Sentinel 8.2 bietet neue Funktionen und ist einfacher in der Bedienung. Einige in früheren Versionen auftretende Probleme wurden behoben.
Viele der eingeführten Verbesserungen sind Umsetzungen von Vorschlägen unserer Kunden. Wir möchten uns auf diesem Wege bei Ihnen für Ihr wertvolles Feedback bedanken. Wir hoffen, Sie unterstützen uns weiterhin dabei, unsere Produkte optimal an Ihre Bedürfnisse anzupassen. Senden Sie uns Ihr Feedback als Beitrag im Sentinel-Forum, unserer Online-Community. Hier finden Sie auch Produktinformationen, Blogs und Links zu weiteren nützlichen Ressourcen. Ideen zur Verbesserung des Produkts können Sie auch in unserem Ideenportal teilen.
Die Dokumentation für dieses Produkt steht auf einer Webseite im HTML- und PDF-Format zur Verfügung. Für den Zugriff auf diese Dokumentationsseite ist keine Anmeldung erforderlich. Wenn Sie uns einen Verbesserungsvorschlag in Bezug auf die Dokumentation mitteilen möchten, klicken Sie auf das Kommentierungssymbol, das Sie auf jeder Seite der HTML-Version unserer auf der Sentinel-Dokumentationswebseite veröffentlichten Dokumentation finden. Dieses Produkt steht auf der Website der Produkt-Download-Website zum Herunterladen bereit.
Die folgenden Abschnitte enthalten einen Überblick über die wichtigsten Funktionen, die in dieser Version bereitgestellt werden. Außerdem erfahren Sie hier, welche Probleme in dieser Version behoben wurden:
Abschnitt 1.6, Ereignisse und Warnmeldungen von Mein Sentinel aus suchen
Abschnitt 1.10, Hostnamen und IP-Adressen in Ereignissen auflösen
Abschnitt 1.11, Banner zum Einholen der Zustimmung bei der Anmeldung
Abschnitt 1.12, LDAP-Authentifizierung über mehrere LDAP-Server oder -Domänen
Abschnitt 1.16, Verbesserte Benutzerfreundlichkeit in den Statustortendiagrammen unter „Speicher“
Abschnitt 1.17, Verbesserungen bei der Authentifizierung von REST API-Aufrufen
Abschnitt 1.18, Aktualisierungen der zertifizierten Plattformen
Sentinel nutzt ArcSight SmartConnector zum Erfassen von Ereignissen von verschiedenen Arten von Ereignisquellen, die in Sentinel nicht direkt unterstützt werden, wie Office 365. SmartConnectors erfassen Ereignisse von unterstützten Geräten, normalisieren Ereignisse in CEF (Common Event Format) und leiten sie über den Syslog-Connector an Sentinel weiter. Der Connector leitet die Ereignisse dann zur Analyse an Universal Common Event Format Collector weiter.
Weitere Informationen zum Konfigurieren von Sentinel mit SmartConnectors finden Sie in der Dokumentation zu Universal Common Event Format Collector auf der Website für Sentinel-Plugins.
Mit Sentinel können Sie nun zusätzlich zu NetFlow-Daten auch IP-Flussdaten (IPFIX, JFlow, sFlow usw.) erfassen, indem Sie ArcSight SmartConnectors nutzen. IP-Flussdaten enthalten grundlegende Informationen zu sämtlichen Netzwerkverbindungen zwischen Hosts einschließlich übertragenen Paketen und Bytes. Auf diese Weise können Sie das Verhalten einzelner Hosts oder auch des gesamten Netzwerks einfacher visualisieren. Sie können die IP-Flussdaten zum Analysieren und grafischen Darstellen von Ereignissen verwenden. IP-Flussdaten werden als Ereignisse erfasst und daher in der EPS-Anzahl berücksichtigt.
Um die Erfassung von IP-Flussdaten zu konfigurieren, installieren und konfigurieren Sie ArcSight SmartConnector. Achten Sie bei der Konfiguration darauf, die relevanten SmartConnectors zum Erfassen von IP-Flussdaten zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation zu Universal Common Event Format Collector auf der Website für Sentinel-Plugins.
Bei einer Aufrüstungsinstallation von Sentinel können Sie wahlweise entweder weiterhin die NetFlow-Funktionen verwenden oder die Erfassung von IP-Flussdaten konfigurieren. Weitere Informationen finden Sie in Erfassung von IP-Flussdaten konfigurieren
im Sentinel-Installations- und -Konfigurationshandbuch.
