Sentinel 8.2 incluye nuevas funciones, facilita el uso y resuelve varios problemas anteriores.
Muchas de estas mejoras se realizaron en respuesta directa a las sugerencias de nuestros clientes. A todos les agradecemos su tiempo y su valiosa aportación. Esperamos que sigan ayudándonos a garantizar que nuestros productos satisfagan todas sus necesidades. Puede publicar comentarios en el foro de Sentinel, nuestra comunidad en línea que también incluye información sobre productos, blogs y enlaces a recursos útiles. También puede compartir sus ideas para mejorar el producto en el Portal de ideas.
La documentación de este producto está disponible en formato HTML y PDF, en una página que no requiere entrar a una sesión. Si tiene sugerencias de mejoras para la documentación, haga clic en el icono de comentarios en cualquier página de la versión HTML de la documentación publicada en la documentación de Sentinel . Para descargar este producto, consulte el sitio Web de descargas de productos.
En las siguientes secciones se esbozan las principales características y funciones de esta versión, así como los problemas resueltos en ella:
Sección 1.1, Recopilación de datos mediante ArcSight SmartConnectors
Sección 1.3, Visualización de eventos en el almacenamiento tradicional
Sección 1.6, Búsqueda de eventos y alertas desde Mi Sentinel
Sección 1.10, Resolución de nombres de host y direcciones IP en eventos
Sección 1.12, Autenticación LDAP en varios dominios o servidores LDAP
Sección 1.13, Módulos auxiliares (plug-ins) nuevos y actualizados
Sección 1.16, Mejora de la facilidad de uso en Almacenamiento > Diagramas circulares de actividad
Sección 1.17, Mejoras de la autenticación mediante llamadas de API REST
Sección 1.19, Actualización del entorno en tiempo de ejecución de Java
Sección 1.20, Interrupción del uso del protocolo de comunicación TLS 1.0
Sentinel utiliza ArcSight SmartConnector para recopilar eventos de diversos tipos de orígenes de eventos no compatibles directamente con Sentinel, como Office 365. Los SmartConnectors recopilan eventos de los dispositivos compatibles, normalizan los eventos en el formato de eventos comunes (CEF) y los reenvían a Sentinel a través del conector de Syslog. A continuación, el conector reenvía los eventos a Universal Common Event Format Collector para su análisis.
Para obtener más información sobre la configuración de Sentinel con SmartConnectors, consulte la documentación de Universal Common Event Format Collector en el sitio Web de módulos auxiliares (plug-ins) de Sentinel.
Sentinel ahora le permite recopilar datos de flujo de IP (IPFIX, JFlow, sFlow, etc.), además de los datos de NetFlow mediante el uso de ArcSight SmartConnectors. Los datos de flujo proporcionan información básica acerca de las conexiones de red entre hosts, incluidos los paquetes y bytes transmitidos. Esto le ayuda a visualizar el comportamiento de hosts individuales o de toda la red. Puede utilizar los datos de flujo IP al analizar y visualizar eventos. Los datos de flujo IP se recopilan como eventos y, por lo tanto, se tienen en cuenta para el conteo de EPS.
Para configurar la recopilación de datos de flujo IP, instale y configure ArcSight SmartConnector. Durante la configuración, asegúrese de configurar los SmartConnectors pertinentes que recopilan datos de flujo IP. Para obtener más información, consulte la documentación de Universal Common Event Format Collector en el sitio Web de módulos auxiliares (plug-ins) de Sentinel.
En las instalaciones de actualización de Sentinel, puede seguir utilizando las funciones de NetFlow u optar por configurar la recopilación de datos de flujo IP. Para obtener más información, consulte la sección Configuración de la recopilación de datos de flujo IP
en la Guía de instalación y configuración de Sentinel.
