安裝指南
Novell®
Sentinel 6.1 Rapid Deployment
SP2
2011年 4 月
www.novell.com
法律聲明
Novell, Inc. 不對本文件的內容或使用做任何表示或保證,且特別聲明不對任何特定用途的適銷性或適用性
提供任何明示或默示的保證。此外,Novell, Inc. 有權隨時修訂本出版品或更改其內容,而無義務向任何個
人或實體告知這類修訂或變更。
此外,Novell, Inc. 不對軟體做任何表示或保證,且特別聲明不對任何特定用途的適銷性或適用性提供任何
明示或默示的保證。此外,Novell, Inc. 有權隨時變更部分或全部 Novell 軟體,而無義務向任何個人或實體
告知這類變更。
此合約下提到的任何產品或技術資訊可能受美國出口管制法與其他國家 / 地區的貿易法的限制。您同意遵
守所有出口管制規定,並同意取得出口、再出口或進口產品所需的一切授權或類別。您同意不出口或再出
口至目前美國出口排除清單上所列之實體,或是任何美國出口法所指定之禁運或恐怖主義國家 / 地區。您
同意不將交付產品用在禁止的核武、飛彈或生化武器等用途上。請參閱 Novell 國際貿易服務網頁 (http://
www.novell.com/info/exports/),以取得有關出口 Novell 軟體的詳細資訊。Novell 無需承擔您無法取得任何必
要的出口核准之責任。
版權所有 © 1999 - 2011 Novell, Inc. 保留所有權利。未獲得出版者的書面同意前,不得對本出版品之任何部
分進行重製、複印、儲存於檢閱系統或傳輸的動作。
Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
U.S.A.
www.novell.com
線上文件:
www.novell.com/documentation)。
若要存取本產品及其他 Novell 產品的最新線上文件,請參閱 Novell 文件網頁 (http://
Novell 商標
若要查看 Novell 商標,請參閱 Novell 商標和服務標誌清單 (http://www.novell.com/company/legal/trademarks/
tmlist.html)。
協力廠商資料
所有的協力廠商商標均為其各別擁有廠商的財產。
目錄
關於本指南 7
1 產品綜覽 9
1.1 Sentinel 6.1 Rapid Deployment 綜覽 . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Sentinel 6.1 Rapid Deployment 組態 . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Sentinel Rapid Deployment 使用者介面 . . . . . . . . . . . . . . . . . . . . . . 11
1.3.1 Sentinel 6.1 Rapid Deployment Web 介面 . . . . . . . . . . . . . . . . . . 12
1.3.2 Sentinel 控制中心 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3.3 Sentinel 資料管理員 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3.4 Sentinel Solution Designer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3.5 Sentinel Plug-In SDK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4 Sentinel 伺服器元件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4.1 資料存取服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4.2 訊息匯流排 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.4.3 Sentinel 資料庫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.4 Sentinel 收集者管理員 . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.5 Correlation Engine ( 關聯性引擎 ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.6 iTRAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.7 Sentinel Advisor 與入侵偵測. . . . . . . . . . . . . . . . . . . . . . . . 14
1.4.8 網路伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.5 Sentinel 外掛程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.5.1 收集器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.5.2 連接器與整合器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.5.3 關連規則與行動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.5.4 報告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.5.5 iTRAC 工作流程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.5.6 解決方案套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.6 語言支援 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2 系統要求 17
2.1 支援的平台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.1.1 支援的作業系統 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.2 硬體要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3 支援的網頁瀏覽器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.4 虛擬環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5 建議的限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5.1 收集器管理員限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.5.2 報告限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.6 測試結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3 安裝 23
3.1 綜覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.1.1 伺服器元件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.1.2 用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.2 在 SUSE Linux Enterprise Server 上安裝 . . . . . . . . . . . . . . . . . . . . . . 24
3.2.1 必要條件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.2.2 安裝 Sentinel Rapid Deployment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