Sentinel mit herkömmlichem Speicher bietet nun die Möglichkeit, Ereignisse in Ereignisgrafik-Dashboards darzustellen, beispielsweise im Bedrohungssuche-Dashboard oder im Benutzeraktivität-Dashboard. Diese Dashboards verfügen über eine anpassbare Benutzeroberfläche zum Suchen, Anzeigen und genauen Analysieren der Ereignisse. Die Grafiken ermöglichen so ein schnelleres Identifizieren potenzieller Bedrohungen. Neben den standardmäßig verfügbaren Dashboards können Sie je nach Bedarf eigene Dashboards erstellen.
Diese Dashboards sind standardmäßig deaktiviert. Zum Aktivieren der Dashboards müssen Sie in Sentinel die Ereignisgrafikfunktion aktivieren. Die Dashboards zeigen nur die Ereignisse an, die nach dem Aktivieren der Ereignisgrafik verarbeitet wurden. Zum Anzeigen der vorhandenen Ereignisse im herkömmlichen Speicher bietet Sentinel Ihnen die Möglichkeit, Ereignisse vom dateibasierten Speicher zu Elasticsearch zu migrieren. Weitere Informationen finden Sie in Grafikdatenspeicher konfigurieren
im Sentinel-Installations- und -Konfigurationshandbuch.
Diese Version enthält die folgenden neuen Dashboards:
Dashboard „Bedrohungssuche“: Dieses Dashboard unterstützt Sie beim Analysieren potenzieller Bedrohungen oder anormaler Aktivitäten in der Umgebung, wie Anzeichen von Kompromittierung, Eindringung oder Ausschleusen von Daten. Beispielsweise können Sie Informationen zu den am häufigsten angegriffenen Quell-/Ziel-IP-Adressen, Reputation und Bedrohung des Ursprungshosts, Exploit-Erkennung, Richtlinienverletzungen oder Angriffen auf anfälligen Computern grafisch darstellen.
Dashboard „Benutzeraktivität“: Dieses Dashboard zeigt eine Übersichtsgrafik der Benutzeraktivitäten im System. Beispielsweise können Sie Informationen zu privilegierten Operationen, zur Dateizugriffsüberwachung, zu Aktivitäten an Wochenenden und Wochentagen oder zu Ereignissen mit häufigeren Wiederholungen anzeigen.
Dashboard „IP-Fluss in Echtzeit“: Dieses Dashboard bietet einen Echtzeitüberblick der IP-Flussdaten in Ihrer Umgebung.
Dashboard „IP-Flussüberblick“: Mit diesem Dashboard können Sie den Netzwerkverkehr mit höherem Detailgrad genauer analysieren. Das Dashboard bietet die Möglichkeit, Details wie die Kommunikation zwischen Quell- und Zielcomputern, die wichtigsten Hosts und Ports, die Daten an eine bestimmte IP-Adresse senden, und den geografischen Standort der Quell- und Ziel-IP-Adressen zu analysieren.
Das Dashboard „Warnmeldungen“ wurde zur Verbesserung des Benutzererlebnisses aus Sentinel Main zu Mein Sentinel verschoben. Um auf das Dashboard „Warnmeldungen“ zuzugreifen, starten Sie Mein Sentinel und klicken Sie in der Liste der verfügbaren Dashboards auf das Dashboard „Warnmeldungen“. Weitere Informationen zu Warnmeldungs-Dashboards finden Sie unter Analyzing Alert Dashboards
(Warnmeldungs-Dashboards analysieren) im Sentinel User Guide (Sentinel-Benutzerhandbuch).
Sie können nun über die Mein Sentinel-Benutzeroberfläche nach Ereignissen und Warnmeldungen suchen, die in Elasticsearch indexiert sind. Mit dieser Suchansicht können Sie den prozentualen Vergleich der verschiedenen Ereignisfeldentitäten, Ereignistrends usw. einfacher analysieren. Die Suchoption bietet eine allgemeine Plattform zum Suchen von Ereignissen und Warnmeldungen über die gleiche Benutzeroberfläche. Hierzu muss einfach der Suchindex entsprechend geändert werden. Weitere Informationen über das Suchen von Ereignissen und Warnmeldungen in Mein Sentinel finden Sie unter Searching Events
(Ereignisse suchen) und Searching Alerts
(Warnmeldungen suchen) im Sentinel User Guide (Sentinel-Benutzerhandbuch).
Basierend auf den vorhandenen Warnmeldungen, die als Vorfall eskaliert wurden, analysiert Sentinel nun die Wahrscheinlichkeit, dass eine aktuelle Warnmeldung als Vorfall eskaliert wird, und zeigt die Vorfallswahrscheinlichkeit in der Benutzeroberfläche „Warnmeldungsansicht“ an. Mithilfe des angezeigten Werts können Sie die Wahrscheinlichkeit, dass eine Warnmeldung zu einem Vorfall eskaliert wird, schneller beurteilen. Weitere Informationen finden Sie in Viewing and Triaging Alerts
(Ereignisse anzeigen und sortieren) im Sentinel User Guide (Sentinel-Benutzerhandbuch).