Sentinel con almacenamiento tradicional ahora incluye la capacidad de visualizar eventos a través de consolas de visualización de eventos, como las consolas Búsqueda de amenazas y Actividades del usuario. Estas consolas proporcionan una interfaz personalizable que le ayuda a buscar, ver y analizar eventos en detalle. Por lo tanto, estas visualizaciones le ayudarán a realizar un análisis minucioso más rápido capaz de detectar hasta amenazas potenciales. Además de las consolas listas para usar, puede crear sus propias consolas según sea necesario.
Estas consolas están inhabilitadas por defecto. Para habilitar las consolas, debe habilitar la visualización de eventos en Sentinel. En las consolas, se muestran solo los eventos procesados después de habilitar la visualización de eventos. Para ver los eventos existentes presentes en el almacenamiento tradicional, Sentinel le ofrece la posibilidad de migrar eventos desde el almacenamiento basado en archivos a Elasticsearch. Para obtener más información, consulte la sección Configuración del almacén de datos de visualización
de la Guía de instalación y configuración de Sentinel.
Esta versión presenta las siguientes nuevas consolas:
Consola Búsqueda de amenazas: esta consola le ayuda a analizar amenazas potenciales o cualquier actividad anormal en su entorno, como señales de peligro, intrusión o exfiltración de datos. Por ejemplo, puede visualizar información sobre la dirección IP de origen/destino más específica, la reputación y amenaza del host de origen, la detección de exploits, las infracciones de directivas, los ataques a equipos vulnerables, etc.
Consola Actividades del usuario: esta consola proporciona una visualización general de las actividades del usuario en el sistema. Por ejemplo, puede visualizar información sobre operaciones con privilegios, la supervisión de acceso a archivos, actividades de días laborables y el fin de semana, eventos con mayor conteo repetitivo, etc.
Consola flujo IP en tiempo real: esta consola proporciona información general en tiempo real de los datos de flujo IP en su entorno.
Consola Descripción general de flujo IP: esta consola le ayudará a llevar a cabo un análisis exhaustivo del tráfico de red con un alto nivel de detalle. La consola le ayuda a analizar detalles, como la comunicación entre los equipos de origen y destino, los hosts y los puertos principales que envían datos a una dirección IP específica y la ubicación geográfica de las direcciones IP de origen y destino.
Para mejorar la experiencia del usuario, la consola Alertas ahora se ha transferido de Sentinem Main a Mi Sentinel. Para acceder a la consola Alertas, lance Mi Sentinel y haga clic en la consola Alertas en la lista de consolas disponibles. Para obtener más información acerca de las consolas de alertas, consulte Analyzing Alert Dashboards
(Análisis de las consolas de alertas) en la Sentinel User Guide (Guía del usuario de Sentinel).
Ahora puede buscar eventos y alertas indexados en Elasticsearch desde la interfaz de usuario de Mi Sentinel. Esta vista de búsqueda le ayuda a analizar la comparación porcentual de diferentes entidades de campo de evento, tendencias de eventos, etc. Esta opción de búsqueda proporciona una plataforma común para buscar eventos y alertas en la misma interfaz de usuario; solo tiene que cambiar el índice de búsqueda. Para obtener más información sobre las búsquedas de eventos y alertas de Mi Sentinel, consulte la sección Searching Events
(Búsqueda de eventos) y Searching Alerts
(Búsqueda de alertas) en la Sentinel User Guide (Guía del usuario de Sentinel).
En función de las alertas existentes derivadas como un incidente, Sentinel ahora analiza la probabilidad de que una alerta actual se derive a un incidente y muestra el valor de Probabilidad de incidencia en la interfaz de usuario de la vista de alertas. Este valor le ayuda a analizar de forma más rápida la probabilidad de derivar una alerta a un incidente. Para obtener más información, consulte Viewing and Triaging Alerts
(Visualización y cribado de alertas) en la Sentinel User Guide (Guía del usuario de Sentinel).