目錄
3
3.3 安裝收集器管理員和用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.1 下載安裝程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.3.2 Sentinel Rapid Deployment 用戶端元件的連接埠號碼 . . . . . . . . . . . . . 30
3.3.3 安裝 Sentinel 用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . 31
3.3.4 安裝 Sentinel 收集器管理員 ( 在 SLES 或 Windows 上 ) . . . . . . . . . . . . . . . . . . . . . . 33
3.4 手動啟動和停止 Sentinel 服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.5 手動升級 Java . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.6 安裝後的組態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.6.1 變更日期與時間設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.6.2 設定 SMTP Integrator 以傳送 Sentinel 通知 . . . . . . . . . . . . . . . . . 36
3.6.3 收集器管理員服務 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.6.4 管理時間 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.7 LDAP 驗證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.7.1 綜覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.7.2 必要條件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.7.3 設定 Sentinel 伺服器進行 LDAP 驗證 . . . . . . . . . . . . . . . . . . . . 39
3.7.4 設定多個 LDAP 伺服器進行容錯移轉 . . . . . . . . . . . . . . . . . . . . 41
3.7.5 為多個 Active Directory 網域設定 LDAP 驗證 . . . . . . . . . . . . . . . . 43
3.7.6 使用 LDAP 使用者身分證明登入 . . . . . . . . . . . . . . . . . . . . . . 44
3.8 將授權金鑰從試用金鑰 (Evaluation Key) 更新為線上金鑰 (Production Key) . . . . . . . . . . . . . . 45
4 升級 Sentinel Rapid Deployment 47
4.1 必要條件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.2 在伺服器上安裝修補程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.3 升級收集器管理員與用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.1 升級收集器管理員 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.2 升級用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5 Sentinel Rapid Deployment 的安全考量 51
5.1 強化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1.1 開箱即用強化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.1.2 保護 Sentinel Rapid Deployment 資料的安全 . . . . . . . . . . . . . . . . 51
5.2 保護網路之間的通訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.2.1 Sentinel 伺服器程序之間的通訊 . . . . . . . . . . . . . . . . . . . . . . 52
5.2.2 Sentinel 伺服器與 Sentinel 用戶端應用程式之間的通訊 . . . . . . . . . . . . . . . . . . . . . . 52
5.2.3 伺服器與資料庫之間的通訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.2.4 收集器管理員與事件來源之間的通訊 . . . . . . . . . . . . . . . . . . . . 53
5.2.5 與網頁瀏覽器通訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.2.6 資料庫與其他用戶端之間的通訊 . . . . . . . . . . . . . . . . . . . . . . 53
5.3 保護使用者與密碼 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.3.1 作業系統使用者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.3.2 Sentinel 應用程式與資料庫使用者 . . . . . . . . . . . . . . . . . . . . . 55
5.3.3 執行使用者的密碼規則 . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5.4 保護 Sentinel 資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
5.5 備份資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.6 保護作業系統 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5.7 檢視 Sentinel 稽核事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5.8 使用 CA 證書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6 測試 Sentinel Rapid Deployment 的功能 61
6.1 測試 Rapid Deployment 安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6.2 測試後的清理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4
Sentinel Rapid Deployment 安裝指南
6.3 使用實際資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
7 解除安裝 Sentinel Rapid Deployment 75
7.1 解除安裝 Sentinel Rapid Deployment 伺服器 . . . . . . . . . . . . . . . . . . . . 75
7.2 解除安裝 「遠端收集器管理員」與 Sentinel 用戶端應用程式 . . . . . . . . . . . . . . 75
7.2.1 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
7.2.2 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
7.2.3 解除安裝後的程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
