「NetIQ Sentinel」は、完全なログ管理とリアルタイム相関分析、検知の機能を提供するという。「Sentinel」はさまざまなシステムから生成されるセキュリティイベントログを収集し、リアルタイムで脅威の検知、アラートを行い、緊急度の高い問題を優先的に対処することを可能にする。また、導入企業はソフトウェアアプライアンスにより、仮想環境へ簡単にデプロイすることが可能で、迅速にSIEMを展開することができるとしている。
最新版では、多くの機能を強化した。「NetIQ Sentinel 8」の特徴は次のとおり。
1. アイデンティティ トラッキング機能の強化
同一のユーザがシステム毎に異なるID名を使って発生するセキュリティイベントと、Active Directoryなどのディレクトリ上のID情報を、統合ID管理システムと連携させることで、IDを追跡することが可能となる。各セキュリティイベントの監査時に、リンクされたActive Directory等のディレクトリの属性情報から、そのイベントを発した個人を特定し、氏名や連絡先を参照しながら、監査することができる。
2. インテリジェントな異常検知機能
IT環境に応じた特定のベースラインを確立し、異常なアクティビティを迅速に検出し、環境内の脅威パターンや異常を特定できる。ベースライニングとトレンドにより、過去の活動パターンから典型的な活動をモデル化し、それから外れた行動パターンを異常値として警告することで、潜在的な未知の脅威を検知することが可能。強力なパターンベースの相関エンジンは、シンプルなグラフィカルルールビルダーを使用しており、複雑な既知の脅威を捕捉できる。
3. アラートのトリアージ
脅威に優先順位を付け、アラート時に最重要な問題から軽度な問題までを分類することで、システム管理者が対処すべき優先度を提示する。アラートダッシュボードにより、多数のアラートの中から重大な問題を優先し、調査・分析することができる。
4. Hadoopベースのストレージ統合
大規模なイベントを管理するために、Hadoopフレームワークを「Sentinel」で統合することが可能。Hadoopベースのストレージと統合し、1台の「Sentinel」でデータの収集と解析に、100万EPS(イベント/秒)までシームレスに拡張することができる。
5. 脅威情報
パッケージ化された最新の脅威情報を定期的にダウンロードできる。これにより、インターネットからの侵入や、自ホストのログベースにおいて、既知の脅威活動を検出することが可能。この機能は、外部から提供されるインテリジェンスに基づいて、脅威を即座に優先順位付けすることをサポート。
6. リアルタイムイベントの可視化
生成されたイベントデータを包括的に分類(例えばイベントの重大度や、ドメイン、ホスト、サービス単位など)し、リアルタイムにそれらを可視化できる。「Sentinel」ダッシュボードから直接参照でき、フィルタリング機能とドリルダウン機能により、イベントデータに即時にアクセスできる。
なお、「Sentinel」は、インストーラを通じてOSへインストールする従来型インストールと、ソフトアプライアンスとしてOSと「Sentinel」システムを統合したインストールを提供している。また、ストレージ構成は、従来型ストレージおよび、Hadoopベースのスケーラブルストレージから選択可能になっている。