Las instalaciones nuevas del dispositivo Sentinel incluyen el sistema operativo SLES 12 SP3 y se basan en el marco de Sentinel Appliance Manager. Sentinel Appliance Manager proporciona una interfaz de usuario sencilla basada en la Web que le ayuda a configurar y administrar el dispositivo. Esta carpeta reemplaza a la funcionalidad existente de WebYast.
Sentinel incluye las herramientas open-vm-tools listas para usar en SLES 12 SP3, lo que mejora el rendimiento de las máquinas virtuales y permite una administración más eficaz de los invitados en el servidor Host. Para obtener más información sobre cómo abrir open-vm-tools, consulte la documentación de open-vm-tools.
En las instalaciones de actualización de Sentinel, puede optar por actualizar Sentinel sin actualizar el sistema operativo SLES o actualizar tanto Sentinel como el sistema operativo SLES. Dado que el dispositivo Sentinel 8.2 incluye ahora SLES 12 SP 3, se ha dejado de utilizar el canal de actualizaciones de SLES 11 y se eliminará cuando SUSE finalice la compatibilidad general con SLES 11. Por lo tanto, se recomienda que actualice el sistema operativo a SLES 12 SP3 para seguir recibiendo actualizaciones del sistema operativo y aprovechar también open-vm-tools.
Para obtener información sobre la instalación o la actualización del dispositivo, consulte la Guía de instalación y configuración de Sentinel.
Sentinel ahora incluye un conector para el servidor HTTP que permite a un sistema Sentinel recibir eventos de otro software de NetIQ como Change Guardian y Secure Configuration Manager. Además de los eventos, el conector también recibe archivos adjuntos de eventos, como la información de Delta para un evento de cambio de archivo de Change Guardian. Ahora puede distribuir activos de Change Guardian entre varias instancias de Sentinel Collector Manager y varios servidores de orígenes de eventos para ajustar la escala de la recopilación de datos. Para obtener más información, consulte la documentación del conector.
Ahora puede configurar servidores de Sentinel e instancias de Collector Manager a fin de resolver el nombre de host en la dirección IP o viceversa para todos los eventos entrantes. Esta función sustituye a Generic Hostname Resolution Service Collector, que afectaba negativamente a la tasa de eventos (error 906715). Generic Hostname Resolution Service Collector se ha dejado de utilizar y no se admitirá en Sentinel 8.2 y versiones posteriores. Para obtener más información, consulte la sección Resolving Hostnames and IP Addresses
(Resolución de nombres de host y direcciones IP) en la Sentinel Administration Guide (Guía de administración de Sentinel).
Sentinel permite mostrar ahora una portada de consentimiento antes de la entrada. Puede especificar el contenido de la portada según sea necesario. Para obtener más información sobre la adición de una portada de consentimiento, consulte la sección Adición de una portada de consentimiento
en la Guía de instalación y configuración de Sentinel.
Tras añadir la portada de consentimiento, debe aceptar los términos incluidos en ella cada vez que entre en Sentinel.
Ahora Sentinel admite la autenticación LDAP en varios dominios y servidores LDAP para usuarios exclusivos. Para obtener más información acerca de la autenticación LDAP en varios dominios y servidores LDAP, consulte LDAP Authentication Against Multiple LDAP Servers Or Domains
(Autenticación LDAP en varios dominios o servidores LDAP) en la Sentinel Administration Guide (Guía de administración de Sentinel).
Las nuevas instalaciones de Sentinel 8.2 incluyen versiones nuevas y actualizadas de los módulos auxiliares (plug-ins) de Sentinel. Estas versiones incluyen las correcciones de software, actualizaciones de documentación y mejoras del módulo auxiliar (plug-in) más recientes. Para obtener más información, consulte la documentación específica del módulo auxiliar (plug-in) en el sitio Web de módulos auxiliares (plug-ins) de Sentinel.