A 更新 Sentinel Rapid Deployment 主機名稱 79
A.1 伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
A.2 用戶端應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
B 疑難排解秘訣 81
B.1 輸入無效的身分證明而導致資料庫驗證失敗 . . . . . . . . . . . . . . . . . . . . . 81
B.2 Sentinel Web 介面無法啟動 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
B.3 啟用 UAC 時,Windows 2008 上的 「遠端收集器管理員」發生例外 . . . . . . . . . . 82
B.4 未針對影像的收集器管理員建立 UUID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
C 維護 PostgreSQL 資料庫的最佳實務 85
C.1 修改記憶體組態參數 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
C.2 降低 Vacuum/Analyze 的 I/O 影響 . . . . . . . . . . . . . . . . . . . . . . . . . 85
目錄
5
6
Sentinel Rapid Deployment 安裝指南
關於本指南
本指南旨在簡單介紹 Novell Sentinel 6.1 Rapid Deployment Service Pack 2,並說明其安裝程
序。
第 1 章 「產品綜覽」 ( 第 9 頁 )
第 2 章 「系統要求」 ( 第 17 頁 )
第 3 章 「安裝」 ( 第 23 頁 )
第 4 章 「升級 Sentinel Rapid Deployment」 ( 第 47 頁 )
第 5 章 「Sentinel Rapid Deployment 的安全考量」 ( 第 51 頁 )
第 6 章 「測試 Sentinel Rapid Deployment 的功能」 ( 第 61 頁 )
第 7 章 「解除安裝 Sentinel Rapid Deployment」 ( 第 75 頁 )
附錄 A 「更新 Sentinel Rapid Deployment 主機名稱」 ( 第 79 頁 )
附錄 B 「疑難排解秘訣」 ( 第 81 頁 )
附錄 C 「維護 PostgreSQL 資料庫的最佳實務」 ( 第 85 頁 )
使用對象
本文件適用於 「資訊安全專業人員」。
意見反應
我們希望得到您對本手冊以及本產品隨附之其他文件的意見和建議。請使用線上文件每頁下
方的使用備註功能,並在其中輸入您的意見。
其他文件
Sentinel 技術文件分為數冊。它們是:
Novell Sentinel Rapid Deployment
sentinel61rd/s61rd_install/data/index.html)
Novell Sentinel Rapid Deployment
sentinel61rd/s61rd_user/data/bookinfo.html)
Novell Sentinel Rapid Deployment
sentinel61rd/s61rd_reference/data/bookinfo.html)
Novell Sentinel
?page=/documentation/sentinel61/s61_install/data/)
Novell Sentinel User Guide (Novell Sentinel
documentation/sentinel61/s61_user/?page=/documentation/sentinel61/s61_user/data/)
Novell Sentinel
?page=/documentation/sentinel61/s61_reference/data/)
Sentinel SDK (http://www.novell.com/developer/develop_to_sentinel.html)
安裝指南
參考指南
(http://www.novell.com/documentation/sentinel61/s61_install/
(http://www.novell.com/documentation/sentinel61/s61_reference/
安裝指南
(http://www.novell.com/documentation/
使用者指南
參考指南
(http://www.novell.com/documentation/
使用者指南
(http://www.novell.com/documentation/
) (http://www.novell.com/
Sentinel SDK 網站提供開發收集器 ( 專屬或 JavaScript) 以及 JavaScript 關連動作的詳細
資料。
關於本指南
7
連絡 Novell
Novell
Novell
網站
(http://www.novell.com)
技術支援
(NTS) (http://support.novell.com/
phone.html?sourceidint=suplnav4_phonesup)
Novell
自助支援
(http://support.novell.com/
support_options.html?sourceidint=suplnav_supportprog)
修補程式下載網站
Novell 24x7
Sentinel TIDS (http://support.novell.com/products/sentinel)
Sentinel 社群支援論壇 (http://forums.novell.com/novell-product-support-for ums/ s entinel/)
Sentinel 外掛程式網站 (http://support.novell.com/products/sentinel/secure/
支援
(http://download.novell.com/index.jsp)
(http://www.novell.com/company/contact.html)
sentinelplugins.html)
通知電子郵件清單︰透過 Sentinel 外掛程式網站註冊
8
Sentinel Rapid Deployment 安裝指南
1
產品綜覽
Sentinel 6.1 Rapid Deployment 是 Novell Sentinel 的精簡版,它採用開放原始碼的
PostgreSQL、activeMQ 與 JasperReports 元件。
《
以下各節可協助您瞭解 Sentinel 6.1 Rapid Deployment 系統的主要元件。本
Deployment
Guide
sentinel61rd/s61rd_user/?page=/documentation/sentinel61rd/s61rd_user/data/bookinfo.html) 內含
更詳細的架構、操作和管理程序。
第 1.1 節「Sentinel 6.1 Rapid Deployment 綜覽」 ( 第 9 頁 )
第 1.2 節「Sentinel 6.1 Rapid Deployment 組態」 ( 第 10 頁 )
第 1.3 節「Sentinel Rapid Deployment 使用者介面」 ( 第 11 頁 )
第 1.4 節「Sentinel 伺服器元件」 ( 第 13 頁 )
第 1.5 節「Sentinel 外掛程式」 ( 第 15 頁 )
第 1.6 節 「語言支援」 ( 第 16 頁 )
安裝指南》
》
(Sentinel Rapid Deployment 使用者指南 ) (http://www.novell.com/documentation/
提供了安裝和組態程序的詳細資訊。
《
Sentinel Rapid Deployment User
Sentinel Rapid
1.1 Sentinel 6.1 Rapid Deployment 綜覽
1
Sentinel 是一套安全性資訊與事件管理解決方案,可接收來自企業內許多來源的資訊,將其
標準化並排定優先順序之後,再供您用於制訂與威脅、風險和規則相關的決策。
Sentinel 可自動化記錄收集、分析和報告程序,以確保 IT 控制能有效支援威脅偵測與稽核要
求。Sentinel 以自動化的連續方式,監控安全性與法規遵循事件及 IT 控制,取代了勞力密集
的手動程序。