Erstinstallationen von Sentinel Appliance enthalten das Betriebssystem SLES 12 SP3 und basieren auf Sentinel Appliance Manager Framework. Sentinel Appliance Manager bietet eine einfache Weboberfläche zur Konfiguration und Verwaltung der Appliance. Sie ersetzt die vorhandene WebYast-Funktionalität.
Sentinel enthält open-vm-tools in SLES 12 SP3, die die Leistung virtueller Maschinen verbessern und eine bessere Verwaltung der Gäste auf dem Hostserver ermöglichen. Weitere Informationen zu open-vm-tools finden Sie in der Dokumentation zu open-vm-tools.
In Aufrüstungsinstallation von Sentinel können Sie wahlweise entweder Sentinel ohne Aufrüstung des SLES-Betriebssystems aufrüsten oder sowohl Sentinel als auch das SLES-Betriebssystem aufrüsten. Da Sentinel 8.2 Appliance nun SLES 12 SP 3 enthält, ist der SLES 11-Aktualisierungskanal nun veraltet. Der Kanal wird entfernt, sobald SUSE die allgemeine Unterstützung für SLES 11 beendet. Es empfiehlt sich daher, das Betriebssystem auf SLES 12 SP3 aufzurüsten, um weiterhin Aktualisierungen für das Betriebssystem zu erhalten und um open-vm-tools nutzen zu können.
Weitere Informationen zur Installation und Aufrüstung der Appliance finden Sie im Sentinel-Installations- und -Konfigurationshandbuch.
Sentinel enthält nun einen Connector für HTTP-Server, über den ein Sentinel-System Ereignisse von einer anderen NetIQ-Software empfangen kann, beispielsweise von Change Guardian und Secure Configuration Manager. Neben den Ereignissen empfängt der Connector auch Ereignisanlagen, beispielsweise Abweichungsinformationen eines Change Guardian-Dateiänderungsereignisses. Sie können nun Change Guardian-Assets über mehrere Sentinel Collector Manager-Instanzen und Ereignisquellenserver verteilen, um die Datenerfassung zu skalieren. Weitere Informationen finden Sie in der Connector-Dokumentation.
Sie können Sentinel-Server und Collector Manager-Instanzen nun zur Auflösung von Hostnamen in IP-Adressen bzw. von IP-Adressen in Hostnamen für alle eingehenden Ereignisse konfigurieren. Diese Funktion ersetzt Generic Hostname Resolution Service Collector, der die Ereignisrate beeinträchtigte (Bug 906715). Generic Hostname Resolution Service Collector ist veraltet und wird in Sentinel 8.2 und höher nicht unterstützt. Weitere Informationen finden Sie in Resolving Hostnames and IP Addresses
(Hostnamen und IP-Adressen auflösen) im Sentinel Administration Guide (Sentinel-Administrationshandbuch).
Sentinel bietet nun die Möglichkeit, vor der Anmeldung ein Banner zum Einholen einer Zustimmung anzuzeigen. Sie können den Inhalt des Banners je nach Anforderung festlegen. Weitere Informationen zum Hinzufügen eines Banners zum Einholen einer Zustimmung finden Sie in Banner zum Einholen der Zustimmung hinzufügen
im Sentinel-Installations- und -Konfigurationshandbuch.
Nachdem Sie das Banner zum Einholen der Zustimmung hinzugefügt haben, müssen bei jeder Anmeldung bei Sentinel die im Banner genannten Bedingungen akzeptiert werden.
Sentinel unterstützt nun die LDAP-Authentifizierung über mehrere LDAP-Server oder -Domänen für eindeutige Benutzer. Weitere Informationen über die LDAP-Authentifizierung über mehrere LDAP-Server und -Domänen finden Sie in LDAP Authentication Against Multiple LDAP Servers or Domains
(LDAP-Authentifizierung über mehrere LDAP-Server oder -Domänen) im Sentinel Administration Guide (Sentinel-Administrationshandbuch).
Neue Installationen von Sentinel 8.2 enthalten neue und aktualisierte Versionen von Sentinel-Plugins. Diese Versionen enthalten die neuesten Softwarekorrekturen, Dokumentationsaktualisierungen und Erweiterungen für die Plugins. Weitere Informationen finden Sie in der Dokumentation zum jeweiligen Plugin auf der Website für Sentinel-Plugins.
Aufrüstungsinstallationen von Sentinel enthalten neue Plugins wie Universal Common Event Format Collector 2011.1r1 und HTTP Server Connector 2018 1.r1. Zusätzlich werden nur die folgenden Plugins auf die neueste Version aktualisiert:
Syslog-Connector 2018.1r2: Der Connector kann nun Ereignisse im CEF-Format empfangen.