Las instalaciones de actualización de Sentinel incluyen nuevos módulos auxiliares (plug-ins)·como Universal Common Event Format Collector 2011.1r1 y HTTP Server Connector 2018 1.r1. También actualizan automáticamente solo los siguientes módulos auxiliares (plug-ins) a la versión más reciente:
Syslog Connector 2018.1r2: El conector ahora puede recibir eventos en formato CEF.
Sentinel Link Collector 2011.1r3: Collector ahora es compatible con el método de conexión HTTPSERVER que permite el análisis de eventos desde Change Guardian y Secure Configuration Manager a través de HTTP Server Connector.
Además de estas mejoras, estos módulos auxiliares (plug-ins) actualizados también incluyen varias correcciones de software.
Para actualizar otros módulos auxiliares (plug-ins) a la versión más reciente, descargue el módulo desde el sitio Web de módulos auxiliares (plug-ins) de Sentinel. Para obtener más información, consulte la documentación específica del módulo auxiliar (plug-in).
Esta versión soluciona una posible vulnerabilidad de divulgación de información (CVE-2018-7675). (Error 1080555)
Los campos de eventos de Sentinel ahora incluyen la columna TargetDataHash, que muestra el valor de hash del objeto de datos. Por lo tanto, los valores de hash ya no se completan en el campo Mensaje y ahora se pueden buscar. (Error 1069674)
En Sentinel Main > Almacenamiento > Actividad, los diagramas circulares ahora muestran el uso de disco del almacenamiento total del disco y no solo del almacenamiento asignado para Sentinel.
Los administradores ahora pueden cambiar sus contraseñas mediante la API REST solo después de proporcionar la contraseña actual.
Hay varias actualizaciones disponibles para las plataformas certificadas de Sentinel. Para obtener más información sobre las plataformas certificadas, consulte la página Web de Información técnica de Sentinel.
SUSE Linux Enterprise Server 12 SP3 de 64 bits (instalación tradicional y de dispositivo)
Red Hat Enterprise Linux Server 7.5 de 64 bits (instalación tradicional)
Red Hat Enterprise Linux Server 7.4 de 64 bits (instalación tradicional)
Red Hat Enterprise Linux Server 6.9 de 64 bits (instalación tradicional)
Elasticsearch 5.6.3
Microsoft SQL Server 2017
Agente de seguridad para UNIX 7.5.1
Ahora Sentinel incluye Java 8 Update 162, que integra correcciones para varias vulnerabilidades de seguridad.
Como Sentinel admite TLS 1.2 y TLS 1.1, TLS 1.0 se ha dejado de utilizar y se eliminará en el futuro. Si tiene clientes externos que establecen comunicación (entrante o saliente) con el servidor de Sentinel, como las API REST o las bases de datos externas para la sincronización de datos, asegúrese de que utilicen al menos TLS 1.1 para la comunicación.
Sentinel 8.2 incluye correcciones de software que solucionan varios problemas.
No se pueden sincronizar datos en la base de datos Oracle mediante el nombre de servicio
Error de permiso denegado durante la instalación o la actualización de Sentinel
El conteo de campos de eventos es cero en el panel de ajuste preciso de la búsqueda
Los resultados de búsqueda no se ordenan con una precisión de milisegundos
Error de permiso insuficiente en la página Información de la alerta
No se pueden ver las alertas con datos IPv6 en las vistas de alertas
Problema: Cuando hay una gran cantidad de archivos de datos en bruto en el almacenamiento en red y si se ha iniciado la tarea de supervisión de retención de datos en bruto cuando hay una elevada carga en el sistema, se produce un volcado de memoria y, al final, Sentinel se apaga. (Error 1067897)
Solución: Sentinel ha optimizado ahora los métodos utilizados para obtener la lista de archivos de datos en bruto para que se almacenen en el búfer solo los archivos que deben vencer en contraposición a almacenar en el búfer todos los archivos y directorios, que evita el problema de volcado de memoria.
