Notes de version de Sentinel 7.3.0.1

Problème : vous ne pouvez pas modifier les règles de corrélation complexes qui sont combinées à l'une des opérations de déclenchement telles que Window, Sequence, Distinct ou Gate. Par exemple, vous ne pouvez pas modifier les règles de corrélation PCI 8.5 d'accès à un compte par plusieurs utilisateurs ni PCI 8.5 d'accès à plusieurs comptes par un seul utilisateur. Les règles de corrélation fonctionnent toutefois comme prévu. (Bogue 917737)

Correction : vous pouvez à présent modifier des règles de corrélation complexes contenant des opérations de déclenchement.

Problème : le fournisseur de données pour le flux SpyEye Tracker a cessé de fournir des mises à jour, affirmant que la menace SpyEye semble s'être atténuée. Ce plug-in de flux est toujours inclus dans Sentinel. Puisque le fournisseur de données ne livre plus de flux de menaces valables, le plug-in de flux remplit les listes dynamiques de données imprévues et les règles de corrélation associées ne fonctionnent pas correctement. L'interface utilisateur des flux indique seulement que les données ont été traitées, mais elle ne précise pas que ces dernières ne sont pas valables. (BOGUE 916560).

Solution : le plug-in SpyEye Tracker ne pose aucun problème au serveur, mais vous pouvez économiser des ressources système en supprimant ce plug-in de flux et ses objets Sentinel associés : liste dynamique et règles de corrélation.

Problème : dans les installations de Sentinel 7.3 mises à niveau, lorsque vous recherchez des attributs d'alerte dans le tableau Conseils sur la console Web, la recherche ne renvoie pas la liste complète des champs d'alerte. Cependant, les champs d'alerte s'affichent correctement dans le tableau Conseils si vous effacez la recherche.(BOGUE 914755)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lorsque le serveur Sentinel s'exécute sous le mode FIPS 140-2, il vous est impossible de lancer Sentinel Control Center et Solution Designer sur l'ordinateur client à l'aide de Java Web Start si vous utilisez la version 8 du Java Runtime Environment (JRE) ou une version ultérieure. (BOGUE 910452)

Solution : veillez à effectuer les opérations suivantes sur l'ordinateur client où vous souhaitez lancer Sentinel Control Center ou Solution Designer :

Problème : la synchronisation des données échoue lorsque vous essayez de synchroniser les champs d'adresse IPv6 dans un format lisible par un humain pour des bases de données externes. Pour plus d'informations sur la configuration de Sentinel permettant de remplir les champs d'adresse IP dans un format de notation par points lisible par un humain, reportez-vous à la section Creating a Data·Synchronization·Policy·(Création·d'une·stratégie·de·synchronisation·des·données)·du·NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel). (BOGUE 913014)

Solution : pour résoudre ce problème, définissez manuellement la taille maximale des champs d'adresse IP sur au moins 46 caractères dans la base de données cible et resynchronisez-la.

Problème : si vous exécutez une recherche d'événements lorsque le filtre de sécurité de votre rôle est vide et que votre rôle ne dispose d'aucune autorisation d'affichage d'événements, la recherche ne s'effectue pas. Aucun message d'erreur ne vous indique que les autorisations d'affichage d'événements ne sont pas valables. (BOGUE 908666)

Solution : mettez le rôle à jour en utilisant une des options suivantes :

Problème : Sentinel Agent Manager ignore la valeur spécifiée dans l'attribut RawDataTapFileSize du fichier SMServiceHost.exe.config pour la configuration de la taille du fichier de données brutes et cesse d'écrire dans ce dernier lorsque la taille du fichier atteint les 10 Mo.(BOGUE 867954)

Solution : copiez manuellement le contenu du fichier de données brutes dans un autre fichier et videz-le lorsque la taille du fichier atteint 10 Mo pour permettre à Sentinel Agent Manager d'y écrire de nouvelles données.

Problème : lors de l'édition d'une recherche enregistrée mise à niveau de Sentinel 7.2 vers une version ultérieure, le panneau Champs d'événement, utilisé pour définir des champs de sortie dans le rapport de recherche CSV, n'apparaît pas dans la page de planification. (BOGUE 900293)

Solution : après avoir mis à niveau Sentinel, recréez et replanifiez la recherche pour afficher le panneau Champs d'événement dans la page de planification.

Problème : Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez tous les événements corrélés qui ont été générés après le déploiement ou l'activation de la règle, en cliquant sur l'icône à côté de Nombre de déclenchements du panneau Statistiques d'activité de la page Résumé de corrélation concernant la règle. (BOGUE 912820)

Solution : remplacez la valeur du champ De sur la page Recherche d'événements par une heure moins avancée que celle figurant déjà dans le champ et cliquez à nouveau sur Rechercher.