Sentinel 還會從組織的網路基礎架構以及協力廠商系統、設備與應用程式,收集和關連安全
性與非安全性資訊。Sentinel 以圖形化介面來呈現所收集的資料,辨識安全性或法規遵循問
題,並追蹤矯正活動,將容易出錯的程序簡化,建立嚴密安全的管理程式。
自動的事件回應管理可讓您將追蹤、提報和回應事件與違反規則的程序作成記錄並形式化,
提供與問題報修系統的雙向整合。Sentinel 可讓您即時回應,以有效率的方式解決事件。
「解決方案套件」可輕輕鬆鬆配送 Sentinel 關連規則、動態清單、映射、報告與 iTRAC 工作
流程,並將其輸入控制項。這些控制項可以根據特定的法規要求 ( 例如 《支付卡產業之資
料安全標準》 ) 加以設計,或是針對特定資料來源 ( 例如針對資料庫的使用者驗證事件 ) 建
立相關性。
憑藉 Sentinel Rapid Deployment,您便可︰
在所有系統和網路之間進行整合性的自動化即時安全性管理和法規遵循監控作業。
擁有得以推動 IT 規則與行動的企業規則架構。
針對全企業的安全性、系統與存取事件,自動進行記錄與報告。
進行內建的事件管理和補救作業。
展示並監控內部規則及政府法規 ( 例如 「沙賓法案」、HIPAA、GLBA 及 FISMA) 的遵
循狀況。實作這些控制項所需的內容透過解決方案套件加以配送和實作。
產品綜覽
9
以下是 Sentinel Rapid Deployment 之概念架構的圖例,其中顯示了執行安全性與法規遵循管
理的相關元件。
圖
1-1 Sentinel
的概念結構
1.2 Sentinel 6.1 Rapid Deployment 組態
下圖說明了 Sentinel 6.1 Rapid Deployment 的組態設定。
10
Sentinel Rapid Deployment 安裝指南
圖
1-2 Sentinel 6.1 Rapid Deployment
組態
1.3 Sentinel Rapid Deployment 使用者介面
Sentinel 包含下列容易使用的使用者介面:
Sentinel 6.1 Rapid Deployment Web 介面
Sentinel 控制中心
Sentinel 資料管理員
Sentinel Solution Designer
Sentinel Plug-In SDK
產品綜覽
11
1.3.1 Sentinel 6.1 Rapid Deployment Web 介面
您可以使用 Novell Sentinel 6.1 Rapid Deployment Web 介面來管理報告,以及啟動 Sentinel 控
制中心 (SCC)、Sentinel 資料管理員及 Solution Designer。您也可以從 Sentinel 6.1 Rapid
Deployment Web 介面的
式。
如需詳細資訊,請參閱
使用者指南 ) 中的 「Managing Sentinel Rapid Deployme nt Thro ug h the Web Interface」 ( 透過
Web 介面管理 Sentinel Rapid Deployment)。
「應用程式」
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment
頁面下載 「收集器管理員」安裝程式與用戶端安裝程
1.3.2 Sentinel 控制中心
SCC 提供了整合式的安全性管理儀表板,可讓分析師快速地辨識新的趨勢或攻擊,且能操
作並與即時圖形資訊互動,還能對事件做出反應。
您能以用戶端應用程式方式啟動 SCC 或使用 Java Webstart 來啟動 SCC。
SCC 的主要功能包括︰
Active Views: 提供即時分析和視覺化
分析︰ 執行和儲存離線查詢
事件: 提供事件的建立和管理
關連性: 提供關連規則定義和管理
iTRAC: 提供記錄、執行及追蹤事件解析程序的程序管理
報告: 提供歷程報告和計量
事件來源管理: 提供收集器部署和監控
解決方案管理員: 安裝、實作和測試解決方案套件內容
《
如需詳細資訊,請參閱
使用者指南 ) 中的 「Sentinel Control Center」 (Sentinel 控制中心 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment
1.3.3 Sentinel 資料管理員
Sentinel 資料管理員可讓您管理 Sentinel 資料庫。您可以在 Sentinel 資料管理員中執行以下操
作︰
監控資料庫空間使用率。
檢視與管理資料庫分割區。
管理資料庫歸檔。
將歸檔的資料輸入回資料庫。
如需詳細資訊,請參閱
使用者指南 ) 中的 「Sentinel Data Manager」 (Sentinel 資料管理員 )。
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment
1.3.4 Sentinel Solution Designer
Sentinel Solution Designer 可用來建立與修改解決方案套件,也就是套裝的 Sentinel 內容集 (
例如關連規則、動作、iTRAC 工作流程及報告 )。
12
Sentinel Rapid Deployment 安裝指南
Sentinel 內容是 Sentinel 系統的延伸功能。此內容包含 Sentinel 動作、Integrator 和 Sentinel 外
掛程式 ( 例如,收集器、連接器及可能包含多種其他類型之外掛程式的解決方案套件 )。這
些模組化元件用於與協力廠商系統整合,安裝基於控制的完整安全解決方案,以及對偵測到
的事件進行自動矯正。
《
如需詳細資訊,請參閱
使用者指南 ) 中的 「Solution Packs」 ( 解決方案套件 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment
1.3.5 Sentinel Plug-In SDK
Sentinel 外掛程式 SDK 包含 Novell Engineering 開發的程式庫與程式碼,以及可用來自行開
發專案的範本與範例程式碼。如需詳細資訊,請參閱 Sentinel SDK (http://www.novell.com/
developer/develop_to_sentinel.html)。
1.4 Sentinel 伺服器元件
Sentinel 由下列元件組成:
第 1.4.1 節 「資料存取服務」 ( 第 13 頁 )
第 1.4.2 節 「訊息匯流排」 ( 第 13 頁 )
第 1.4.3 節「Sentinel 資料庫」 ( 第 14 頁 )
第 1.4.4 節「Sentinel 收集者管理員」 ( 第 14 頁 )
第 1.4.5 節「Correlation Engine ( 關聯性引擎 )」 ( 第 14 頁 )
第 1.4.6 節「iTRAC」 ( 第 14 頁 )
第 1.4.7 節「Sentinel Advisor 與入侵偵測」 ( 第 14 頁 )
第 1.4.8 節 「網路伺服器」 ( 第 14 頁 )
1.4.1 資料存取服務
Sentinel 資料存取服務是用來與 Sentinel 資料庫通訊的主要元件。資料存取伺服器搭配其他
伺服器元件,可將自收集器管理員所接收的事件儲存至資料庫中、過濾資料、處理主動檢視
顯示、執行資料庫查詢並處理結果,以及處理權限管理任務,例如使用者驗證與授權。如需
《
詳細資訊,請參閱
參考指南 ) 中的 「Data Access Service」 ( 資料存取服務 )。
Sentinel Rapid Deployment Reference Guide》(Sentinel Rapid Deployment
1.4.2 訊息匯流排
Sentinel 6.1 Rapid Deployment 使用開放原始碼的訊息仲介,稱為 Apache Active MQ。訊息匯
流排可以在短時間內於 Sentinel 元件之間移動數以千計的訊息封包。Apache Active MQ 架構
是以 Java Message Oriented Middleware (JMOM) 為基礎,JMOM 支援用戶端與伺服器應用程
式之間的非同步呼叫。當目的程式忙碌或未連接時,訊息佇列可提供暫時儲存空間。如需詳
《
細資訊,請參閱
指南 ) 中的 「Communication Server」 ( 通訊伺服器 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者
產品綜覽
13
1.4.3 Sentinel 資料庫
Sentinel 產品是以儲存安全性事件和所有 Sentinel 中繼資料的終端資料庫為基礎而建立的。