Problema: En Control Center de Sentinel > Gestor de acciones, algunas instancias de acciones listas para usar como, por ejemplo, Registrar en Syslog y Enviar un mensaje de alerta SNMP se asocian de forma incorrecta a una instancia del integrador de archivos. (Error 976191)
Solución: La acción Registrar en Syslog se asocia ahora a la instancia del integrador de Syslog y la acción Enviar un mensaje de alerta SNMP se asocia ahora a la instancia del integrador de snmp.
Ahora puede especificar el nombre de la base de datos o el servicio al crear directivas de sincronización de datos para la base de datos Oracle. (Error 1057613)
Problema: Sentinel muestra el siguiente error durante la instalación o la actualización:
/tmp/install-sentinel.5133.vDt4E1AOea/rpmpp.py: Permission denied
Sin embargo, la instalación y la actualización de Sentinel se realizan correctamente. (Error 1025472)
Solución: Ya no aparecerá el error de permiso denegado.
Problema: Al intentar ajustar de forma precisa los criterios de búsqueda mientras se realiza una búsqueda, el conteo de campos de eventos en el panel Mejorar es cero. (Error 1062588)
Solución: El panel Mejorar estará inhabilitado hasta que finalice la búsqueda.
Sentinel no solicitará una contraseña a menos que haya cambiado la contraseña por defecto del almacén de claves. (Error 1036860)
Problema: Al intentar convertir Sentinel al modo FIPS, se produce un error en la conversión si utiliza Mozilla Network Security Services (NSS) 3.29. Este error de conversión se produce debido a dos archivos RPM dependientes, libfreebl3-hmac y libsoftokn3-hmac, que no están disponibles. Sentinel sigue pidiéndole que introduzca la contraseña del almacén de claves. (Error 1033224)
Solución: El instalador de Sentinel busca los archivos RPM dependientes y le solicita que los instale.
Los resultados de búsqueda de eventos no se ordenan con una precisión de milisegundos. (Error 1060000)
Sentinel sigue intentando establecer conexión de nuevo durante 12 horas. Si aún no se puede acceder a la base de datos externa, vuelva a sincronizar manualmente las directivas de sincronización de datos. (Error 1037631)
Problema: Si accede a la página Información de la alerta de Sentinel Main > Vistas en tiempo real > Vistas de alerta, se muestra el siguiente mensaje de error: Permiso insuficiente para el usuario '<username>', aunque disponga del permiso Permitir a los usuarios gestionar las alertas. (Error 1090898)
Solución: La página Información de alerta se carga sin el error.
Las consolas Alerta y Vistas de alerta de Sentinel ahora muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP. (Error 924874)
Problema: Al seleccionar varias alertas, se inhabilitan los botones Cerrar y Comentario. (Error 1093233)
Solución: Ahora puede cerrar varias alertas o añadir comentarios en ellas a la vez.
Para obtener información acerca de los requisitos de hardware y los sistemas operativos y navegadores compatibles, consulte la página de información técnica de Sentinel.
Para obtener información acerca de la instalación de Sentinel 8.2, consulte la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
NOTA:Existen algunos problemas de facilidad de uso durante la instalación del dispositivo. Para obtener más información, consulte el Sección 5.7, Problemas de facilidad de uso en las pantallas de instalación del dispositivo.
La actualización a Sentinel 8.2 puede realizarse desde Sentinel 8.0.0.1 y versiones posteriores.
NOTA:Sentinel utiliza Kibana para la visualización y la búsqueda de eventos en las consolas. Sentinel 8.2 incluye una versión actualizada de Kibana. Por lo tanto, si tiene consolas personalizadas, debe crearlas de nuevo después de actualizar Sentinel.
Algunos de los paneles de Sentinel que utilizan Kibana no se cargan después de actualizar a Sentinel 8.2. Este problema se produce porque las versiones de Elasticsearch y Kibana se han actualizado en Sentinel 8.2 y el archivo de índice de Kibana existente no es compatible con las versiones actualizadas de Elasticsearch y Kibana. Para solucionar este problema, debe eliminar manualmente el archivo de índice de Kibana existente y volver a crear un nuevo archivo de índice Kibana. Para obtener más información, consulte el artículo de Knowledge Base 7022736.
