際標準化組織 (ISO) 影像檔案格式的方式部署於 VMware、HyperV、XEN等各大監管程式的軟體裝置,另一種是可安裝於 SUSE® Linux Enterprise Server 和 Red Hat Enterprise Server 平台上的軟體。NetIQ Sentinel 的部署與授權模式極具彈性,可讓您在整個企業組織中部署 SIEM 與記錄管理,以符合其特定使用需求。Sentinel 使用彈性的搜尋與事件轉遞機制,使部署架構能配合您的環境,即使是高度分散的部署方式也能支援。
- 高效能儲存架構
NetIQ Sentinel 採用最適合長期事件歸檔的高效率檔案式事件儲存層。事件儲存區提供 10:1 的壓縮比,並經過索引,充分支援快速搜尋。此外,NetIQ Sentinel 還可讓您選擇將貴組織部分或全部的事件資料同步或移動至傳統的關連式資料庫。透過大幅增強的搜尋功能,您尋找資料和產生報告所花費的時間縮短了。有了 Sentinel 儲存架構,您再也不需要購買第三方資料庫授權,進而降低組織的整體擁有成本。
- 圖形化的規則產生器
NetIQ Sentinel能讓您直接使用在您的環境中收集到的事件,快速建立事件關連規則,管理員無須接受大量訓練,或是學習專屬的程序檔語言。另外,您可以在部署規則前先進行測試,以減少誤判的警告、改進事件關連情況,從而獲得更完善的入侵偵測功能。這不僅能讓企業組織更快實現價值,同時還能降低整體擁有成本。
- 強化的身分識別功能
透過與 NetIQ Identity Manager 的內建整合,NetIQ Sentinel 成為業界唯一與身分識別管理緊密整合的產品,能將使用者與企業中的特定活動相連結。在安全資料中附加使用者和管理員唯一的身分識別資訊,能讓您更清楚掌握存取系統的人、時、地。此外,藉由將身分識別資訊納入事件資料,NetIQ Sentinel 不僅能聰明地防範內部威脅,還能提供一套更容易施行的回復機制。NetIQ Sentinel也和 Microsoft Active Directory 的身分識別整合,未來也將陸續增加與其他身分識別管理產品的整合。
 |
| 圖2 Sentinel與身份識別的整合 |
- 簡化的過濾、搜尋與報告
NetIQ Sentinel 簡化 IT 基礎架構事件的收集,自動執行冗長繁複的法規遵循稽核與報告功能,並大幅縮減尋找和準備稽核員所需資料的複雜性、時間與成本。這有助於企業組織快速達成政府法規與業界規範的要求。
- 經過強化與擴充的套裝報告
NetIQ Sentinel 透過資料彙總與標準化功能、預先建立的報告、可自定的規則,以及快速搜尋功能來簡化報告作業。只要按下按鈕,即可隨時根據即時搜尋結果產生報告,讓您針對所需要的資料立即產生報告,無須費力修改限制重重、預先建立的樣板。
- 整合式單一解決方案
NetIQ Sentinel將記錄管理與 SIEM 結合為單一整合式解決方案。
主要獨特優勢
簡易型的 SIEM 解決方案固然執行簡 單,但無法提供實在的安全情報, 而傳統的 SIEM 解決方案儘管功能 強大,卻講求高度的技能與繁瑣的 自定作業,且難以適應不斷變遷的 環境。NetIQ Sentinel 7 與這兩者不 同,本產品可以展現安全情報的 最高價值,因為它簡單易用,卻 蘊含強大功能,有助於回答這個問 題:「我的安全有保障嗎?」
- 提供虛擬軟體裝置封裝的部署方 式,部署快速又簡易。虛擬裝置 與硬體式選項不同,可以輕易擴 充以因應成長、增加容量。
- 具備強化的身分識別功能,可提 供豐富的安全事件相關背景資 訊,讓您在偵測與防範內部威脅 時,能夠掌握更深入的情報。
- 提供圖形化的規則建立介面與容量規 劃,管理上更加簡單。管理員可在 系統導入期間快速建立關連規則, 並隨著日後業務需求的變遷,輕鬆維 護、更新規則,降低整體擁有成本。
- 產品安裝完成後,安全情報儀表 板可隨即投入運作,開始監控 企業組織的安全狀況,因此產 品導入首日即可實現價值。
- 安全管理員可以透過直覺式的資料 搜尋方式,輕鬆找到所需資料, 並將搜尋結果快速轉換為報告。