Sentinel 6.1 Rapid Deployment 支援 PostgreSQL。事件會連同資產、漏洞資料、識別資訊、事
件與工作流程狀態及其他類型的資料,以標準化格式一起儲存。如需詳細資訊,請參閱
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南 ) 中的
「Sentinel Data Manager」 (Sentinel 資料管理員 )。
1.4.4 Sentinel 收集者管理員
Sentinel 收集器管理員可管理資料收集、監控系統狀態訊息,並視需要執行事件過濾。收集
器管理員的主要功能包括轉換事件、經由分類來為事件新增業務相關性、對事件執行全域過
濾、路由事件並傳送狀態訊息至 Sentinel 伺服器。「Sentinel 收集器管理員」會直接連接到訊
《
息匯流排。如需詳細資訊,請參閱
Deployment 使用者指南 ) 中的 「Collector Manager」 ( 收集器管理員 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid
1.4.5 Correlation Engine ( 關聯性引擎 )
關連引擎會自動分析收到的事件資料流來尋找有嫌疑的模式,藉此提升安全性事件管理方面
的情報完整度。您可使用關聯性來定義規則以識別嚴重威脅和複雜的攻擊模式,以便您按優
《
先順序來處理事件並進行有效的事件管理和回應作業。如需詳細資訊,請參閱
》
Rapid Deployment User Guide
Tab」 ( 關連索引標籤 )。
(Sentinel Rapid Deployment 使用者指南) 中的 「Correlation
Sentinel
1.4.6 iTRAC
Sentinel 提供 iTRAC 工作流程管理系統,以定義與自動化事件回應的程序。在 Sentinel 中利
用關聯性規則或透過手動方式所識別的事件,都可以與 iTRAC 工作流程建立關聯。如需詳
《
細資訊,請參閱
指南 ) 中的 「iTRAC Workflows」 (iTRAC 工作流程 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者
1.4.7 Sentinel Advisor 與入侵偵測
「Sentinel Advisor」為選擇性的資料訂閱服務,其中包括已知攻擊、弱點,以及矯正的資
訊。本資料結合您環境的已知弱點與即時入侵偵測或預防資訊,提供主動入侵偵測,並且可
以在易受威脅系統遭受攻擊時立即行動。
安裝 Sentinel 6.1 Rapid Deployment 時預設會安裝一個 Advisor 資料快照。您需要 Advisor 授
《
權才能訂閱持續發佈的 Advisor 資料更新。如需詳細資訊,請參閱
》
Deployment User Guide
Maintenance」 (Advisor 的使用與維護 )。
(Sentinel Rapid Deployment 使用者指南 ) 中的 「Advisor Usage and
Sentinel Rapid
1.4.8 網路伺服器
Sentinel Rapid Deployment 使用 Apache Tomcat 做為其 Web 伺服器,藉此確保連往 Sentinel
Rapid Deployment Web 介面的連線安全無虞。
14
Sentinel Rapid Deployment 安裝指南
1.5 Sentinel 外掛程式
Sentinel 支援各種可擴充與增強系統功能的外掛程式。系統中會預安裝其中的一些外掛程
式。其他外掛程式 ( 及更新 ) 可從 Sentinel 6.1 外掛程式網站 (http://support.novell.com/
products/sentinel/secure/sentinelplugins.html) 下載。
某些外掛程式 ( 例如 Remedy Integrator、IBM Mainframe Connector 與 Connector for SAP
XAL) 要求您必須有額外授權才能下載。
第 1.5.1 節 「收集器」 ( 第 15 頁 )
第 1.5.2 節 「連接器與整合器」 ( 第 15 頁 )
第 1.5.3 節 「關連規則與行動」 ( 第 16 頁 )
第 1.5.4 節 「報告」 ( 第 16 頁 )
第 1.5.5 節「iTRAC 工作流程」 ( 第 16 頁 )
第 1.5.6 節 「解決方案套件」 ( 第 16 頁 )
1.5.1 收集器
將關聯性和分析後的事件傳送至資料庫之前,Sentinel 會將分類法、入侵偵測和企業相關性
用於資料流中,以收集來自來源裝置的資料並提供更豐富的事件資料流。更豐富的事件資料
流表示該資料與所需的企業環境有關連,以便識別並矯正內外部威脅與規則違規情形。
Sentinel 收集器可剖析下列各種設備及其他的資料:
入侵偵測系統 ( 主機 )
入侵偵測系統 ( 網路 )
防火牆
作業系統
規則監控
驗證
路由器與交換器
VPN
您可以使用標準 JavaScript 開發工具與 Collector SDK 來撰寫 JavaScript 收集器。
防毒偵測系統
Web 伺服器
資料庫
大型主機
弱點評估系統
目錄服務
網路管理系統
專屬系統
1.5.2 連接器與整合器
連接器可透過標準通訊協定 ( 例如 JDBC 與 Syslog) 提供收集器管理員至事件來源的連接。
事件會從 「連接器」傳至 「收集器」進行剖析。
整合器可讓補救行動在 Sentinel 以外的系統執行。例如,關連行動可以使用 SOAP Integrator
啟始化 Novell Identity Manager 工作流程。
選擇性的 「矯正 AR 整合器」可以從 Sentinel 事件建立矯正票證。如需詳細資訊,請參閱
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南 ) 中的
「Action Manager and Integrator」 ( 動作管理員與 Integrator)。
產品綜覽
15
1.5.3 關連規則與行動
關連規則可辨識事件資料流中的重要模式。關連規則觸發時會啟始化關連動作,例如傳送電
子郵件通知、啟動 iTRAC 工作流程或使用 Integrator 執行動作。如需詳細資訊,請參閱
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南 ) 中的
「Correlation Tab」 ( 關連索引標籤 )。
1.5.4 報告
您可以使用 JasperReports,從 Sentinel Rapid Deployment Web 介面執行各種儀表板與操作報
告。報告通常是透過 「解決方案套件」來發送。
1.5.5 iTRAC 工作流程
iTRAC 工作流程針對管理事件提供一致且可重複的程序。工作流程範本通常是透過 「解決
方案套件」來發送。iTRAC 隨附了一組預設範本,您可對其進行修改以滿足您的要求。如
《
需詳細資訊,請參閱
用者指南 ) 中的 「iTRAC Workflows」 (iTRAC 工作流程 )。
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使
1.5.6 解決方案套件
解決方案套件為相關 Sentinel 內容 ( 關連規則、動作、iTRAC 工作流程與報告等 ) 的套裝
集。Novell 針對特定企業需求提供 「解決方案套件」,例如 「PCI-DSS 解決方案套件」,可
以解決 《支付卡產業之資料安全標準》的法規遵循問題。Novell 還建立了收集器套件,其
中包含以特定事件來源 ( 例如 Windows Active Directory) 為主的內容。如需詳細資訊,請參
《
Sentinel Rapid Deployment User Guide》(Sentinel Rapid Deployment 使用者指南 ) 中的
閱
「Solution Packs」 ( 解決方案套件 )。
1.6 語言支援
我們提供下列語言版本的 Sentinel 元件:
捷克文
英文
法文
德文
義大利文
日文
荷蘭語
波蘭文
葡萄牙文
簡體中文
西班牙文
繁體中文
16
Sentinel Rapid Deployment 安裝指南
2
系統要求
為達到最佳效能和可靠性,您必須在核准的軟體與硬體 ( 如本章節中所列 ) 上安裝 Sentinel
Rapid Deployment 元件。本章列出的要求已經過全面品質保證和認證。
第 2.1 節 「支援的平台」 ( 第 17 頁 )
第 2.2 節 「硬體要求」 ( 第 18 頁 )
第 2.3 節 「支援的網頁瀏覽器」 ( 第 20 頁 )
第 2.4 節 「虛擬環境」 ( 第 20 頁 )