Para obtener más información sobre la actualización a Sentinel 8.2, consulte la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
Micro Focus se esfuerza por garantizar que nuestros productos ofrezcan soluciones de calidad para sus necesidades de software empresarial. Se están investigando los siguientes problemas conocidos. Si necesita más ayuda con algún problema, póngase en contacto con el departamento de Asistencia técnica.
La actualización de Java 8 incluida en Sentinel podría afectar a los siguientes módulos auxiliares:
Cisco SDEE Connector
Conector SAP (XAL)
Remedy Integrator
Si tiene problemas con estos módulos auxiliares (plug-ins), priorizaremos y solucionaremos los problemas de acuerdo con las directivas estándar de gestión de defectos. Para obtener más información sobre las directivas de servicio técnico, consulte el sitio Web sobre directivas de servicio técnico.
Sección 5.1, El dispositivo Sentinel 8.2 en Hyper-V Server 2016 no se inicia al reiniciar
Sección 5.2, Información incorrecta sobre jquery en los informes de análisis de vulnerabilidades
Sección 5.3, Error al actualizar al dispositivo Sentinel 8.2 de alta disponibilidad
Sección 5.5, No se puede iniciar la consola de visualización de eventos
Sección 5.7, Problemas de facilidad de uso en las pantallas de instalación del dispositivo
Sección 5.9, SSDM muestra una excepción al suprimir eventos cuyo periodo de retención ha caducado
Sección 5.14, Internet Explorer 11 no carga las consolas según lo previsto
Sección 5.15, El reinicio del servicio de Elasticsearch en Sentinel falla con un error en RHEL 6
Sección 5.17, Sentinel no procesa las fuentes de inteligencia de amenazas en el modo FIPS
Problema: En Hyper-V Server 2016, el dispositivo Sentinel no se inicia durante el reinicio y muestra el siguiente mensaje:
A start job is running for dev-disk-by\..
Este problema se produce porque el sistema operativo modifica el UUID del disco durante la instalación. Por lo tanto, no se puede encontrar el disco durante el reinicio.
(Error 1097792)
Solución: Modifique manualmente el UUID del disco. Para obtener más información, consulte el artículo 7023143 de Knowledge Base.
Problema: Los análisis de vulnerabilidades informan de problemas, como el siguiente mensaje, con una versión vulnerable de jquery:
The file 'jquery-1.11.3.min.js' includes a vulnerable version of the library 'jquery'.
La vulnerabilidad observada afecta solo a las versiones 1.8.0 a 1.12.0, pero la dirección URL indicada redirecciona a una versión mucho más reciente de jquery (3.x). (Error 1094393)
Solución: Omita este problema, ya que se trata de una falsa alarma.
Problema: Al actualizar al dispositivo Sentinel 8.2 de alta disponibilidad, Sentinel muestra el siguiente mensaje de error:
Installation of novell-SentinelSI-db-8.2.0.0-<version> failed:
with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Command exited with status 1.
Abort, retry, ignore? [a/r/i] (a):
(Error 1099679)
Solución: Antes de responder al mensaje anterior, realice lo siguiente:
Inicie otra sesión mediante PuTTY o un software similar en el host en el que está ejecutando la actualización.
Añada la siguiente entrada al archivo /etc/csync2/csync2.cfg:
/etc/opt/novell/sentinel/config/configuration.properties
Elimine la carpeta sentinel de /var/opt/novell:
rm -rf /var/opt/novell/sentinel
Regrese a la sesión con la que había iniciado la actualización e introduzca r para continuar con el proceso.
Problema: La instalación de la aplicación Collector Manager y Correlation Engine genera errores en el modo MFA si el sistema operativo está en un idioma que no sea inglés. (Error 1045967)
Solución: Instale las aplicaciones Collector Manager y Correlation Engine en inglés. Una vez finalizada la instalación, cambie el idioma según corresponda.