Sentinel Link Collector 2011.1r3: Der Collector unterstützt nun die Verbindungsmethode HTTPSERVER, die das Analysieren von Ereignissen von Change Guardian und Secure Configuration Manager über HTTP Server Connector ermöglicht.
Zusätzlich zu diesen Verbesserungen enthalten die aktualisierten Plugins mehrere Softwarekorrekturen.
Um andere Plugins auf die neueste Version aufzurüsten, laden Sie das gewünschte Plugin von der Website für Sentinel-Plugins herunter. Weitere Informationen finden Sie in der Dokumentation des jeweiligen Plugins.
Diese Version behebt eine Schwachstelle, die zu einer Offenlegung von Informationen führen kann (CVE-2018-7675). (Bug 1080555)
Sentinel-Ereignisfelder enthalten nun die Spalte TargetDataHash, die den Hash-Wert des Datenobjekts anzeigt. Die Hash-Werte werden daher nicht mehr in das Feld Nachricht gefüllt und können nun durchsucht werden. (Bug 1069674)
Die Tortendiagramme unter Sentinel Main > Speicher > Status zeigen nun die Speicherplatzauslastung für den gesamten Speicherplatz an und nicht für den Speicherplatz, der Sentinel zugewiesen ist.
Administratoren können Ihr Passwort über die REST-API nun nur nach Eingabe des aktuellen Passworts ändern.
Es gibt mehrere Aktualisierungen in Bezug auf die für Sentinel zertifizierten Plattformen. Weitere Informationen zu den zertifizierten Plattformen finden Sie auf der Webseite Technical Information for Sentinel (Technische Informationen für Sentinel).
SUSE Linux Enterprise Server 12 SP3, 64-Bit (herkömmliche Installation und Appliance-Installation)
Red Hat Enterprise Linux Server 7.5, 64-Bit (herkömmliche Installation)
Red Hat Enterprise Linux Server 7.4, 64-Bit (herkömmliche Installation)
Red Hat Enterprise Linux Server 6.9, 64-Bit (herkömmliche Installation)
Elasticsearch 5.6.3
Microsoft SQL Server 2017
Security Agent für UNIX 7.5.1
Sentinel enthält Java 8 Update 162, das Korrekturen für verschiedene Sicherheitsschwachstellen bietet.
Da Sentinel TLS 1.2 und TLS 1.1 unterstützt, wird TLS 1.0 als veraltet betrachtet und in Zukunft entfernt werden. Wenn Sie externe Clients verwenden, die mit dem Sentinel-Server kommunizieren (eingehende oder ausgehende Kommunikation), wie REST-APIs oder externe Datenbanken zur Datensynchronisierung, stellen Sie sicher, dass diese für die Kommunikation mindestens TLS 1.1 verwenden.
Sentinel 8.2 enthält einige Softwarekorrekturen zur Behebung mehrerer Probleme.
Daten können unter Verwendung des Servicenamens nicht in der Oracle-Datenbank synchronisiert werden
Fehler „Berechtigung verweigert“ beim Installieren oder Aufrüsten von Sentinel
Die Ereignisfelderanzahl im Suchverfeinerungsbereich ist null
Suchergebnisse werden nicht mit Genauigkeit im Millisekundenbereich sortiert
Fehler „Unzureichende Berechtigungen“ auf der Seite „Warnmeldungsdetails“
Warnmeldungen mit IPv6-Daten können nicht in Warnmeldungsansichten angezeigt werden
Schließen und Hinzufügen von Kommentaren für mehrere Warnmeldungen gleichzeitig nicht möglich
Problem: Wenn im Netzwerkspeicher eine große Anzahl Rohdatendateien vorhanden ist und die Überwachungsaufgabe der Rohdatenbeibehaltung während einer starken Auslastung des Systems initiiert wird, wird ein Arbeitsspeicher-Dump ausgeführt und Sentinel wird unter Umständen heruntergefahren. (Bug 1067897)
Korrektur: Sentinel hat nun die Methoden zum Abrufen der Liste der Rohdatendateien so optimiert, dass statt allen Dateien und Verzeichnissen nur die Dateien im Arbeitsspeicher gepuffert werden, die als abgelaufen festgelegt werden müssen. Dies verhindert das Problem mit dem Arbeitsspeicher-Dump.
Problem: In Sentinel Control Center > Aktionsmanager sind einige Instanzen standardmäßig bereitgestellter Aktionen wie In Syslog protokollieren und SNMP-Trap senden falsch der Dateiintegratorinstanz zugeordnet. (Bug 976191)
Korrektur: Die Aktion In Syslog protokollieren ist jetzt der Syslog-Integratorinstanz zugeordnet und die Aktion SNMP-Trap senden ist jetzt der Integratorinstanz snmp zugeordnet.