第 2.5 節 「建議的限制」 ( 第 20 頁 )
第 2.6 節 「測試結果」 ( 第 21 頁 )
2.1 支援的平台
表格 2-1 列出了 Novell 認證或支援的軟體與作業系統組合。通過認證的組合已經過 Novell
Engineering 之完整測試套裝軟體的測試。預期支援的組合可完全發揮功能。
2.1.1 支援的作業系統
Novell 支援在本節所述的作業系統版本上執行 Sentinel Rapid Deployment。此外,Novell 也
支援在安裝了微幅更新 ( 例如安全性修補程式或 HotFix) 的那些作業系統上執行。但是,如
果系統所在平台安裝了大幅更新,則不支援在該系統上執行 Sentinel Rapid Deployment,除
非這些更新已經過 Novell 的測試與認證。
2
Sentinel Rapid Deployment 伺服器元件包括通訊伺服器、關連引擎、資料存取服務 (DAS)、
Web 伺服器以及 Advisor 資料訂閱服務。
Sentinel 用戶端應用程式包括 Sentinel 控制中心 (SCC)、Sentinel 資料管理員 (SDM ) 及
Sentinel Solution Designer (SSD)。
收集器管理員有特定的平台要求。
表格
2-1
受支援與已認證的作業系統
平台 伺服器元件
SUSE Linux Enterprise Server (SLES)
11 SP1 (64 位元 )
SUSE Linux Enterprise Server (SLES)
11 SP1 (32 位元 )
SUSE Linux Enterprise Server (SLES)
10 SP3 (64 位元 )
SUSE Linux Enterprise Server (SLES)
10 SP3 (32 位元 )
Windows Server 2008 R2 (64 位元 ) 不支援 已認證 已認證
已認證 已認證 已認證
不支援 支援 支援
已認證 支援 支援
支援 支援 支援
Sentinel 用戶端應
用程式
收集器管理員
系統要求
17
平台 伺服器元件
Windows Server 2003 R2 (64 位元 ) 不支援 支援 支援
Windows Server 2003 R2 (32 位元 ) 不支援 支援 支援
Windows XP SP3 (32 位元 ) 不支援 支援 不支援
Windows Vista SP2 (32 位元 ) 不支援 支援 不支援
Sentinel 用戶端應
用程式
收集器管理員
Windows 7
不支援 已認證 不支援
請遵循下列指南以達到最佳效能、穩定性及可靠性︰
對於 SLES,Sentinel Rapid Deployment 伺服器機器的作業系統必須至少包含 SLES 的基
礎伺服器及 X Window 元件。
對於 Sentinel Rapid Deployment 伺服器,請使用 ext3 檔案系統。如需檔案系統的詳細資
《
訊,請參閱
Storage Administration Guide》( 儲存管理指南 ) 中的 「Overview of File
Systems in Linux」 (Linux 中的檔案系統綜覽 ) (http://www.novell.com/docume ntation/
sles11/stor_admin/data/filesystems.html)。
附註:
在安裝了 Open Enterprise Server 的 SLES 上,Sentinel Rapid Deployment 不受支援。
Sentinel 6.1 Rapid Deployment 伺服器的 32 位元展示版本使用 32 位元硬體與作業系統,
供規模有限的展示與測試環境之用。簽訂了 Sentinel 6.1 Rapid Deployment 支援合約的客
戶或合作夥伴可以獲得來自 Novell 技術支援對此平台的部分支援,以解決可能會在 64
位元線上平台上重現的問題。由於 32 位元硬體固有的限制,Novell 技術支援不會對 32
位元展示版本發生的效能或延展性問題提供疑難排解。線上環境中不支援 32 位元展示
版本。
2.2 硬體要求
Sentinel Rapid Deployment 伺服器元件在 x86-64 (64 位元 ) 硬體上執行,但某些作業系統存在
一些例外,如第 2.1.1 節 「支援的作業系統」 ( 第 17 頁 ) 中所述。Sentinel 經過認證可於
AMD Opteron 與 Intel Xeon 硬體執行。Itanium 伺服器不受支援。
本節包含一些有關 Sentinel 系統設計的一般硬體建議。設計建議是根據事件發生率範圍而提
出。不過,此處的建議則是以下列假設為基礎:
事件發生率是每秒事件數 (EPS) 範圍中高的一端。
平均事件大小是 1 KB。
所有事件都儲存於資料庫 ( 也就是說,沒有會放下事件的篩選器 )。
資料庫會儲存九十天的線上資料量。
表格 2-2 ( 第 19 頁 ) 及表格 2-3 ( 第 19 頁 ) 中的規格中不包含 Advisor 資料的儲存空間。
Sentinel 伺服器提供預設的 5 GB 磁碟空間,用於儲存無法立即插入資料庫的暫時快取
事件資料。
另外,Sentinel 伺服器也提供預設的 5 GB 磁碟空間,用於儲存無法立即插入至彙總事
件檔案的事件。
選購的 Advisor 訂閱在伺服器則額外需要 1 GB 的磁碟空間。
18
Sentinel Rapid Deployment 安裝指南
Sentinel 實作的硬體建議因個人的實作而異,因此建議您先諮詢 Novell 諮詢服務或任意
Novell Sentinel 合作夥伴,再最終確定 Sentinel 架構。以下建議可做為指南使用。
在 SLES 版本中,資料庫與 Sentinel Rapid Deployment 伺服器嵌入在一起,並與該伺服器安
裝到同一部機器上。
附註: 由於事件載入和本地快取動作的高度需求,Sentinel 伺服器需要至少具備 4 個磁碟轉
軸的本地或共用等量磁碟陣列 (RAID)。
表格
2-2
單機組態 (最大
2000 eps)
配件
機器 1:Sentinel Rapid Deployment 伺服器
內嵌式 PostgreSQL 資料庫 (3 GB)
收集器管理員 (1228 MB)
DAS_Core (1579MB)
DAS_Binary (1404MB)
關連引擎 (1073 MB)
4 個收集器 (Generic、Cisco、Snort 和
IBM,每個產生 500 eps)
已部署 10 個關連規則
10 個唯一的 Active View
3 個並行使用者
已部署 2 個映射
表格
2-3
三部機器的組態 (最大
配件
機器 1:Sentinel Rapid Deployment 伺服器
5000 eps)
內嵌式 PostgreSQL 資料庫 (3 GB)
收集器管理員 (1228 MB)
DAS_Core (1579MB)
DAS_Binary (1404MB)
關連引擎 (1073 MB)
4 個收集器 ( 每個產生 500 eps,遠端收
集器管理員 1 產生 1500 EPS,遠端收集
器管理員 2 產生 1500 EPS。
RAM
16 GB
RAM
16 GB
空白鍵
1 TB,SAS
(15K rpm)
硬碟
硬體 RAID
10
空白鍵
1 TB,SAS
(15K rpm)
硬碟
硬體 RAID
10
CPU
Dell PowerEdge 2900,2
x Quad-Core Intel Xeon
E5310 (1.6 GHz),以及
Gigabit 乙太網路 NIC
CPU
Dell PowerEdge 2900,2 x
Quad-Core Intel Xeon E5310
(1.6 GHz),以及 Gigabit 乙太
網路 NIC
電腦 2:收集器管理員
收集器管理員 / 收集器
3 個收集器 ( 每個產生 500 eps)
4 GB
300 GB,
SATA (3
Gbit/s) 硬碟
Intel Core 2 Duo E6750 (2.66
GHz),以及 Gigabit 乙太網路
NIC
系統要求
19
配件
RAM
空白鍵
CPU
電腦 3:收集者管理員
收集者管理員 / 收集者
4 GB
300 GB,
SATA (3
Gbit/s) 硬碟
Intel Core 2 Duo E6750 (2.66
GHz),以及 Gigabit 乙太網路
NIC
3 個收集器 ( 每個產生 500 eps)
2.3 支援的網頁瀏覽器
Mozilla Firefox 3.x
Internet Explorer 8.x
2.4 虛擬環境
