Notes de version de Sentinel 7.4

Problème : lorsque vous exécutez le script configure.sh au cours des installations personnalisées des gestionnaires des collecteurs ou des moteurs de corrélation, Sentinel affiche l'erreur suivante :

Solution : Ignorez cette erreur. La configuration se poursuit comme prévu.

Problème : dans Sentinel High Availability (HA), lorsque vous personnalisez Sentinel en mettant à jour les fichiers de configuration ou en apportant des modifications à l'interface Web Sentinel dans le noeud actif, les changements ne sont pas pris en compte dans le noeud passif. La synchronisation doit être démarrée manuellement.

Solution : lorsque vous modifiez un fichier de configuration, ou lorsque des fichiers sont modifiés en raison des changements que vous avez effectués dans l'interface Web de Sentinel, ajoutez manuellement ce fichier ou ce répertoire à synchroniser, en procédant comme suit :

Problème : dans les correctifs de vulnérabilité de sécurité inclus avec Sentinel 7.3.1, des changements ont été apportés au mécanisme de communication afin de sécuriser la connexion. Ces changements ne sont toutefois pas compatibles avec l'agent UNIX Sentinel 7.4. De ce fait, Sentinel ne parvient pas à recevoir les événements de Sentinel UNIX Agent 7.4. (BOGUE 953990)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème. Ce problème sera résolu lors de la mise à disposition d'une version compatible de l'agent UNIX Sentinel.

Problème : Sentinel affiche une erreur lorsque vous essayez de configurer NFS comme espace de stockage secondaire après la mise à niveau d'un applicatif Sentinel vers la version 7.3.1 ou une version ultérieure. (BOGUE 934851)

Solution : après avoir mis à niveau l'applicatif Sentinel, redémarrez le système d'exploitation SLES à l'aide de la commande suivante :

Problème : lorsque vous mettez à niveau Sentinel de la version 7.3 à la version 7.3.1 et démarrez le serveur Sentinel, vous risquez de trouver les exceptions suivantes dans le journal du serveur :

Solution : ignorez l'exception. Cette exception n'affecte en rien les performances de Sentinel.

Problème : Sentinel emploie le protocole Diffie-Hellman pour communiquer avec Secure Configuration Manager. Pour résoudre la vulnérabilité Logjam, la clé de certificat que Sentinel utilise pour ce protocole a vu sa taille passer à 2048. Toutefois, Secure Configuration Manager continue à utiliser la taille de clé par défaut, à savoir 1024. Cette discordance empêche Secure Configuration Manager de communiquer avec Sentinel. (BOGUE 935987)

Solution : dans l'attente d'un correctif pour Secure Configuration Manager, vous pouvez effectuer la procédure suivante :

Problème : les vues et tableaux de bord d'alertes de Sentinel n'affichent pas les alertes qui contiennent des adresses IPv6 dans les champs Adresses IP. (BOGUE 924874)

Solution : pour afficher les alertes contenant des adresses IPv6 dans Sentinel, effectuez la procédure expliquée dans l'article 7016555 de la base de connaissance NetIQ.

Problème : la vulnérabilité de sécurité Bar Mitzvah affecte Sentinel Link Connector. Sentinel Link Connector utilise l'algorithme de chiffrement RC4 dans le cadre des protocoles SSL et TSL, ce qui le rend susceptible à une attaque par récupération des premiers octets d'un flux stockés en texte clair. Pour de plus amples informations, consultez la page CVE-2015-2808. (BOGUE 933741)

Solution : ce problème est résolu dans Sentinel Link Connector version 2011.1r4 et ultérieures. Dans l'attente de sa publication officielle sur le site Web des plug-ins Sentinel, vous pouvez télécharger le connecteur dans la section Previews (Aperçus).

Problème : la version 2011.1r3 d'Agent Manager Connector ne définit pas la propriété CONNECTION_MODE dans les événements si le collecteur qui analyse les événements prend en charge plusieurs modes de connexion. (BOGUE 880564)

Solution : ce problème est résolu dans la version 2011.1r5 et les versions ultérieures d'Agent Manager Connector. Dans l'attente de sa publication officielle sur le site Web des plug-ins Sentinel, vous pouvez télécharger le connecteur dans la section Previews (Aperçus).

Problème : Sentinel Agent Manager ignore la valeur spécifiée dans l'attribut RawDataTapFileSize du fichier SMServiceHost.exe.config pour la configuration de la taille du fichier de données brutes et cesse d'écrire dans ce dernier lorsque la taille du fichier atteint les 10 Mo. (BOGUE 867954)

Solution : copiez manuellement le contenu du fichier de données brutes dans un autre fichier et videz-le lorsque la taille du fichier atteint 10 Mo pour permettre à Sentinel Agent Manager d'y écrire de nouvelles données.