Sie können nun beim Erstellen der Datensynchronisierungsrichtlinien für eine Oracle-Datenbank entweder den Datenbanknamen oder den Service angeben. (Bug 1057613)
Problem: Sentinel zeigt während der Installation oder Aufrüstung den folgenden Fehler an:
/tmp/install-sentinel.5133.vDt4E1AOea/rpmpp.py: Berechtigung verweigert
Die Installation bzw. Aufrüstung von Sentinel wird jedoch erfolgreich fortgesetzt. (Bug 1025472)
Korrektur: Der Fehler „Berechtigung verweigert“ wird nicht mehr angezeigt.
Problem: Wenn Sie versuchen, die Suchkriterien während eines Suchvorgangs zu verfeinern, wird im Bereich Verfeinern eine Ereignisfelderanzahl von null angezeigt. (Bug 1062588)
Korrektur: Der Bereich Verfeinern ist deaktiviert, bis die Suche abgeschlossen ist.
Sentinel fordert nur dann zur Eingabe eines Passworts auf, wenn Sie das standardmäßige Keystore-Passwort geändert haben. (Bug 1036860)
Problem: Sentinel kann nicht in den FIPS-Modus konvertiert werden, wenn Sie Mozilla Network Security Services (NSS) 3.29 verwenden. Bei der Konvertierung tritt ein Fehler auf, weil die zwei abhängigen RPM-Dateien libfreebl3-hmac und libsoftokn3-hmac nicht verfügbar sind. Sentinel fordert Sie weiterhin zur Eingabe des Keystore-Passworts auf. (Bug 1033224)
Korrektur: Das Sentinel-Installationsprogramm sucht nach den abhängigen RPM-Dateien und fordert Sie zu ihrer Installation auf.
Die Suchergebnisse für Ereignisse werden mit Genauigkeit im Millisekundenbereich sortiert. (Bug 1060000)
Sentinel versucht 12 Stunden lang wiederholt, die Verbindung herzustellen. Wenn die externe Datenbank dennoch nicht erreicht werden kann, synchronisieren Sie die Datensynchronisierungsrichtlinien manuell neu. (Bug 1037631)
Problem: Wenn Sie über Sentinel Main > Echtzeitansichten > Warnmeldungsansichten auf die Seite Warnmeldungsdetails zugreifen, wird der folgende Fehler angezeigt: Unzureichende Berechtigungen für Benutzer '<benutzername>', obwohl Sie über die Berechtigung Benutzern erlauben, Warnmeldungen zu verwalten verfügen. (Bug 1090898)
Korrektur: Die Seite Warnmeldungsdetails wird ohne den Fehler geladen.
In den Sentinel-Warnmeldungsansichten und Warnmeldungs-Dashboards werden jetzt Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (Bug 924874)
Problem: Wenn Sie mehrere Warnmeldungen auswählen, sind die Schaltflächen Schließen und Kommentieren deaktiviert. (Bug 1093233)
Korrektur: Sie können nun Kommentare für mehrere Warnmeldungen gleichzeitig schließen oder hinzufügen.
Weitere Informationen zu den Hardwarevoraussetzungen und den unterstützten Betriebssystemen und Browsern finden Sie auf der Seite Technical Information for Sentinel (Technische Informationen für Sentinel).
Informationen zur Installation von Sentinel 8.2 finden Sie im Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
HINWEIS:Bei der Appliance-Installation treten bestimmte Probleme mit der Bedienbarkeit auf. Weitere Informationen finden Sie unter Abschnitt 5.7, Probleme mit der Bedienbarkeit in den Appliance-Installationsbildschirmen.
Sie können von Sentinel 8.0.0.1 und höher auf Sentinel 8.2 aufrüsten.
HINWEIS:Sentinel nutzt Kibana für die grafische Anzeige und die Suche von Ereignissen in Dashboards. Sentinel 8.2 enthält eine aktualisierte Version von Kibana. Wenn Sie benutzerdefinierte Dashboards verwenden, müssen Sie diese nach der Aufrüstung von Sentinel daher neu erstellen.
Einige der Sentinel-Dashboards, die Kibana nutzen, werden nach dem Aufrüsten auf Sentinel 8.2 nicht geladen. Dieses Problem tritt auf, weil die Versionen von Elasticsearch und Kibana in Sentinel 8.2 aufgerüstet wurden und die vorhandene Kibana-Indexdatei nicht mit den aufgerüsteten Versionen von Elasticsearch und Kibana kompatibel ist. Zum Beheben dieses Problems müssen Sie die vorhandene Kibana-Indexdatei manuell löschen und eine neue Kibana-Indexdatei erstellen. Weitere Informationen hierzu finden Sie im Knowledgebase-Artikel 7022736.