Problème : si Sentinel est exécuté en mode FIPS, le logiciel n'affiche pas les informations de changement relatives à Change Guardian lorsque vous recherchez les événements de Change Guardian et que vous cliquez sur l'icône Change Guardian, et ce malgré qu'il soit configuré pour recevoir les événements de Change Guardian. Change Guardian 4.1.1.1 et ses versions antérieures ne prennent pas en charge l'envoi d'événements en mode FIPS.(BOGUE 912230)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : dans la vue d'alerte, le nombre d'occurrences diminue lorsque vous rafraîchissez la vue d'alerte.(BOGUE 913838)

Solution : accédez à la page Résumé des alertes en cliquant sur Afficher les détails à côté de l'alerte pour laquelle le nombre d'occurrences a diminué. La page Résumé des alertes affiche la valeur Occurrences exacte.

Problème : la mise à niveau vers Sentinel 7.3 fait échouer la collecte et la synchronisation des données avec la base de données DB2, car la mise à niveau supprime le pilote IBM DB2 JDBC.(BOGUE 909343)

Solution : après avoir mis le logiciel à niveau vers Sentinel 7.3, ajoutez le pilote JDBC adéquat et configurez-le pour la collecte et la synchronisation de données en effectuant les étapes suivantes :

Problème : lorsque vous cliquez sur Sélectionner tout dans les vues d'alerte pour sélectionner des alertes, en désélectionner quelques-unes et les modifier, de nouvelles alertes entrantes sont également sélectionnées dans les vues d'alerte rafraîchies. Cela a pour conséquence que le nombre d'alertes sélectionnées pour modification est erroné et que l'affichage apparaît comme si vous modifiez également de nouvelles alertes entrantes. Toutefois, seules les alertes que vous avez sélectionnées au début sont modifiées.(BOGUE 904830)

Solution : plus aucune nouvelle alerte n'apparaîtra dans la vue d'alerte si vous créez cette dernière avec une plage horaire personnalisée.

Problème : les données d'historique de Security Intelligence (SI) prennent beaucoup de temps à se charger dans les systèmes Sentinel dotés d'une charge EPS (événements par seconde) élevée. (BOGUE 908599)

Solution : si vous créez un tableau de bord Security Intelligence avec des données d'historique, prévoyez, si possible, de le déployer lorsque la charge sur le système est plus faible. Il n'existe pour l'instant aucune autre solution à ce problème.

Problème : lors de la regénération de la ligne de base Security Intelligence, les dates de début et de fin de cette ligne sont erronées et affichent le 01/01/1970.(BOGUE 912009)

Solution : les bonnes dates sont mises à jour une fois la regénération de la ligne de base terminée.

Problème : le serveur Sentinel s'arrête lorsque vous lancez une recherche si de nombreux événements sont indexés dans une seule partition. (BOGUE 913599)

Solution : créez des stratégies de conservation de manière à ce qu'il y ait au moins deux partitions ouvertes par jour. Si vous disposez de plus d'une partition ouverte, cela vous permet de réduire le nombre d'événements indexés dans les partitions.

Problème : au lieu que les informations d'alerte soient transférées en amont vers une alerte existante, une nouvelle alerte est créée. Il s'agit toutefois d'un problème sporadique. (BOGUE 914512)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : Sentinel affiche une erreur lorsque vous utilisez le script report_dev_setup.sh afin de configurer les ports Sentinel pour les exceptions de pare-feu. (BOGUE 914874)

Solution : configurez les ports Sentinel pour les exceptions de pare-feu en procédant comme suit :

Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les gestionnaires des collecteurs distants envoient des événements. (BOGUE 906715)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lorsque vous installez Sentinel en mode FIPS, le connecteur de la base de données Security Intelligence ne démarre pas et Sentinel ne peut pas accéder à aux données d'alerte, Security Intelligence et Netflow. (BOGUE 915241)

Solution : redémarrez Sentinel après l'avoir installé et configuré en mode FIPS.

Problème : lors de la mise à niveau de Sentinel 7.3 à partir d'une installation personnalisée de Sentinel réalisée par un utilisateur non-root et configurée en mode FIPS, la base de données Security Intelligence et le tableau de bord des alertes ne peuvent parfois pas démarrer. (BOGUE 916285)

Solution : effectuez la procédure suivante.

Problème : dans les vues d'alerte, lorsque vous cliquez sur Afficher les détails à côté d'une alerte distante et que vous vous rendez sur la page Détails de l'alerte, les événements déclencheurs de cette alerte ne s'affichent pas dans le panneau Données associées.(BOGUE 916116)

Solution : connectez-vous au serveur de source de données et affichez les détails de l'alerte localement.