Problème : dans les installations mises à niveau de Sentinel, si vous effectuez une recherche d'attributs d'alertes dans le tableau Conseils de l'interface Web, la recherche ne renvoie pas la liste complète des champs d'alerte. Cependant, les champs d'alerte s'affichent correctement dans le tableau Conseils si vous effacez la recherche. (BOGUE 914755)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : la synchronisation des données échoue lorsque vous essayez de synchroniser les champs d'adresse IPv6 dans un format lisible par un humain pour des bases de données externes. Pour plus d'informations sur la configuration de Sentinel afin de pouvoir remplir les champs d'adresse IP dans un format de notation par points lisible, reportez-vous à la section Creating a Data·Synchronization·Policy·(Création·d'une·stratégie·de·synchronisation·des·données)·du·NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel). (BOGUE 913014)

Solution : pour résoudre ce problème, définissez manuellement la taille maximale des champs d'adresse IP sur au moins 46 caractères dans la base de données cible et resynchronisez-la.

Problème : si vous exécutez une recherche d'événements lorsque le filtre de sécurité de votre rôle est vide et que votre rôle ne dispose d'aucune autorisation d'affichage d'événements, la recherche ne s'effectue pas. Aucun message d'erreur ne vous indique que les autorisations d'affichage d'événements ne sont pas valables. (BOGUE 908666)

Solution : mettez le rôle à jour en utilisant une des options suivantes :

Problème : lors de l'édition d'une recherche enregistrée mise à niveau de Sentinel 7.2 vers une version ultérieure, le panneau Champs d'événement, utilisé pour définir des champs de sortie dans le rapport de recherche CSV, n'apparaît pas dans la page de planification. (BOGUE 900293)

Solution : après avoir mis à niveau Sentinel, recréez et replanifiez la recherche pour afficher le panneau Champs d'événement dans la page de planification.

Problème : Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez tous les événements corrélés qui ont été générés après le déploiement ou l'activation de la règle, en cliquant sur l'icône à côté de Nombre de déclenchements du panneau Statistiques d'activité de la page Résumé de corrélation concernant la règle. (BOGUE 912820)

Solution : remplacez la valeur du champ De sur la page Recherche d'événements par une heure moins avancée que celle figurant déjà dans le champ et cliquez à nouveau sur Rechercher.

Problème : lorsque vous cliquez sur Sélectionner tout dans les vues d'alerte pour sélectionner des alertes, en désélectionner quelques-unes et les modifier, de nouvelles alertes entrantes sont également sélectionnées dans les vues d'alerte rafraîchies. Cela a pour conséquence que le nombre d'alertes sélectionnées pour modification est erroné et que l'affichage apparaît comme si vous modifiez également de nouvelles alertes entrantes. Toutefois, seules les alertes que vous avez sélectionnées au début sont modifiées. (BOGUE 904830)

Solution : plus aucune nouvelle alerte n'apparaîtra dans la vue d'alerte si vous créez cette dernière avec une plage horaire personnalisée.

Problème : les données d'historique de Security Intelligence (SI) prennent beaucoup de temps à se charger dans les systèmes Sentinel dotés d'une charge EPS (événements par seconde) élevée. (BOGUE 908599)

Solution : si vous créez un tableau de bord Security Intelligence avec des données d'historique, prévoyez, si possible, de le déployer lorsque la charge sur le système est plus faible. Il n'existe pour l'instant aucune autre solution à ce problème.

Problème : lors de la regénération de la ligne de base Security Intelligence, les dates de début et de fin de cette ligne sont erronées et affichent le 01/01/1970. (BOGUE 912009)

Solution : les bonnes dates sont mises à jour une fois la regénération de la ligne de base terminée.

Problème : le serveur Sentinel s'arrête lorsque vous lancez une recherche si de nombreux événements sont indexés dans une seule partition. (BOGUE 913599)

Solution : créez des stratégies de conservation de manière à ce qu'il y ait au moins deux partitions ouvertes par jour. Si vous disposez de plus d'une partition ouverte, cela vous permet de réduire le nombre d'événements indexés dans les partitions.

Problème : Sentinel affiche une erreur lorsque vous utilisez le script report_dev_setup.sh afin de configurer les ports Sentinel pour les exceptions de pare-feu. (BOGUE 914874)

Solution : configurez les ports Sentinel pour les exceptions de pare-feu en procédant comme suit :

Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les gestionnaires des collecteurs distants envoient des événements. (BOGUE 906715)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lorsque vous installez Sentinel en mode FIPS 140-2, le connecteur de la base de données Security Intelligence ne démarre pas et Sentinel ne peut pas accéder à aux données d'alerte, Security Intelligence et Netflow. (BOGUE 915241)

Solution : redémarrez Sentinel après l'avoir installé et configuré en mode FIPS 140-2.