Sentinel Rapid Deployment 已在 VMWare ESX Server 上經過廣泛測試,並且 No ve ll 完全支援
在此環境中執行 Sentinel Rapid Deployment。為了在 ESX 上或任意其他虛擬環境中實現能與
實體機器測試結果相媲美的效能結果,虛擬環境應根據建議的實體機器要求提供同樣的記憶
體、CPU、磁碟空間及 I/O。
如需針對 SLES 系統之實體機器建議的相關資訊,請參閱第 2.2 節 「硬體要求」 ( 第 18 頁 )。
2.5 建議的限制
本節所述的限制是以 Novell 或客戶已經執行的效能測試為依據提出的建議,而並非絕對限
制。這些建議限制只是些近似值。在高度動態的系統中,最好設定一些緩衝,以便為系統擴
展預留空間。
第 2.5.1 節 「收集器管理員限制」 ( 第 20 頁 )
第 2.5.2 節 「報告限制」 ( 第 21 頁 )
2.5.1 收集器管理員限制
除非另有指定,否則收集器管理員限制會假設系統符合如下要求︰ 4 個 CPU 核心,每個核心
頻率為 2.2 GHz,RAM 為 4 GB,作業系統為 SLES 11。
表格
2-4
收集器管理員效能數值
屬性 限制 備註
最大收集器管理員數
單個收集器管理員上的連
接器 ( 完全利用 ) 數上限
單個收集器管理員上的收
集器 ( 完全利用 ) 數上限
20
每個 CPU 核心 1 個,且至少保留
1 個 CPU 核心供作業系統和其他
處理作業使用
每個 CPU 核心 1 個,且至少保留
1 個 CPU 核心供作業系統和其他
處理作業使用
此限制假設每個收集器管理員都以低
EPS ( 例如低於 10 0 EPS) 執行。此限制
隨 EPS 的增大而變小。
完全利用的連接器是指以該類型的連接
器所能實現的最高 EPS 執行的連接器。
完全利用的收集器是指以該類型的收集
器所能實現的最高 EPS 執行的收集器。
20
Sentinel Rapid Deployment 安裝指南
屬性 限制 備註
單個收集器管理員上的設
備數上限
Sentinel Rapid
Deployment 伺服器的設備
數上限
2000
2000
2.5.2 報告限制
表格
2-5
報告效能數值
屬性 限制 備註
儲存報表數上限
同時執行的最大報告數
200
3
此限制可能隨報告大小及伺服器上未被系統的其餘元件
使用的可用磁碟空間而增大或減小。
該限制假設伺服器資源目前尚未被資料收集或其他任務
高度佔用。
2.6 測試結果
對於 Sentinel Rapid Deployment 伺服器
來說,該限制也是 2000。因此如果某個
收集器管理員上有 2000 個設備,則單是
這個收集器管理員就會使 Sentinel 整個
系統達到設備上限。
Sentinel Rapid Deployment 伺服器上的
設備上限是 2000。
Sentinel Rapid Deployment 可讓您根據環境的需求設定不同的組態。以下效能測試資訊是
Novell 針對下列各表中所列的特定組態進行的測試結果。
Sentinel 實作的硬體建議因各實作而異;因此建議您先諮詢 Novell 諮詢服務或任意 Novell
Sentinel 合作夥伴,再最終確定 Sentinel 架構。以下測試資訊可做為指南使用。
Linux 測試的執行是為了調整不同數量的設備所能達到的最大 EPS 值,以及特定 EPS 值下所
允許的最大設備數。使用了以下硬體組態:
CPU 核心數︰ 4
CPU 型號︰ Intel Xeon CPU X5770,2.93 GHz
RAM ︰ 16 GB
硬碟大小 (+RAID 類型及 RAID 中的磁碟數 ) ︰ 1.7 TB (RAID 5,6 個磁碟 )
附註: 所有測試皆是使用 syslog 型事件來源完成的。其他連接器可能提供不同的效能。
下表顯示了您在 SLES 系統上使用不同數量的設備可以調整的最大 EPS:
表格
2-6 SLES
系統設定 設備 最大 EPS
4 個包含 10 個收集器的收集器管理員 ( 一個本地,三個遠端 ),每個
產生 500 EPS
系統上的最大
EPS
25 5,000
系統要求
21
系統設定 設備 最大 EPS
4 個包含 10 個收集器的收集器管理員 ( 一個本地,三個遠端 ),每個
產生 500 EPS
4 個包含 10 個收集器的收集器管理員 ( 一個本地,三個遠端 ),每個
產生 500 EPS
100 5,000
1,000 5,000
下表顯示了您在 SLES 系統上使用不同 EPS 率可調整的最大設備數:
表格
2-7 SLES
系統設定
1 個包含 1 個收集器的收集器管理員,產生 500 EPS
1 個包含 2 個收集器的收集器管理員,每個產生 500 EPS
1 個包含 3 個收集器的收集器管理員,每個產生 500 EPS
系統上的最大設備數
EPS
500 2,000
1,000 2,000
1,500 2,000
最大設備數
附註:
如果要調整更多 EPS 或設備,請安裝更多收集器管理員。
最大設備數限制並非絕對限制,而是以 Novell 已經執行的效能測試為依據提出的建議。
該限制假設每部設備每秒的平均事件發生率很低 ( 低於 3 EPS)。較高的 EPS 率會導致可
承受設備上限偏低。您可以使用公式 ( 設備上限 ) x ( 每部設備的平均 EPS) = 事件發生
率上限,來得到特定平均 EPS 率或設備數的約略限制,只要設備數上限不超過上述限
制即可。
22
Sentinel Rapid Deployment 安裝指南
3
安裝
本章節提供安裝 Sentinel Rapid Deployment 和用戶端元件的相關資訊。
第 3.1 節 「綜覽」 ( 第 23 頁 )
第 3.2 節「在 SUSE Linux Enterprise Server 上安裝」 ( 第 24 頁 )
第 3.3 節 「安裝收集器管理員和用戶端應用程式」 ( 第 30 頁 )
第 3.4 節 「手動啟動和停止 Sentinel 服務」 ( 第 35 頁 )
第 3.5 節 「手動升級 Java」 ( 第 35 頁 )
第 3.6 節 「安裝後的組態」 ( 第 36 頁 )
第 3.7 節「LDAP 驗證」 ( 第 37 頁 )
第 3.8 節 「將授權金鑰從試用金鑰 (Evaluation Key) 更新為線上金鑰 (Production Key)」
( 第 45 頁 )
3.1 綜覽
Sentinel 安裝套件為您提供了單台機器的簡易伺服器安裝程式,可安裝執行 Sentinel Rapid
Deployment 所需的所有元件。Sentinel Rapid Deployment 伺服器安裝程式會安裝下列元件:
3
第 3.1.1 節 「伺服器元件」 ( 第 23 頁 )
第 3.1.2 節 「用戶端應用程式」 ( 第 24 頁 )
3.1.1 伺服器元件
表格
3-1 Sentinel Server
元件 描述
訊息匯流排 JMS 型訊息匯流排會處理 Sentinel 系統各元件之間的通訊。
關連引擎 關連引擎會執行即時事件分析。
Advisor
資料存取服務 包含資料儲存、查詢、顯示與處理元件。
Web 伺服器 支援 Sentinel Rapid Deployment 的 Web 介面。
收集器管理員 用於處理事件來源連線、資料剖析與映射等的服務。
元件與應用程式
Sentinel 資料庫會儲存組態與事件資料。
Advisor 提供偵測到之 IDS 攻擊與弱點掃描輸出之間的即時關連,
可讓您立即識別組織所面臨的驟增風險。
您可以使用 Sentinel Rapid Deployment Web 介面所提供的收集器
管理員安裝程式,將收集器管理員配送至其他位置、其他機器及
其他作業系統。例如,您可以在 Windows 機器上安裝額外的 「收
集器管理員」以收集 Windows 事件。
安裝
23
元件 描述
iTRAC
Sentinel 提供 iTRAC 工作流程管理系統,以定義與自動化事件回
應的程序。在 Sentinel 中利用關聯性規則或透過手動方式所識別
的事件,都可以與 iTRAC 工作流程建立關聯。
3.1.2 用戶端應用程式
用戶端應用程式 (Sentinel 控制中心、Sentinel 資料管理員及 Solution Designer) 預設會安裝在
Sentinel Rapid Deployment 伺服器上。您可以使用以下任意一種方式啟動用戶端應用程式︰
使用 Sentinel Rapid Deployment Web 介面。用戶端系統中應安裝 Java 1.6.0_2 0 或更新版
本,並且 JRE 路徑應設定為透過 Webstart 啟動 Sentinel 應用程式。
JAVA_HOME
請將
6 位置下的
以擁有 Sentinel Rapid Deployment 安裝檔案之使用者的身分使用