Problème : dans les vues d'alertes, les champs État et Priorité des alertes distantes n'affichent aucune donnée si les valeurs de ces champs sont personnalisées. Ces champs n'affichent également aucune donnée dans la page Détails de l'alerte. (BOGUE 915762)

Solution : connectez-vous au serveur de source de données et affichez les alertes localement.

Problème : parfois, Sentinel n'affiche les alertes dans aucune vue d'alerte si vous redémarrez Sentinel et que vous vous connectez.(BOGUE 916133)

Solution : redémarrez la base de données Security Intelligence en effectuant les étapes suivantes :

Problème : SSL 3.0 comporte une vulnérabilité qui risque d'autoriser le calcul du texte en clair des connexions sécurisées. Pour de plus amples informations, consultez la page CVE-2014-3566. La version groupée de Syslog Connector 2011.1r4 comporte cette vulnérabilité depuis que le logiciel utilise le protocole SSL.

Solution : ce problème est résolu dans la version 2011.1r5 et les versions ultérieures de Syslog Connector. Avant sa sortie officielle sur le site Web des plug-ins de Sentinel, vous pouvez télécharger le connecteur à partir de la section Previews (Aperçus).

Problème : la version 2011.1r3 d'Agent Manager Connector ne définit pas la propriété CONNECTION_MODE dans les événements si le collecteur qui analyse les événements prend en charge plusieurs modes de connexion. (BOGUE 880564)

Solution : ce problème est résolu dans la version 2011.1r5 et les versions ultérieures d'Agent Manager Connector. Avant sa sortie officielle sur le site Web des plug-ins de Sentinel, vous pouvez télécharger le connecteur à partir de la section Previews (Aperçus).

Problème : lors de l'installation de l'applicatif Sentinel, l'interface réseau n'est pas configurée par défaut. (BOGUE 867013)

Solution : Pour configurer l'interface réseau :

Problème : lors de l'exportation des résultats de la recherche dans Sentinel, le navigateur Web risque d'afficher une erreur si vous modifiez les paramètres de langue du système d'exploitation. (BOGUE 834874)

Solution : pour exporter correctement les résultats de la recherche, procédez de l'une des manières suivantes :

Problème : Lorsque vous lancez la console Web de Sentinel via le réacheminement de ports ou la traduction d'adresses réseau de destination (DNAT), elle affiche une page vide. (BOGUE 694732)

Solution : N'utilisez pas le réacheminement de ports ni la traduction d'adresses réseau de destination (DNAT) pour lancer la console Web de Sentinel.

Problème : lorsque vous créez ou régénérez une ligne de base Security Intelligence, Sentinel crée la ligne de base correctement mais affiche un message d'erreur. (BOGUE 848067)

Solution : Ignorez ce message d'erreur. La création de la ligne de base peut prendre quelques minutes.

Problème : Si le nombre de jours de données que peut contenir l'espace de stockage secondaire est inférieur à celui de l'espace de stockage principal, cela signifie que Sentinel n'utilise pas efficacement l'espace disque de l'espace de stockage principal. Les partitions supprimées du stockage secondaire pour libérer de l'espace seront également supprimées du stockage principal. (BOGUE 860888)

Solution : Allouez une quantité d'espace suffisante dans l'espace de stockage secondaire pour contenir le nombre total de jours de données que vous souhaitez conserver en ligne (et pouvant faire l'objet de recherches).

Problème : Sur les systèmes dont l'espace disque est supérieur à 2 To, Sentinel risque de ne pas démarrer automatiquement après l'installation. (BOGUE 846296)

Solution : Démarrez les services Sentinel manuellement en spécifiant la commande suivante (cette opération ne doit s'effectuer qu'une seule fois) :

Problème : dans les installations d'applicatifs de Sentinel, si vous configurez l'authentification Kerberos dans le module Kerberos, la console affiche un message confirmant que la configuration du client Kerberos s'est déroulée correctement. Toutefois, lorsque vous affichez de nouveau le module Kerberos, l'option Enable Kerberos Authentication (Activer l'authentification Kerberos) est désélectionnée. (BOGUE 843623)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : Lorsque vous installez un gestionnaire des collecteurs distant, si vous spécifiez un mot de passe qui contient des caractères spéciaux, tels que $, ", \ ou /, l'installation échoue et des erreurs sont renvoyées. (BOGUE 812111)

Solution : n'utilisez pas de caractères spéciaux dans le mot de passe du gestionnaire des collecteurs distant.

Problème : lorsque vous redémarrez un applicatif de gestionnaire des collecteurs distant, la connexion de la source d'événements Syslog au port UDP est interrompue. (BOGUE 795057)

Solution : Il n'existe actuellement aucune solution à ce problème.