Weitere Informationen zur Aufrüstung auf Sentinel 8.2 finden Sie im Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Micro Focus ist bestrebt, Produkte zu bieten, die hochwertige Lösungen für die Softwarebedürfnisse Ihres Unternehmens darstellen. Die nachfolgend beschriebenen bekannten Probleme werden zurzeit untersucht. Wenden Sie sich an den Technischen Support, wenn Sie weitere Hilfe zu einem Problem benötigen.
Die in Sentinel enthaltene Java 8-Aktualisierung kann die folgenden Plugins beeinträchtigen:
Cisco SDEE Connector
SAP (XAL)-Connector
Remedy Integrator
Probleme mit diesen Plugins werden gemäß den Standardrichtlinien für die Mängelbehebung priorisiert und behoben. Weitere Informationen zu den Supportrichtlinien finden Sie auf der Website zu den Supportrichtlinien.
Abschnitt 5.1, Sentinel 8.2 Appliance in Hyper-V Server 2016 wird beim Reboot nicht gestartet
Abschnitt 5.2, Falsche Informationen zu jquery in den Berichten der Schwachstellenprüfung
Abschnitt 5.3, Fehler beim Aufrüsten auf die Hochverfügbarkeitsversion von Sentinel 8.2 Appliance
Abschnitt 5.5, Ereignisgrafik-Dashboard kann nicht gestartet werden
Abschnitt 5.7, Probleme mit der Bedienbarkeit in den Appliance-Installationsbildschirmen
Abschnitt 5.12, Bei aktiviertem FIPS-140-2-Modus verlangt Agent Manager die SQL-Authentifizierung
Abschnitt 5.14, Internet Explorer 11 lädt Dashboards nicht wie erwartet
Abschnitt 5.15, Fehler in RHEL 6 beim Neustart des Elasticsearch-Service in Sentinel
Abschnitt 5.17, Sentinel verarbeitet Bedrohungsintelligenz-Feeds nicht im FIPS-Modus
Problem: In Hyper-V Server 2016 wird Sentinel Appliance beim Reboot nicht gestartet und die folgende Meldung wird angezeigt:
A start job is running for dev-disk-by\..
Dieses Problem wird dadurch verursacht, dass das Betriebssystem während der Installation die Datenträger-UUID ändert. Beim Reboot wird der Datenträger daher nicht gefunden.
(Bug 1097792)
Behelfslösung: Bearbeiten Sie manuell die Datenträger-UUID. Weitere Informationen hierzu finden Sie in der Knowledge Base in Artikel 7023143.
Problem: Schwachstellenberichte melden Probleme wie die folgende Nachricht zu einer anfälligen Version von jquery:
The file 'jquery-1.11.3.min.js' includes a vulnerable version of the library 'jquery'.
Die erkannte Schwachstelle betrifft nur die Versionen 1.8.0 bis 1.12.0, aber die gemeldete URL leitet zu einer deutlich neueren Version von jquery (3.x) weiter. (Bug 1094393)
Behelfslösung: Sie können dieses Meldung ignorieren. Es handelt sich um eine falsch positive Meldung.
Problem: Wenn Sie auf die Hochverfügbarkeitsversion von Sentinel 8.2 Appliance aufrüsten, zeigt Sentinel den folgenden Fehler an:
Installation of novell-SentinelSI-db-8.2.0.0-<version> failed:
with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Command exited with status 1.
Abort, retry, ignore? [a/r/i] (a):
(Bug 1099679)
Behelfslösung: Führen Sie die folgenden Schritte aus, bevor Sie auf die Eingabeaufforderung antworten:
Starten Sie mit PuTTY oder einer ähnlichen Software eine weitere Sitzung zum Host, auf dem Sie die Aufrüstung ausführen.
Fügen Sie den folgenden Eintrag in der Datei /etc/csync2/csync2.cfg hinzu:
/etc/opt/novell/sentinel/config/configuration.properties
Entfernen Sie den Ordner sentinel aus /var/opt/novell:
rm -rf /var/opt/novell/sentinel
Kehren Sie zur Sitzung zurück, in der Sie die Aufrüstung initiiert haben, und geben Sie r ein, um mit der Aufrüstung fortzufahren.
Problem: Bei der Installation von Collector Manager und Correlation Engine Appliance im MFA-Modus tritt ein Fehler auf, wenn die Betriebssystemsprache nicht Englisch ist. (Bug 1045967)
Behelfslösung: Installieren Sie Collector Manager und Correlation Engine Appliance auf Englisch. Bei Bedarf können Sie die Sprach nach Abschluss der Installation ändern.