./bin/<client_application>.sh
表格
3-2 Sentinel
元件 描述
Sentinel 控制中心 適用於安全性或法規遵循分析師的主控台。
用戶端應用程式
環境變數設定為指向
bin
資料夾。
JRE 6
資料夾的位置。將輸出路徑設定為指向 JRE
<
安裝目錄
>/bin
。例如︰
Sentinel 資料管理員 資料庫管理公用程式。
Solution Designer
Sentinel 收集器管理員 用於處理事件來源連接、資料剖析與映射等的服務。收集器管理員安裝
用於建立解決方案套件的應用程式。
在 Sentinel 伺服器上,但使用可下載的安裝程式可在遠端 Windows 或
Linux 機器上安裝額外的收集器管理員。
3.2 在 SUSE Linux Enterprise Server 上安裝
第 3.2.1 節 「必要條件」 ( 第 24 頁 )
第 3.2.2 節 「安裝 Sentinel Rapid Deployment」 ( 第 26 頁 )
3.2.1 必要條件
請在安裝 Sentinel Rapid Deployment 之前先確保您符合下面的先決條件。如需這些先決條件
( 包括經過認證的平台清單 ) 的詳細資訊,請參閱第 2 章 「系統要求」 ( 第 17 頁 )。
「伺服器」 ( 第 25 頁 )
「用戶端」 ( 第 25 頁 )
「Advisor」 ( 第 25 頁 )
24
Sentinel Rapid Deployment 安裝指南
重要: 使用完整安裝程式的 Sentinel Rapid Deployment 安裝應永遠在 「乾淨的」系統上進
行。如果您的任意一台機器上先前安裝了其他版本的 Sentinel,例如 Sentinel Classic 或
Sentinel Log Manager,您必須先將其解除安裝。如需解除安裝先前版本之 Sentinel 的相關資
訊,請參閱相應的安裝指南︰
若要解除安裝 Senitnel Classic,請參閱《Sentinel Installation Guide》(Sentinel 安裝指南 )
(http://www.novell.com/documentation/sentinel61/s61_install/?page=/documentation/
sentinel61/s61_install/data/bgpq4la.html) 中的 「Uninstalling Sentinel」 ( 解除安裝
Sentinel) 一章。
若要解除安裝 Sentinel Log Manager,請參閱 《Sentinel Log Mana ger 1.1 Installation
Guide》 (Sentinel Log Manager 1.1 安裝指南 ) (http://www.nove ll.com/documentation/
novelllogmanager11/log_manager_install/?page=/documentation/novelllogmanager11/
log_manager_install/data/bor9aaf.html) 中的 「Uninstalling Sentinel Log Manager」 ( 解除
安裝 Sentinel Log Manager) 一章。
伺服器
確定每部伺服器機器都符合最低系統要求。如需系統要求的詳細資訊,請參閱第 2 章
「系統要求」 ( 第 17 頁 )。
以
hostname -f
若您想從 Sentinel 系統傳送郵件通知,請安裝並設定 SMTP 伺服器。
指令傳回有效主機名稱的方法設定作業系統。
用戶端
確定每部用戶端機器都符合最低系統要求。如需這些先決條件的詳細資訊,請參閱第 2
章 「系統要求」 ( 第 17 頁 )。
確定您從中執行安裝程式之目錄的名稱僅包含 ASCII 字元 ( 且不含特殊字元 )。
當您在 Linux 機器上安裝遠端收集器管理員或用戶端應用程式時,請確定並沒有針對管
/tmp
理員使用者為
請務必為要在 Windows 上執行收集器管理員的網域使用者提供進階使用者權限,因為
資料夾設定資料夾層級的限制。
一般的使用者權限無法進行收集器管理員安裝。
如果將收集器管理員安裝於 64 位元的機器上,請確定有 32 位元的程式庫可用。若執行
以專屬連接器語言 ( 包括 2008 年 6 月前撰寫的所有 「收集器」 ) 所撰寫的 「收集器」,
以及執行若干 「連接器」 ( 例如 「LEA 連接器」 ) 時,就需要 32 位元的程式庫。
Javascript 型的 「收集器」與 Sentinel 的其他 「收集器」皆可支援 64 位元。請驗證是否
有這些程式庫可用,這對於 Linux 平台格外重要,此類平台預設可能未包含這些程式
庫。
Advisor
若要安裝 Advisor,您必須購買 Sentinel 入侵偵測與 Advisor 資料訂閱。購買訂閱後,請使用
《
您的 Novell eLogin 下載和更新 Advisor 資料。如需詳細資訊,請參閱
》
Deployment User Guide
(Sentinel Rapid Deployment 使用者指南 ) 中的 「Advisor Usage and
Sentinel Rapid
Maintenance」 (Advisor 的使用與維護 ) 一章。
安裝
25
3.2.2 安裝 Sentinel Rapid Deployment
您可以使用以下幾種方式安裝 Sentinel Rapid Deployment 伺服器:
「使用 Root 權限的單一程序檔安裝」 ( 第 26 頁 )
「非 root 安裝」 ( 第 28 頁 )
安裝期間,Sentinel Rapid Deployment 安裝程式程序檔會提供下列選項︰
-all ︰ 必須具備
novell
)、使用者群組 ( 預設值︰
根
使用者權限才能使用此選項。此選項會建立一個使用者 ( 預設值︰
novell
),然後安裝 Sentinel Rapid Deployment 伺服器。它還
會在系統啟動時自動執行 Sentinel Rapid Deployment 服務。
-install ︰ 此選項僅會安裝 Sentinel Rapid Deployment 伺服器。
-createuser ︰ 必須具備
novell
) 和使用者群組 ( 預設值︰
-createservice ︰ 必須具備
根
使用者權限才能使用此選項。此選項僅會建立使用者 ( 預設值︰
novell
)。
根
使用者權限才能使用此選項。此選項僅提供在系統啟動時自
動執行 Sentinel Rapid Deployment 服務的功能。
-help ︰ 此選項會顯示如何使用安裝程序檔選項的相關說明。
使用 Root 權限的單一程序檔安裝
1 以
root
使用者的身分登入。
執行安裝的使用者必須對將用於存放下載之安裝程式檔案的暫存目錄具備寫入權限。
2 從 Novell 下載網站 (http://download.novell.com/) 將
sentinel6_rd_linux_x86-64.tar.gz
載至暫存目錄。
3 解壓縮安裝程式︰
tar zxvf sentinel6_rd_linux_x86-64.tar.gz
4 移至解壓縮安裝程式的目錄︰
cd sentinel6_rd_linux_x86-64
安裝程式下
5 使用
-all
選項執行
./install.sh -all
安裝程序檔會先檢查可用記憶體及磁碟空間。如果可用記憶體少於 1 GB,程序檔會自動
終止安裝。如果可用記憶體大於 1 GB 但少於 4 GB,程序檔會顯示一則訊息,提示您記憶
體少於建議的大小。另外還會詢問您是否要繼續安裝。若要繼續安裝,請輸入
繼續,請輸入
6 指定使用者名稱,或按 Enter 選取預設使用者名稱。預設使用者名稱為
如果指定的使用者名稱已經存在,安裝程式會顯示一則訊息,提示您該使用者已存在,並
列出使用者所在群組。繼續進行步驟 8。
如果指定的使用者名稱不存在,安裝程式會建立該使用者名稱。繼續進行步驟 7。
7 指定群組名稱,或按 Enter 選取預設群組名稱。預設群組名稱為
如果指定的群組名稱已經存在,安裝程式會繼續安裝。如果指定的群組名稱不存在,安裝
程式會建立該群組,並顯示一則訊息,通知您已在指定群組下建立指定的使用者名稱。
指定的使用者與群組將擁有 Sentinel 的安裝與執行中程序。
8 指定安裝路徑,或按 Enter 選取預設路徑。預設路徑為
26
Sentinel Rapid Deployment 安裝指南
n
。
install.sh
程序檔︰
/opt/novell/
novell
。
。
novell
y
。
,若不想
Loading...