Notas de la versión de Sentinel 7.4 Service Pack 2

Problema: NetIQ eDirectory Instrumentation no puede conectarse con Conector de auditoría a través de Platform Agent. Por tanto, Sentinel no puede recibir eventos de eDirectory. Este problema se produce porque eDirectory Instrumentation utiliza el algoritmo de certificado MD5 RSA, que ha quedado obsoleto en la actualización 77 de Java 8 utilizada en Sentinel 7.4 SP2. (Error 985312)

Solución: Para habilitar eDirectory Instrumentation para que utilice un certificado personalizado, realice los pasos mencionados en el artículo de la base de conocimientos de NetIQ n.º 7017764.

Problema: Sentinel muestra la siguiente advertencia al actualizar la aplicación a la versión 7.4 SP1 o posteriores:

Solución: No haga caso de la advertencia. Esto no afecta a la actualización.

Problema: No es posible crear informes utilizando Sentinel SDK. (Error 966406)

Solución: Para crear informes utilizando Sentinel SDK, lleve a cabo los pasos que se indican en el artículo n.º 7017293 de la base de conocimientos de NetIQ.

Problema: En la configuración de alta disponibilidad de Sentinel, cuando se personaliza Sentinel actualizando los archivos de configuración o realizando cambios en la interfaz Web de Sentinel en el nodo activo, los cambios no se reflejan en el nodo pasivo. Es necesario iniciar la sincronización de forma manual.

Solución: Cuando modifique un archivo de configuración, o cuando los archivos se modifiquen debido a los cambios realizados en la interfaz Web de Sentinel, añada ese archivo o directorio para realizar la sincronización manual de acuerdo con estos pasos:

Problema: Las correcciones de vulnerabilidades de seguridad incluidas en Sentinel 7.3 SP1 incluían cambios en el mecanismo de comunicación para una conexión segura. Estos cambios no son compatibles con el Agente UNIX de Sentinel versión 7.4. Por tanto, Sentinel no puede recibir eventos del Agente UNIX de Sentinel 7.4. (Error 953990)

Solución: No existe ninguna solución por el momento. Este problema se solucionará cuando haya disponible una versión compatible del Agente UNIX de Sentinel.

Problema: Sentinel muestra un error cuando se intenta configurar NFS como ubicación de almacenamiento secundaria tras actualizar la aplicación Sentinel a la versión 7.3 SP1 y posteriores. (Error 934851)

Solución: Después de actualizar la aplicación Sentinel, reinicie el sistema operativo SLES con el siguiente comando:

Problema: Al actualizar Sentinel de la versión 7.3 a 7.3 SP1 e iniciar el servidor Sentinel, puede aparecer la siguiente excepción en el registro del servidor:

Solución: Ignore la excepción. Esta excepción no repercute en el rendimiento de Sentinel.

Problema: Sentinel utiliza el protocolo Diffie-Hellman para comunicarse con Secure Configuration Manager. En la corrección de la vulnerabilidad Logjam, el tamaño de la clave de certificado para el protocolo Diffie-Hellman en Sentinel se ha aumentado a 2048. Sin embargo, Secure Configuration Manager utiliza tamaño de clave de certificado por defecto, es decir, 1024. A causa de esta discrepancia, Secure Configuration Manager ya no puede comunicarse con Sentinel. (Error 935987)

Solución: Actualice Secure Configuration Manager a la versión 6.1. Para obtener más información, consulte las Notas de la versión de NetIQ Secure Configuration Manager 6.1.

Problema: Las vistas y las consolas de alertas de Sentinel no muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP. (Error 924874)

Solución: Para ver alertas con direcciones IPv6 en Sentinel, efectúe los pasos que se indican en el artículo 7016555 de la base de conocimientos de NetIQ.

Problema: Hay una vulnerabilidad de seguridad Bar Mitzvah en el conector de Sentinel Link. El conector de Sentinel Link utiliza el algoritmo RC4 en los protocolos SSL y TSL, que no impiden los posibles ataques de recuperación de texto sin cifrar en los bytes iniciales de un flujo. Para obtener más información, consulte CVE-2015-2808. (Error 933741)

Solución: La versión de Sentinel Link Connector 2011.1r4 soluciona este problema. Mientras no se publique oficialmente en el sitio Web de módulos auxiliares (plug-ins) de Sentinel, puede descargar el conector en la sección de vistas previas.

Problema: La versión 2011.1r3 de Agent Manager Connector no ajusta la propiedad CONNECTION_MODE de los eventos si el recopilador que analiza los eventos admite varios modos de conexión. (Error 880564)

Solución: Este problema se ha solucionado en la versión 2011.1r5 de Agent Manager Connector y en las versiones posteriores. Mientras no se publique oficialmente en el sitio Web de módulos auxiliares (plug-ins) de Sentinel, puede descargar el conector en la sección de vistas previas.