Problem: Ein Problem verhindert das Öffnen des Ereginisgrafik-Dashboards in Internet Explorer 11. (Bug 981308)
Behelfslösung: Verwenden Sie zum Anzeigen und Bearbeiten des Grafik-Dashboards einen anderen Browser.
Problem: Eine Änderung der Passwortspeicherung in Sentinel 7.4 SP1 führt beim Aufrüsten der Appliance von einer Version unter 7.4 SP1 zur Anzeige des folgenden Fehlers:
Failed to set encrypted password
(Bug 967764)
Behelfslösung: Die Warnmeldung wird erwartet und kann problemlos ignoriert werden. Sie beeinträchtigt die Aufrüstung nicht.
Problem: Die Schaltflächen Weiter und Zurück werden in bestimmten Fällen in den Appliance-Installationsbildschirmen nicht angezeigt oder sind deaktiviert. Beispiele:
Wenn Sie im Sentinel-Vorprüfungsbildschirm auf Zurück klicken, um die Informationen auf dem Bildschirm für die Netzwerkeinstellungen von Sentinel Server Appliance zu bearbeiten oder zu überprüfen, wird keine Schaltfläche Weiter zum Fortsetzen der Installation angezeigt. Über die Schaltfläche Konfigurieren können Sie nur die angegebenen Informationen bearbeiten.
Wenn Sie falsche Netzwerkeinstellungen angegeben haben, wird auf dem Sentinel-Vorprüfungsbildschirm angezeigt, dass Sie aufgrund von falschen Netzwerkinformationen nicht mit der Installation fortfahren können. Es ist keine Schaltfläche Zurück vorhanden, über die zum Bearbeiten der Netzwerkeinstellungen zum vorigen Bildschirm zurückgekehrt werden kann.
(Bug 1089063)
Behelfslösung: Starten Sie die Appliance-Installation neu.
Problem: Sentinel zeigt beim Starten die folgende Meldung in der Datei server.log an:
Value for attribute rv43 is too long
(Bug 1092937)
Behelfslösung: Ignorieren Sie die Ausnahme. Obwohl die Meldung angezeigt wird, funktioniert Sentinel wie erwartet.
Problem: Wenn eine große Anzahl an Ereignissen mit abgelaufenem Beibehaltungszeitraum vorliegt und SSDM versucht, diese Ereignisse aus Elasticsearch zu löschen, wird in der Datei server.log die folgende Ausnahme angezeigt:
java.net.SocketTimeoutException: Read timed out
(Bug 1088511)
Behelfslösung: Ignorieren Sie die Ausnahme. Diese Ausnahme tritt auf, weil das Löschen der großen Datenmenge eine gewisse Zeit in Anspruch nimmt. Obwohl die Ausnahme angezeigt wird, löscht SSDM die Ereignisse erfolgreich aus Elasticsearch.
Problem: Die Leistung von Sentinel Generic Collector sinkt, wenn Generic Hostname Resolution Collector unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkt um 50 %, wenn Remote-Instanzen von Collector Manager Ereignisse senden. (Bug 906715)
Behelfslösung:
Deinstallieren Sie die Collector-Instanz und konfigurieren Sie den Sentinel-Server und Collector Manager zum Auflösen des Hostnamens in eine IP-Adresse bzw. umgekehrt. Weitere Informationen finden Sie in Resolving Hostnames and IP Addresses
(Hostnamen und IP-Adressen auflösen) im Sentinel Administration Guide (Sentinel-Administrationshandbuch).
Problem: Wenn Sie die Zeitsynchronisierung manuell installieren und in open-vm-tools aktivieren, wird die Zeit zwischen Sentinel Appliance (Gast) und dem VMware ESX-Server (Host) regelmäßig synchronisiert. Diese Zeitsynchronisierungen können dazu führen, dass die Gastuhrzeit vor oder nach der Uhrheit des ESX-Servers liegt. Sentinel verarbeitet keine Ereignisse, solange die Uhrzeit zwischen Sentinel Appliance (Gast) und dem ESX-Server (Host) nicht synchronisiert ist. Das führt dazu, dass eine große Menge Ereignisse in Collector Manager in der Warteschlange sitzen und bei Erreichen des Grenzwerts möglicherweise Ereignisse gelöscht werden. Um dieses Problem zu verhindern, deaktiviert Sentinel die Zeitsynchronisierung standardmäßig in der open-vm-tools-Version, die in Sentinel verfügbar ist. (Bug 1099341)
Behelfslösung: Deaktivieren Sie die Zeitsynchronisierung. Weitere Informationen zur Deaktivierung der Zeitsynchronisierung finden Sie unter Disabling Time Synchronization (Deaktivieren der Zeitsynchronisierung).
