Sentinel 8.1 offre de nouvelles fonctions et une plus grande convivialité, et résout divers problèmes des versions précédentes.
La plupart de ces améliorations ont été apportées en réponse directe aux suggestions de nos clients. Nous vous remercions du temps que vous avez pris pour nous écrire. Nous espérons que vous continuerez à nous aider pour que nos produits répondent à tous vos besoins. Vous pouvez publier des commentaires dans le forum Sentinel de NetIQ Communities, notre communauté en ligne qui inclut aussi des informations sur le produit, des blogues et des liens vers des ressources utiles.
La documentation de ce produit est disponible sur le site Web NetIQ aux formats HTML et PDF sur une page qui ne nécessite pas l'envoi d'informations de connexion. Si vous avez des suggestions pour améliorer la documentation, cliquez sur l'icône de commentaire sur toute page de la version HTML de la documentation publiée sur la page de documentation de NetIQ Sentinel. Pour télécharger ce produit, rendez-vous sur le site Web de mise à niveau des produits Sentinel.
Pour consulter les dernières notes de version publiées, reportez-vous aux Notes de version de Sentinel 8.1.
Les sections suivantes décrivent les principales caractéristiques et fonctions de cette version, ainsi que les problèmes résolus dans cette édition :
Sentinel 8.1 apporte des correctifs supplémentaires à la vulnérabilité CVE-2016-1000031 découverte par Jacob Baines de Tenable Network Security. Tous nos remerciements à Jacob Baines qui a repéré ces vulnérabilités de sécurité et nous en a fait part.
Sentinel 8.1 comporte les nouvelles méthodes d'authentification suivantes :
Authentification Kerberos : avec chiffrement à clé secrète pour une authentification forte.
Authentification à plusieurs facteurs : méthode d'authentification plus sophistiquée qui utilise une combinaison d'au moins deux facteurs. Elle combine par exemple un mot de passe et un jeton ou une carte à puce et une empreinte digitale.
Authentification OAuth : les utilisateurs se connectent à Sentinel via des tiers comme Google ou Facebook.
Sentinel 8.1 comporte les nouveaux tableaux de bord suivants :
Tableau de bord d'état de santé de sécurité : vue globale de la sécurité des systèmes par rapport aux menaces provenant d'adresses IP de mauvaise réputation, aux vulnérabilités et à l'exploitation potentielle d'une vulnérabilité. Il donne une vue d'ensemble de l'état actuel de la sécurité du système, notamment des informations sur l'éventuellement compromission ou la sécurité du système.
Tableau de bord de présentation des événements : vue globale de tous les événements entrants. Les widgets fournissent des informations sur les types spécifiques comme les événements de corrélation, les événements système et d'autres.
Sentinel 8.1 ajoute la possibilité de gérer plusieurs tableaux de bord. Lors de votre première connexion, Sentinel ouvre la page Gérer les tableaux de bord. De là, vous pouvez :
Accéder à tout tableau de bord dont l'accès vous est autorisé
Créer un tableau de bord
Définir n'importe quel tableau de bord comme page d'accueil
L'apparition des tableaux de bord de renseignements sur les menaces et de présentation des événements dans
va entraîner l'abandon des et des de l' pour éviter les doublons.Dans cette version, plusieurs ajouts viennent élargir la fonctionnalité de stockage évolutif de Sentinel :
Le gestionnaire de données évolutif Sentinel (Sentinel Scalable Data Manager, SSDM) offre désormais les fonctionnalités Sentinel Enterprise suivantes :
Corrélation
Corrélation de modèles d'événement en temps réel
Opérations déclenchées par des règles de corrélation
Triage des alertes et visualisation
Intégration des données d'identité des utilisateurs
Collecte et visualisation NetFlow
Fédération des données
Solution Designer
Pour toute information sur les services et fonctionnalités Sentinel Enterprise non disponibles dans SSDM, reportez-vous à la section Scalable Storage Configuration
(Configuration du stockage évolutif) du manuel NetIQ Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de NetIQ Sentinel).
Il est désormais inutile de réinstaller Sentinel pour utiliser la fonctionnalité de stockage évolutif. Elle est désormais activable au cours des installations de mise à niveau de Sentinel. Pour obtenir des informations sur l'activation du stockage évolutif, reportez-vous à la section Configuring Scalable Storage
(Configuration du stockage évolutif) du NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel).
Si vous souhaitez valoriser vos données existantes en stockage traditionnel dans Sentinel avec le stockage évolutif, vous pouvez désormais migrer vos données du stockage traditionnel vers l'évolutif. Pour plus d'informations, reportez-vous à la section Migrating Data from Sentinel with Traditional Storage
(Migration des données depuis Sentinel avec stockage traditionnel) du manuel NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel).
Dans une installation de stockage évolutif, habituellement avec un taux d'EPS élevé, les Correlation Engines peuvent être chargés d'un grand nombre d'événements à traiter. Par défaut, tous les événements sont envoyés à tous les Correlation Engines. Pour éviter une surcharge, vous pouvez consulter l'utilisation en EPS du Correlation Engine et, le cas échéant, équilibrer la charge des événements sur plusieurs Correlation Engines. Une répartition égale des événements sur l'ensemble des Correlation Engines permet d'équilibrer la charge, mais aide aussi à affecter les événements à des moteurs Correlation Engine donnés en fonction du locataire. Par exemple, dans un environnement en mode locatif, vous pouvez configurer pour chaque locataire des Correlation Engines désignés. Ainsi, le Correlation Engine traite les événements propres à chaque locataire.