Problema: Sentinel Agent Manager ignora el valor especificado en el atributo RawDataTapFileSize del archivo SMServiceHost.exe.config para la configuración del tamaño de archivo de datos en bruto, y deja de escribir en el archivo de datos en bruto cuando su tamaño alcanza los 10 MB. (Error 867954)

Solución: Copie el contenido del archivo de datos en bruto en otro archivo de forma manual y bórrelo cuando su tamaño alcance los 10 MB, de modo que Sentinel Agent Manager pueda escribir datos nuevos en él.

Problema: En las instalaciones actualizadas de Sentinel, cuando se buscan atributos de alerta en la tabla Sugerencias de la interfaz Web, la búsqueda no devuelve la lista completa de campos de alerta. Sin embargo, los campos de alerta se muestran correctamente en la tabla Sugerencias al borrar la búsqueda. (Error 914755)

Solución: No existe ninguna solución por el momento.

Problema: La sincronización de datos falla cuando intenta sincronizar campos de dirección IPv6 en un formato legible para el ser humano con bases de datos externas. Para obtener más información acerca de cómo configurar Sentinel para que llene los campos de dirección IP en un formato de notación con punto legible para el ser humano, consulte la sección Creating a Data Synchronization Policy (Creación de una directiva de sincronización de datos) de la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel). (Error 913014)

Solución: Para solucionar este problema, cambie manualmente el tamaño máximo de los campos de dirección IP a al menos 46 caracteres en la base de datos de destino y vuelva a sincronizar la base de datos.

Problema: Si ejecuta una búsqueda de evento cuando no tiene seleccionado ningún filtro de seguridad para su función y dicha función no tiene permisos para ver eventos, la búsqueda no se llevará a cabo. La búsqueda no muestra ningún mensaje de error acerca de los permisos para ver eventos no válidos. (Error 908666)

Solución: Actualice la función con una de las opciones siguientes:

Problema: Cuando se edita una búsqueda guardada que se actualizó de Sentinel 7.2 a una versión posterior, la página Programación no muestra el panel Campos de evento, usado para especificar campos de salida en el archivo CSV de informe de la búsqueda. (Error 900293)

Solución: Después de actualizar Sentinel, vuelva a crear y programar la búsqueda para ver el panel Campos de evento en la página Programación.

Problema: Sentinel no devuelve ningún evento correlacionado cuando se buscan todos los eventos correlacionados que se generaron después de implantar o habilitar la regla, haciendo clic en el icono situado junto a Número de activaciones en el panel Estadísticas de actividad de la página de resumen de correlaciones para dicha regla. (Error 912820)

Solución: Cambie el valor del campo Desde en la página de búsqueda de eventos por una hora anterior a la que se muestra en el campo y vuelva a hacer clic en Buscar.

Problema: Cuando hace clic en Seleccionar todo en las vistas de alertas para seleccionar alertas, deselecciona algunas alertas y las modifica, las nuevas alertas entrantes también se seleccionan en las vistas de alertas actualizadas. En consecuencia, el número de alertas seleccionadas para su modificación es incorrecto y parece como si también fuese a modificar las nuevas alertas entrantes. No obstante, solo se modifican las alertas seleccionadas en un principio. (Error 904830)

Solución: No se mostrará ninguna alerta nueva en la vista de alertas si crea esta vista con un rango de tiempo personalizado.

Problema: Los datos históricos de inteligencia de seguridad (IS) tardan mucho en cargarse en sistemas de Sentinel que presentan una carga elevada de eventos por segundo (EPS). (Error 908599)

Solución: Si va a crear una consola de inteligencia de seguridad con datos históricos, planifique la implantación de la consola cuando la carga del sistema sea menor, si es posible. No existe ninguna otra solución por el momento.

Problema: Durante la regeneración de la línea de base de inteligencia de seguridad, las fechas de inicio y fin de la línea de base son incorrectas y se muestra 1/1/1970. (Error 912009)

Solución: Las fechas correctas se actualizan al finalizar la regeneración de la línea de base.

Problema: El servidor Sentinel se apaga al ejecutar una búsqueda si hay muchos eventos indexados en una sola partición. (Error 913599)

Solución: Cree directivas de retención de modo que haya al menos dos particiones abiertas en un día. El hecho de tener más de una partición abierta contribuye a reducir el número de eventos indexados en las particiones.

Problema: Sentinel muestra un error cuando se utiliza el guion report_dev_setup.sh para configurar los puertos de Sentinel para excepciones de cortafuegos. (Error 914874)

Solución: Siga estos pasos para configurar los puertos de Sentinel para excepciones de cortafuegos:

Problema: El rendimiento del recopilador genérico de Sentinel se deteriora cuando se habilita el recopilador genérico de servicios de resolución de nombres de host en Microsoft Active Directory y Windows Collector. El EPS se reduce en un 50% cuando los gestores de recopiladores remotos envían eventos. (Error 906715)

Solución: No existe ninguna solución por el momento.

Problema: Cuando se instala Sentinel en modo FIPS 140-2, el conector para la base de datos de Inteligencia de seguridad no se inicia y Sentinel no puede acceder a los datos de Inteligencia de seguridad, NetFlow y alertas. (Error 915241)

Solución: Reinicie Sentinel después de realizar la instalación y configuración en modo FIPS 140-2.

