相關資訊

下載型錄

‧NetIQ Sentinel Log Manager 產品中文型錄
‧NetIQ Sentinel 產品中文型錄
‧NetIQ Sentinel 技術白皮書
‧SANS 評論 NetIQ Sentinel
‧Sentinel Log Manager 產品介紹影片
‧NetIQ Sentinel 產品介紹影片
‧記錄(LM)與事件管理(SIEM)完整採購指南- Anton Chuvakin 博士
‧Gartner : SIEM and IAM Technology Integration
‧IDC : SIEM + IAM 在台灣的應用 從勾稽追蹤到完全舉證：台灣金融業的「智能資安」之路
‧Sentinel榮獲 Gartner SIEM Magic Quadrant 2012之Leader産品

NetIQ Sentinel簡介

NetIQ Sentinel 系列產品是一套功能完備的安全性資訊與事件管理 (SIEM ， Security information and event management )

解決方案，可簡化 SIEM 的部署、管理及日常使用，並且隨時因應動態的企業環境，提供資安專業人員真正需要的「可作為行動依據的情報」，
以便迅速瞭解威脅狀況及決定回應的優先次序。

NetIQ Sentinel Log Manager (LM)
是 NetIQ 威脅應變中心架構中的日誌收集與管理系統，就是一套以管理為中心的日誌管理系統，
可以協助管理者快速收集各式裝置、系統的日誌資料，採取的是無資料庫設計，
藉此減少對資料運算、成本支出及系統維護上的困難，同時提供資料正規化機制及快速的事件全文搜尋，
讓企業能夠有效分析從不同來源產生的記錄，協助管理人員/稽核/風險管理單位可在極短時間內察覺IT資源及個人資料的存取及利用，
是否有異常之所在，並產製相關所需的報表。

NetIQ Sentinel (SIEM)
是 NetIQ 威脅應變中心架構中的安全性資訊與事件管理(SIEM)系統，除提供NetIQ Sentinel Log Manager所有功能外，
並提供即時監控儀表板、關聯分析、偵測異常的能力與事故流程管理，協助企業自動化的異常偵測及資安事故鑑識分析，
且達成事故流程管理及法規依循作業之需求。

安全、簡單又強大的Sentinel工具 讓資訊安全有跡可尋，打造企業有效收集、精準反應的威脅應變管理中心

 產業應用分享

金融業:台灣個資法已通過實施，NetIQ Sentinel Log Manager (LM)使用者活動監督解決方案可協助收集企業內重要Windows主機及FTP的日誌資料，長期保存日誌以符合法規，並稽核資安事件。

電信業:NetIQ Sentinel  (SIEM)日誌管理解決方案可協助滿足ISO-27001&27011及因應個資法的內、外部稽核要求，針對資安設備/網路設備/系統主機/應用程式(軟體)/資料庫…等資訊系統所產生之相關日誌、記錄檔進行查核，並可即時監控各項安全設備，統整與分析各項資安設備紀錄，發現問題即時處理與後續追蹤。

製造業:NetIQ Sentinel Log Manager (LM)日誌管理解決方案可協助收集總部及海外重要檔案伺服器主機的日誌資料，長期保存日誌以符合法規，並稽核帳號異動及檔案存取記錄等事件。

NetIQ Sentinel 的架構

NetIQ Sentinel 可針對網路、系統與應用程式的安全事件，即時收集及長期儲存與產生報表，並提供搜尋引擎，以便有時要調查安全事件，以鑑識資安事故與能即時監視及分析事件關聯性，進行異常狀況偵測及事故處理追蹤，以進行內部與外部威脅管理。

NetIQ Sentinel 的主要方案元件包括：
1. 收集器(Collector)：

‧IT資訊系統事件蒐集支援各種不同稽核紀錄傳送之標準，例如：Syslog、OPSEC、Database Query等，同時支援agent/agentless方式，可以廣泛接收異質環境中各種不同的稽核紀錄。此外，它會進行日誌資料剖析 、正規化 、過濾和加強(收斂與正規化) ，以協助事件的分析、呈現和報告。

2. 搜尋引擎(Search)：

‧採用類似全文檢索技術來儲存與查詢事件紀錄，不再將巨量的事件紀錄儲放在傳統的關聯式資料庫中，不但可以降低持有及維護成本並且可以加速事件搜尋的速度。

3. 數位儀表板：

‧提供動態分析、視覺化顯示完整的攻擊來源、目的、手法等資訊，顯示潛在的威脅。

4. 關聯分析引擎(Correlation)：

‧內建大量事件分析範本，並可進一步透過自訂的關聯分析規則(自由定製任何情境)，來即時分析異常行為，並主動發出事故的相關告警。

5. 事故流程管理(iTRAC)：

‧經由監控儀表版或關聯引擎觸發的事故，在這裡定製各種不同的追蹤、事故解決歷程，自由組合mail通知、執行script(如發簡訊)、案件流程審核等各種豐富的流程定義。

6. 高效能儲存架構(Repository)：

‧採用最適合長期事件歸檔的高效率檔案式事件儲存層。事件儲存區提供 10:1 的壓縮比，並經過索引，充分支援快速搜尋。此外，還可讓您選擇將貴組織部分或全部的事件資料同步或移動至傳統的關連式資料庫。透過大幅增強的搜尋功能，您尋找資料和產生報告所花費的時間縮短了。有了此儲存架構，您再也不需要購買第三方資料庫授權，進而降低組織的整體擁有成本。