Problema: Un problema impide que Internet Explorer 11 abra la consola de visualización de eventos. (Error 981308)
Solución: Utilice un navegador distinto para ver o modificar la consola de visualización.
Problema: Debido a un cambio en el almacenamiento de contraseñas de Sentinel 7.4 SP1, se muestra el siguiente error al actualizar el dispositivo desde versiones anteriores a 7.4 SP1:
Failed to set encrypted password
(Error 967764)
Solución: Se trata de una advertencia prevista, por lo que puede ignorarla de forma segura. Esto no afecta a la actualización.
Problema: Los botones Siguiente y Atrás de las pantallas de instalación del dispositivo no aparecen o están inhabilitados en algunos casos, como los siguientes:
Al hacer clic en Atrás en la pantalla Comprobación previa de Sentinel para editar o revisar la información de la pantalla de configuración de red del dispositivo de servidor de Sentinel, no aparece el botón Siguiente para continuar con la instalación. El botón Configurar solo permite editar la información especificada.
Si ha especificado ajustes de red incorrectos, en la pantalla Comprobación previa de Sentinel, se indica que no puede continuar con la instalación debido a la información de red incorrecta. No aparece el botón Atrás para ir a la pantalla anterior a fin de modificar los ajustes de red.
(Error 1089063)
Solución: Reinicie la instalación del dispositivo.
Problema: Sentinel muestra el siguiente mensaje de error durante el inicio en el archivo server.log:
El valor del atributo rv43 es demasiado largo
(Error 1092937)
Solución: Ignore la excepción. Aunque se muestre el mensaje, Sentinel funcionará según lo previsto.
Problema: Si hay un gran número de eventos cuyo periodo de retención ha caducado y SSDM intenta suprimir los eventos de Elasticsearch, se muestra la siguiente excepción en el archivo server.log:
java.net.SocketTimeoutException: Read timed out
(Error 1088511)
Solución: Ignore la excepción. Esta excepción se produce debido al tiempo necesario para suprimir la gran cantidad de datos. Aunque se muestre la excepción, SSDM suprimirá correctamente los eventos de Elasticsearch.
Problema: El rendimiento del recopilador genérico de Sentinel se deteriora cuando se habilita el recopilador genérico de servicios de resolución de nombres de host en Microsoft Active Directory y Windows Collector. El EPS se reduce en un 50% cuando las instancias remotas de Collector Manager envían eventos. (Error 906715)
Solución:
Desinstale la instancia de Collector y configure el servidor de Sentinel y Collector Manager para que resuelvan el nombre de host en la dirección IP o viceversa. Para obtener más información, consulte la sección Resolving Hostnames and IP Addresses
(Resolución de nombres de host y direcciones IP) en la Sentinel Administration Guide (Guía de administración de Sentinel).
Problema: Si instala y habilita de forma manual la sincronización horaria en open-vm-tools, estas herramientas sincronizan periódicamente la hora entre el dispositivo Sentinel (invitado) y el servidor VMware ESX (host). Estas sincronizaciones horarias pueden provocar que el reloj del invitado se adelante o atrase en relación con la hora del servidor ESX. Hasta que se sincronice la hora entre el dispositivo Sentinel (invitado) y el servidor ESX (host), Sentinel no procesará eventos. Como resultado, un gran número de eventos se incluirán en la cola de Collector Manager, que con el tiempo puede soltarlos una vez que se alcance el umbral. Para evitar este problema, Sentinel inhabilita la sincronización horaria por defecto en la versión de open-vm-tools disponible en Sentinel. (Error 1099341)
Solución: Inhabilite la sincronización horaria. Para obtener más información sobre cómo inhabilitar la sincronización horaria, consulte la sección Inhabilitación de la sincronización horaria.