Problème : lorsque vous attendez l'ouverture d'un fichier PDF contenant les résultats d'un rapport, en particulier ceux comptant 1 million d'événements, si vous cliquez sur un autre fichier PDF à afficher, les résultats de rapport ne s'affichent pas. (BOGUE 804683)

Solution : cliquez de nouveau sur le second fichier PDF pour afficher les résultats de rapport.

Problème : lorsque le mode FIPS est activé dans votre environnement Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (BOGUE 814452)

Solution : utilisez l'authentification SQL pour Agent Manager lorsque le mode FIPS est activé dans votre environnement Sentinel.

Problème : Si le mode FIPS est activé, l'installation de Sentinel en haute disponibilité (HA) affiche le message d'erreur suivant :

Solution : Aucune solution ou correction n'est actuellement disponible. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode FIPS.

Problème : L'installation de Sentinel en haute disponibilité (HA) en mode non FIPS s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :

Solution : Aucune solution ou correction n'est actuellement disponible. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non FIPS.

Problème : La mise à jour d'applicatifs à partir de versions antérieures à Sentinel 7.2 échoue, car le fournisseur des paquetages de mise à jour est passé de Novell à NetIQ. (BOGUE 780969)

Solution : utilisez la commande zypper pour mettre à niveau l'applicatif. Pour plus d'informations, reportez-vous à la section relative à la mise à niveau de l'applicatif à l'aide de zypper du Guide d'installation et de configuration de NetIQ Sentinel.

Problème : Si vous avez indiqué un caractère « $ » dans le mot de passe, Sentinel stocke le mot de passe dans la base de données de manière différente selon l'emplacement de ce caractère « $ » dans le mot de passe. Si le mot de passe commence par le caractère « $ », Sentinel stocke le mot de passe avec un nom de fichier. Si le caractère « $ » se trouve au milieu du mot de passe, Sentinel tronque le mot de passe à l'emplacement de ce caractère. (BOGUE 734500)

Solution : Le mot de passe proprement dit est stocké dans le fichier home/novell/.pgpass. Utilisez le mot de passe stocké dans ce fichier et connectez-vous à Sentinel. Par exemple, si vous avez indiqué le mot de passe « abc$123 », Sentinel stocke le mot de passe « abc » dans le fichier .pgpass. Vous pouvez vous connecter à Sentinel en indiquant le mot de passe « abc ».

Problème : Le gestionnaire de solutions n'installe pas de règles de corrélation si une règle porte un nom qui est déjà présent dans le système. Une erreur NullPointerException est consignée au niveau de la console. (BOGUE 713962)

Solution : assurez-vous que chaque règle de corrélation a un nom unique.

Problème : Lorsque vous exécutez une opération Sentinel Link à partir de la console Web, Sentinel affiche un message indiquant que l'opération s'est déroulée correctement, même en cas d'échec du test de l'intégrateur du connecteur Sentinel Link depuis Sentinel Control Center. (BOGUE 710305)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : Si un tableau de bord Security Intelligence et une définition d'anomalie ont le même nom, le lien du tableau de bord est désactivé sur la page des détails de l'anomalie. (BOGUE 715986)

Solution : Veillez à utiliser des noms uniques lorsque vous créez des tableaux de bord et des définitions d'anomalie.

Problème : La console Web de Sentinel affiche des nombres négatifs dans les colonnes Accès et Active Search Job Duration (Durée du travail de recherche actif) lorsque l'horloge de l'ordinateur de la console Web de Sentinel est en retard par rapport à celle du serveur Sentinel. Par exemple, les colonnes Durée et Accès affichent des nombres négatifs si l'horloge de la console Web de Sentinel est définie sur 1:30 PM et que celle du serveur Sentinel indique 2:30 PM. (BOGUE 719875)

Solution : Veillez à ce que l'ordinateur que vous utilisez pour accéder à la console Web de Sentinel ait la même heure que le serveur Sentinel ou qu'il soit en avance.

Problème : lorsque vous vous connectez au tableau de bord de sécurité et effectuez une recherche sur l'événement d'audit IssueSAMLToken, l'événement d'audit IssueSAMLToken affiche un nom d'hôte (InitiatorUserName) ou une SourceIP (adresse IP) incorrects. (BOGUE 870609)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : Sentinel Control Center ne s'ouvre pas lorsque NetIQ Identity Manager Designer est installé sur l'ordinateur client et que Designer utilise le JRE système. Designer doit ajouter des fichiers jar connexes, tels que xml-apis.jar, au répertoire lib/endorsed. Certaines classes du fichier xml-apis.jar remplacent les classes correspondantes dans le JRE système utilisé par Sentinel Control Center. (BOGUE 888085)

Solution : Configurez Designer de sorte qu'il utilise son propre JRE.

Problème : lors de la collecte de données d'événement, Sentinel Agent Manager ne capture pas les champs de chaînes d'insertion Windows ayant des valeurs nulles. (BOGUE 838825)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.