7. 訊息匯流排(Message Bus)：

‧以Active MQ Java Message Service（JMS）結構為基礎，能協助所有Sentinel元件之間的通訊。

8. Sentinel Control Center：

‧直覺化的Web操作介面，可藉著顯示之設定即可進行管理，並且可簡單查找的事件和快速精確的產製合規報表。

NetIQ Sentinel 的功能

NetIQ Sentinel 提供紀錄收集、轉換、檢索與可按照不同的事件分類，快速篩選/向下切入的人性化事件判讀，同時可快速精確的產製合規報表，以提供完整的日誌稽核，可以協助您瞭解過去發生了哪些事件！它也將即時情報、異常狀況偵測及使用者活動監控功能結合起來，提供預警機制和更準確的 IT 活動評估，為企業組織帶來一套更有效率的 SIEM 解決方案。

NetIQ Sentinel 提供下列重要功能與特色：

安全、高效能且彈性的日誌收集：

‧轉換原始的資料成為有意義的資料：將接收到的稽核紀錄立即進行分析、索引與儲存，讓IT人員或稽核人員可以透過Web瀏覽器立即快速查詢稽核軌跡資料。
‧日誌資料保存符合法規：同時保存正規化資料及原始資料，此外，日誌封存機制通過NIST(FIPS)標準驗證，可保證日誌資料保存符合不可否認性原則。
‧效管理儲存空間：彈性的日誌保存期限政策，加上高壓縮比的日誌封存，確保企業在日誌管理解決方案上，對儲存設備的投資最佳化。

‧高效能儲存架構：內建獨家高效能訊息匯流排 (Message Bus) 技術，可提供高速日誌收集，保證日誌資料收集不遺漏且不會重複。並支援 High Availability (HA) 高可用性架構，可彈性擴充事件處理效能。

高速便捷的搜尋引擎：使用者透過便利彈性的網頁存取界面，就可快速進行事件搜尋、報表產製的事後分析作業。

鑑識軌跡轉為鑑識報告：透過資料彙總與標準化功能、預先建立的報告、可自定的規則，以及快速搜尋功能來簡化報告作業。只要按下按鈕，即可隨時根據即時搜尋結果產生報告，讓您針對所需要的資料立即產生報告，無須費力修改限制重重、預先建立的樣板。

內建豐富報表範本：協助管理員簡化 IT 基礎架構事件的收集，自動執行冗長繁複的法規遵循稽核與報告功能，並大幅縮減尋找和準備稽核員所需資料的複雜性、時間與成本。這有助於企業組織快速達成政府法規與業界規範的要求。

即時監控儀表板：提供完整的即時儀表板檢視，能協助維運人員進行監控，以滿足事後分析作業的不足。

關聯分析引擎：若擔心儀表版無法完全捕捉關切的事件？沒有足夠的維運人員進行監控？內建大量事件分析範本，並可進一步自由定製任何情境，以主動發出事故的相關告警。

圖形化的關連規則產生器：能讓您直接使用在您的環境中收集到的事件，快速建立事件關連規則，管理員無須接受大量訓練，或是學習專屬的程序檔語言。另外，您可以在部署規則前先進行測試，以減少誤判的警告、改進事件關連情況，從而獲得更完善的入侵偵測功能。這不僅能讓企業組織更快實現價值，同時還能降低整體擁有成本。

異常狀況偵測：要從眾多事件中，辨識出需要調查的真實或潛在問題，往往是相當困難的。NetIQ Sentinel除了內建關聯分析引擎，透過自訂的關聯分析規則 (建立關連規則時，您必須明確知道您要找的是什麼)來即時分析異常行為外，它的異常狀況偵測功能可自動辨識組織環境中的不一致情形。當您導入 Sentinel 時，您會為貴組織的特定環境建立各項基準(Baseline)，進而立即獲得更好的情報，並加速異常活動偵測。將趨勢與基準相比較，可讓您檢視歷史活動模式，以快速建立典型 IT 活動的模型 (亦即正常狀態)，透過這個模型，您可以輕易發現新的潛在性有害趨勢。為了增強這些功能，您可以進一步調整您環境的基準和相應的異常狀況偵測。NetIQ Sentinel 也能顯示您的安全和法規遵循狀況如何隨著時間而改變。

事故流程管理：經由監控儀表版或關聯引擎觸發的事故，可透過iTrac矯正措施工具各種不同的自動化流程，簡化人工回報處理程序，協助管理者事故問題根源釐清與處理追?。

強化的身分識別功能：透過與 NetIQ Identity Manager 的內建整合，NetIQ Sentinel 成為業界唯一與身分識別管理緊密整合的產品，能將使用者與企業中的特定活動相連結。在安全資料中附加使用者和管理員唯一的身分識別資訊，能讓您更清楚掌握存取系統的人、時、地。此外，藉由將身分識別資訊納入事件資料，NetIQ Sentinel 不僅能聰明地防範內部威脅，還能提供一套更容易施行的回復機制。NetIQ Sentinel也和 Microsoft Active Directory 的身分識別整合，未來也將陸續增加與其他身分識別管理產品的整合。

隨插即用的部署方式：NetIQ Sentinel 支援HA架構，確保重要日誌不漏失，且部署與授權模式極具彈性，它以兩種形式提供，第一種是可透過國際標準化組織 (ISO) 影像檔案格式的方式部署於 VMware、HyperV、XEN等各大監管程式的軟體裝置，另一種是可安裝於SUSE Linux Enterprise Server和 Red Hat Enterprise Server 平台上的軟體，可讓您在整個企業組織中部署 SIEM 與日誌管理，以符合其特定使用需求，此外，它使用彈性的搜尋與事件轉遞機制，使部署架構能配合您的環境，即使是高度分散的部署方式也能支援。

NetIQ Sentinel 可協助日誌保存管理與資安事件監控，並在發生威脅時即時回應。

NetIQ Sentinel 是NetIQ, Inc.的註冊商標