Problem: Wenn der FIPS-140-2-Modus in Sentinel aktiviert ist, führt die Windows-Authentifizierung mit Agent Manager dazu, dass die Synchronisierung mit der Agent Manager-Datenbank fehlschlägt. (Bug 814452)
Behelfslösung: Verwenden Sie die SQL-Authentifizierung für Agent Manager.
Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Behelfslösung: Der Fehler wird erwartet und kann problemlos ignoriert werden. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: In Internet Explorer 11 treten beim Starten der Dashboards die folgenden Probleme auf:
Die Dashboards „Warnmeldungen“ und „Bedrohungssuche“ leiten zu Mein Dashboard weiter.
Das Dashboard „Benutzeraktivität“ zeigt einen Fehler an.
Dieses Problem wird durch die URL-Längenbeschränkung in Internet Explorer 11 verursacht. (Bug 1068418)
Behelfslösung: Führen Sie Folgendes aus:
Starten Sie das Ereignisgrafik-Dashboard.
Klicken Sie auf Verwaltung > Erweiterte Einstellungen.
Legen Sie den Wert von storeInSessionStorage auf true fest.
Problem: Beim Neustart der Elasticsearch-Services in Sentinel tritt der Fehler syscall-Filter kann nicht installiert werden auf, nachdem der Elasticsearch-Knoten zum Cluster in RHEL 6 hinzugefügt wurde. (Bug 1068600)
Behelfslösung: Führen Sie Folgendes aus:
Melden Sie sich beim Sentinel-Server als der Benutzer novell an.
Öffnen Sie die Datei /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml.
Legen Sie den Wert von bootstrap.system_call_filter auf false fest.
Starten Sie die Elasticsearch-Services in Sentinel neu:
rcsentinel stopSIdb
rcsentinel startSIdb
Problem: Bei der Verwendung des Keytool-Befehls wird die folgende Warnmeldung angezeigt: Der JKS-Keystore verwendet ein proprietäres Format. Es empfiehlt sich, folgendermaßen auf das Branchenstandard-Format PKCS12 zu migrieren: "keytool -importkeystore -srckeystore /<Sentinel_Installationsverzeichnis>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -destkeystore /<Sentinel_Installationsverzeichnis>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -deststoretype pkcs12". (Bug 1086612)
Behelfslösung: Die Warnmeldung wird erwartet und kann problemlos ignoriert werden. Trotz Anzeige der Warnmeldung arbeitet der Keytool-Befehl wie erwartet.
Problem: Im FIPS-Modus zeigt Sentinel beim Verarbeiten standardmäßig verfügbarer Bedrohungsintelligenz-Feeds von URLs den folgenden Fehler an: Received fatal alert: protocol_version. Dieses Problem wird dadurch verursacht, dass die standardmäßig verfügbaren Bedrohungs-Feeds nun nur TLS 1.2 unterstützen, diese Version aber im FIPS-Modus nicht funktioniert. (Bug 1086631)
Behelfslösung: Klicken Sie auf Sentinel Main > Integration > Bedrohungsintelligenzquellen. Bearbeiten Sie jede URL, indem Sie das Protokoll von http in https ändern.
Problem: Wenn Sentinel mit dem NetIQ Advanced Authentication-Framework-MFA-Modus integriert ist, werden Sie bei der Abmeldung von Sentinel Main nicht von den Sentinel-Dashboards abgemeldet. Auch umgekehrt erfolgt keine Abmeldung von Sentinel Main, wenn Sie sich von den Sentinel-Dashboards abmelden. Dieses Verhalten wird durch ein Problem im Advanced Authentication Framework verursacht. (Bug 1087856)
Behelfslösung: Solange noch keine Korrektur des Advanced Authentication-Frameworks verfügbar ist, aktualisieren Sie den Bildschirm, damit der Anmeldebildschirm angezeigt wird.
Problem: Nachdem Sentinel 8.2 im Hochverfügbarkeitsmodus installiert bzw. darauf aufgerüstet wurde, wird beim Starten der Verwaltungskonsole von Sentinel Appliance ein Fehler angezeigt. (Bug 1093574)
Behelfslösung: Wenn der Fehler nach einem Failover nach der Installation von bzw. Aufrüstung auf Sentinel 8.2 angezeigt wird, führen Sie den folgenden Befehl aus, um die Sentinel-Services neu zu starten:
systemctl restart vabase-datamodel.service vabase-jetty.service vabase.service
Informationen zu rechtlichen Hinweisen, Marken, Haftungsausschlüssen, Gewährleistungen, Ausfuhrbeschränkungen und sonstigen Nutzungseinschränkungen für NetIQ, Einschränkungen von Rechten und Patentrichtlinien der US-Regierung und Erfüllung von FIPS finden Sie unter http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Alle Rechte vorbehalten.