Problema: Si tiene el modo FIPS 140-2 habilitado en Sentinel, la autenticación de Windows para Agent Manager impide la sincronización con la base de datos de Agent Manager. (Error 814452)
Solución: Utilice la autenticación de SQL para Agent Manager.
Problema: La instalación de alta disponibilidad de Sentinel en un modo diferente de FIPS 140-2 se realiza correctamente, pero muestra el error siguiente dos veces:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Error 810764)
Solución: Se trata de un error previsto y puede ignorarlo de forma segura. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo diferente de FIPS 140-2.
Problema: En Internet Explorer 11, al lanzar las consolas:
Las consolas Alerta y Búsqueda de amenazas redireccionan a Mis consolas.
La consola Actividades del usuario muestra un error.
Este problema se produce debido a la limitación de longitud de la dirección URL en Internet Explorer 11. (Error 1068418)
Solución: Haga lo siguiente:
Inicie la consola de visualización de eventos.
Haga clic en Gestión > Ajustes avanzados.
Defina el valor de storeInSessionStorage en true (verdadero).
Problema: El reinicio de los servicios de Elasticsearch en Sentinel falla con el error unable to install syscall filter (no se puede instalar el filtro de syscall) después de añadir el nodo de Elasticsearch al clúster en RHEL 6. (Error 1068600)
Solución: Haga lo siguiente:
Entre en el servidor de Sentinel como el usuario novell.
Abra el archivo /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml.
Defina el valor de bootstrap.system_call_filter en false (falso).
Reinicie los servicios de Elasticsearch en Sentinel:
rcsentinel stopSIdb
rcsentinel startSIdb
Problema: Cuando se utiliza el comando Keytool, se muestra la siguiente advertencia: El almacén de claves JKS utiliza un formato patentado. Se recomienda migrar a PKCS12, que es un formato estándar de la industria que utiliza "keytool -importkeystore -srckeystore /<directorio_instalación_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -destkeystore /<directorio_instalación_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -deststoretype pkcs12". (Error 1086612)
Solución: Se trata de una advertencia prevista, por lo que puede ignorarla de forma segura. A pesar de la advertencia, el comando Keytool funciona según lo esperado.
Problema: En el modo FIPS, al procesar fuentes de inteligencia de amenazas listas para usar desde las direcciones URL, Sentinel muestra el siguiente error: Received fatal alert: protocol_version. Este problema se produce porque las fuentes de amenazas listas para usar ahora solo son compatibles con TLS 1.2, que no funciona en el modo FIPS. (Error 1086631)
Solución: Haga clic en Sentinel Main > Integración > Orígenes de inteligencia de amenazas. Edite cada dirección URL para cambiar el protocolo de http a https.
Problema: Si Sentinel se ha integrado con el modo MFA de NetIQ Advanced Authentication Framework, no se puede salir de la sesión de las consolas de Sentinel al salir de la sesión de Sentinem Main y viceversa debido a un problema en Advanced Authentication Framework. (Error 1087856)
Solución: Hasta que haya una solución disponible en Advanced Authentication Framework, actualice la pantalla para ver la pantalla de entrada.
Problema: Después de instalar o actualizar a Sentinel 8.2 en el modo de alta disponibilidad, al lanzar la consola de gestión de dispositivos Sentinel, se muestra un error. (Error 1093574)
Solución: Después de instalar Sentinel 8.2 o actualizar a esta versión, si se muestra el error después de una conmutación por error, ejecute el siguiente comando para iniciar los servicios de Sentinel:
systemctl restart vabase-datamodel.service vabase-jetty.service vabase.service
Para obtener información acerca de los avisos legales, las marcas comerciales, las renuncias de responsabilidad, las garantías, la exportación y otras restricciones de uso de NetIQ, los derechos restringidos del Gobierno estadounidense, la directiva de patentes y el cumplimiento de la norma FIPS, consulte el sitio http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Todos los derechos reservados.