Problema: Cuando se actualiza Sentinel desde una instalación personalizada de Sentinel que realizó un usuario diferente de root y se configuró en modo FIPS 140-2, a veces la base de datos de Inteligencia de seguridad y la consola de alertas no se inician. (Error 916285)

Solución: Realice los siguientes pasos:

Problema: Cuando se instala la aplicación Sentinel, la interfaz de red no está configurada por defecto. (Error 867013)

Solución: Para configurar la interfaz de red:

Problema: Cuando se exportan los resultados de la búsqueda en Sentinel, es posible que el navegador Web muestre un error si se modifican los ajustes de idioma del sistema operativo. (Error 834874)

Solución: Para exportar los resultados de la búsqueda correctamente, realice una de las siguientes operaciones:

Problema: En sistemas con más de 2 TB de espacio de disco, puede que Sentinel no se inicie automáticamente tras la instalación. (Error 846296)

Solución: De forma puntual, inicie los servicios de Sentinel manualmente con el comando siguiente:

Problema: En instalaciones de dispositivos Sentinel, si configura la autenticación Kerberos en el módulo Kerberos, la consola muestra un mensaje para confirmar que el cliente Kerberos se configuró correctamente. Sin embargo, cuando vuelve a ver el módulo Kerberos, la opción Habilitar autenticación Kerberos no está seleccionada. (Error 843623)

Solución: No existe ninguna solución por el momento.

Problema: Mientras espera a que se abra el archivo PDF de resultado de informe, especialmente en el caso de los resultados de informe de 1 millón de eventos, el resultado no se mostrará si hace clic en otro archivo PDF de resultado de informe. (Error 804683)

Solución: Vuelva a hacer clic en el segundo archivo PDF de resultado de informe para ver el resultado.

Problema: Si tiene el modo FIPS 140-2 habilitado en su entorno de Sentinel, la autenticación de Windows para Agent Manager impide la sincronización con la base de datos de Agent Manager. (Error 814452)

Solución: Utilice la autenticación de SQL para Agent Manager cuando tenga el modo FIPS 140-2 habilitado en su entorno de Sentinel.

Problema: Si se habilita el modo FIPS 140-2, la instalación de alta disponibilidad de Sentinel muestra el error siguiente:

Solución: No existe ninguna solución por el momento. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo FIPS 140-2.

Problema: La instalación de alta disponibilidad de Sentinel en un modo diferente de FIPS 140-2 se realiza correctamente, pero muestra el error siguiente dos veces:

Solución: No existe ninguna solución por el momento. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo diferente de FIPS 140-2.

Problema: La actualización de dispositivos de versiones anteriores a Sentinel 7.2 falla porque el proveedor de los paquetes de actualización ha cambiado de Novell a NetIQ. (Error 780969)

Solución: Utilice el comando zypper para actualizar la aplicación. Para obtener más información, consulte la sección Actualización del dispositivo mediante zypper en la Guía de instalación y configuración de NetIQ Sentinel.

Problema: Solution Manager no instala las reglas de correlación cuando ya existe en el sistema una regla de correlación con nombre idéntico. Se registra un error NullPointerException en la consola. (Error 713962)

Solución: Asegúrese de que todas las reglas de correlación tengan un nombre exclusivo.

Problema: Al ejecutar una acción de Sentinel Link desde la interfaz Web de Sentinel, Sentinel muestra un mensaje de acción correcta incluso cuando la prueba de integración del conector de Sentinel Link ha fallado en el Centro de control de Sentinel. (Error 710305)

Solución: No existe ninguna solución por el momento.

Problema: Cuando una consola de Inteligencia de seguridad y una definición de anomalía tienen nombres idénticos, se inhabilita el enlace de la consola en la página de Detalles de anomalía. (Error 715986)

Solución: Asegúrese de utilizar nombres exclusivos al crear consolas y definiciones de anomalías.

Problema: La interfaz Web de Sentinel muestra números negativos en las columnas Accedido y Duración de tareas de búsqueda activas cuando el reloj del ordenador de la interfaz Web de Sentinel está atrasado con respecto al reloj del servidor Sentinel. Por ejemplo, las columnas Duración y Accedido muestran números negativos cuando el reloj de la interfaz Web de Sentinel está fijado en la 2:30 PM y el reloj del servidor Sentinel en la 1:30 PM. (Error 719875)

Solución: Asegúrese de que la hora en el ordenador que utiliza para acceder a la interfaz Web de Sentinel sea igual o posterior a la hora del ordenador del servidor Sentinel.

Problema: Cuando entra a la consola de seguridad y realiza una búsqueda en el evento de auditoría IssueSAMLToken, el evento IssueSAMLToken muestra un nombre de host (InitiatorUserName) o una IP de origen (dirección IP) incorrectos. (Error 870609)

Solución: No existe ninguna solución por el momento.

Problema: Cuando recopila datos de eventos, Sentinel Agent Manager no captura los campos de la cadena de inserción de Windows que tienen valores nulos. (Error 838825)

Solución: No existe ninguna solución por el momento.