Problème : lors de la mise à niveau de Sentinel à partir d'une installation personnalisée de Sentinel réalisée par un utilisateur non-root et configurée en mode FIPS 140-2, la base de données Security Intelligence et le tableau de bord des alertes ne peuvent parfois pas démarrer. (BOGUE 916285)

Solution : effectuez la procédure suivante.

Problème : lors de l'installation de l'applicatif Sentinel, l'interface réseau n'est pas configurée par défaut. (BOGUE 867013)

Solution : Pour configurer l'interface réseau :

Problème : lors de l'exportation des résultats de la recherche dans Sentinel, le navigateur Web risque d'afficher une erreur si vous modifiez les paramètres de langue du système d'exploitation. (BOGUE 834874)

Solution : pour exporter correctement les résultats de la recherche, procédez de l'une des manières suivantes :

Problème : Sur les systèmes dont l'espace disque est supérieur à 2 To, Sentinel risque de ne pas démarrer automatiquement après l'installation. (BOGUE 846296)

Solution : Démarrez les services Sentinel manuellement en spécifiant la commande suivante (cette opération ne doit s'effectuer qu'une seule fois) :

Problème : dans les installations d'applicatifs de Sentinel, si vous configurez l'authentification Kerberos dans le module Kerberos, la console affiche un message confirmant que la configuration du client Kerberos s'est déroulée correctement. Toutefois, lorsque vous affichez de nouveau le module Kerberos, l'option Enable Kerberos Authentication (Activer l'authentification Kerberos) est désélectionnée. (BOGUE 843623)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lorsque vous attendez l'ouverture d'un fichier PDF contenant les résultats d'un rapport, en particulier ceux comptant 1 million d'événements, si vous cliquez sur un autre fichier PDF à afficher, les résultats de rapport ne s'affichent pas. (BOGUE 804683)

Solution : cliquez de nouveau sur le second fichier PDF pour afficher les résultats de rapport.

Problème : lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (BOGUE 814452)

Solution : utilisez l'authentification SQL pour Agent Manager lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel.

Problème : si le mode FIPS 140-2 est activé, l'installation de Sentinel en haute disponibilité (HA) affiche le message d'erreur suivant :

Solution : Aucune solution ou correction n'est actuellement disponible. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode FIPS 140-2.

Problème : l'installation de Sentinel en haute disponibilité (HA) en mode non FIPS 140-2 s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :

Solution : Aucune solution ou correction n'est actuellement disponible. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non-FIPS 140-2.

Problème : La mise à jour d'applicatifs à partir de versions antérieures à Sentinel 7.2 échoue, car le fournisseur des paquetages de mise à jour est passé de Novell à NetIQ. (BOGUE 780969)

Solution : utilisez la commande zypper pour mettre à niveau l'applicatif. Pour plus d'informations, reportez-vous à la section relative à la mise à niveau de l'applicatif à l'aide de zypper du Guide d'installation et de configuration de NetIQ Sentinel.

Problème : Le gestionnaire de solutions n'installe pas de règles de corrélation si une règle porte un nom qui est déjà présent dans le système. Une erreur NullPointerException est consignée au niveau de la console. (BOGUE 713962)

Solution : assurez-vous que chaque règle de corrélation a un nom unique.

Problème : lorsque vous exécutez une opération Sentinel Link à partir de l'interface Web, Sentinel affiche un message indiquant que l'opération s'est déroulée correctement, même en cas d'échec du test de l'intégrateur du connecteur Sentinel Link depuis Sentinel Control Center. (BOGUE 710305)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : Si un tableau de bord Security Intelligence et une définition d'anomalie ont le même nom, le lien du tableau de bord est désactivé sur la page des détails de l'anomalie. (BOGUE 715986)

Solution : Veillez à utiliser des noms uniques lorsque vous créez des tableaux de bord et des définitions d'anomalie.

Problème : L'interface Web de Sentinel affiche des nombres négatifs dans les colonnes Durée et Accès de Recherches actives lorsque l'horloge de l'ordinateur de l'interface Web de Sentinel est en retard par rapport à celle du serveur Sentinel. Par exemple, les colonnes Durée et Accès affichent des nombres négatifs si l'horloge de l'interface Web de Sentinel est définie sur 1:30 PM et que celle du serveur Sentinel indique 2:30 PM. (BOGUE 719875)

Solution : Veillez à ce que l'ordinateur que vous utilisez pour accéder à l'interface Web de Sentinel ait la même heure que le serveur Sentinel ou qu'il soit en avance.

Problème : lorsque vous vous connectez au tableau de bord de sécurité et effectuez une recherche sur l'événement d'audit IssueSAMLToken, l'événement d'audit IssueSAMLToken affiche un nom d'hôte (InitiatorUserName) ou une SourceIP (adresse IP) incorrects. (BOGUE 870609)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lors de la collecte de données d'événement, Sentinel Agent Manager ne capture pas les champs de chaînes d'insertion Windows ayant des valeurs nulles. (BOGUE 838825)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.