Seul Sentinel avec stockage évolutif offre l'option de répartition des événements sur l'ensemble des Correlation Engines. Pour plus d'informations, reportez-vous à la section Distributing Events Across Correlation Engines
(Répartition des événements sur l'ensemble des Correlation Engines) du manuel NetIQ Sentinel User Guide (Guide de l'utilisateur de NetIQ Sentinel).
Le Solution Pack Threat Intelligence des versions Sentinel précédentes comprend des sources de données telles que Palevo et ZeuS, qui établissent une liste d'adresses IP de machines zombies connues. Ce n'est plus le cas avec Sentinel 8.1, mais ces sources de données sont disponibles immédiatement à l'installation de Sentinel. Sentinel a ajouté en plus d'autres sources de données qui fournissent des informations sur les menaces à la sécurité de l'entreprise existantes ou émergentes. Les mises à jour de ces sources sont pour beaucoup quotidiennes. Sentinel permet de télécharger ces données dans un fichier map, de le mettre à jour régulièrement ou à la demande, et d'intégrer aux règles de corrélation les informations pertinentes sur les menaces. Vous trouverez désormais l'option de gestion des sources d'intelligence des menaces sous
> dans l'interface principale de Sentinel.Pour plus d'informations, reportez-vous à la section Configuring Threat Intelligence Data Sources
(Configuration des sources de renseignements sur les menaces) du manuel NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel).
Sentinel Control Center ne sert plus à configurer ni à gérer les listes dynamiques. La nouvelle interface plus conviviale de configuration et de gestion des listes dynamiques se trouve désormais dans l'interface principale de Sentinel. Pour plus d'informations, reportez-vous à la section Configuring Dynamic Lists
(Configuration de listes dynamiques) du manuel NetIQ Sentinel User Guide (Guide de l'utilisateur de NetIQ Sentinel).
Il existe plusieurs mises à jour vers des plates-formes certifiées pour l'utilisation de Sentinel. Pour en savoir plus sur les plates-formes certifiées, reportez-vous à la fiche d'informations techniques relatives à Sentinel.
Sentinel est désormais certifié sur les plates-formes suivantes :
Installation traditionnelle :
SUSE Linux Enterprise Server 12 SP2 64 bits
Red Hat Enterprise Linux Server 6.8 64 bits
Installation d'applicatif :
VMware ESX 6.5 (pour ISO et OVF)
Serveur Hyper-V 2016 (ISO uniquement)
Synchronisation des données : Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Les nouvelles installations de Sentinel incluent désormais les dernières versions de plusieurs plug-ins Sentinel. Ces versions incluent les derniers correctifs logiciels, les mises à jour de la documentation et les améliorations du plug-in. Pour plus d'informations, reportez-vous à la documentation spécifique au plug-in sur le site Web des plug-ins Sentinel.
La mise à niveau des installations Sentinel met à jour les plug-ins suivants pour s'assurer de leur compatibilité avec Sentinel 8.1 ou version ultérieure :
Connecteur Sentinel Agent Manager à la version 2017.1r1
Connecteur Sentinel Link Connector à la version 2011.1r5
Sentinel 8.1 inclut des correctifs logiciels qui apportent des solutions à plusieurs problèmes.
Impossible d'effectuer une recherche des tâches de création de rapport échouées
La création du rapport échoue si la date de début est postérieure à la date courante
L'enregistrement d'une recherche au format CSV ne conserve pas l'ordre des champs
Certaines options d'édition des critères créent des recherches non valides
Un certificat personnalisé empêche Sentinel Agent Manager de se connecter à Sentinel
Erreur lors de la mise à niveau vers Sentinel 8.0 et les versions ultérieures
L'API /SentinelRESTServices/objects/alert/count retourne toujours la valeur 0
Les champs de détail des événements affichent des dates au mauvais format
Le travail StreamingEventIndexer ne prend pas en charge IPv6
Sentinel Agent Manager 7.3 ne prend pas en considération la configuration RawDataTapFileSize
Les visualisations de cartes quadrillées ne fonctionnent pas dans SSDM
Problème : Lorsqu'une tâche de création de rapport échoue, vous ne pouvez pas la rechercher comme un événement. (Bogue 1017358)
Correction : Il est désormais possible d'effectuer une recherche de tâche de création de rapport échouée comme un événement.
Problème : Sentinel vous permet de consigner les sources des événements d'où proviennent des événements retardés au-delà d'un certain seuil. Cette fonction est utile pour résoudre les problèmes de réception tardive. Sentinel omettait de mettre jour le fichier journal avec les sources des événements. (Bogue 979931)
Correction : Sentinel met désormais à jour le fichier journal dans le cadre de l'instantané des performances.
Problème : Si une définition d'anomalie est configurée pour envoyer une notification par message électronique en cas d'écart par rapport à la ligne de base, Sentinel n'arrive pas à envoyer le message électronique et renvoie l'erreur IllegalStateException. (Bogue 816622)
Correction : Sentinel envoie désormais le message électronique.
Problème : Lorsque vous programmez un rapport dans une plage de dates actuelles mais que la (Bogue 914094)
est dans le futur, la création du rapport échoue.Correction : Sentinel vous laisse définir une
à une date future pour consigner les sources d'événements à synchronisation tardive. Sentinel exécute désormais le rapport sans erreur.Problème : Quand vous enregistrez une recherche dans un fichier CSV, ce fichier ne conserve pas les champs dans l'ordre indiqué. (Bogue 979916)
Correction : Quand vous enregistrez une recherche dans un fichier CSV, ce fichier conserve désormais les champs dans l'ordre indiqué.
Problème : Si on redémarre le service Sentinel sur un ordinateur où est installé Collector Manager avec plusieurs collecteurs de bases de données, certains collecteurs n'arrivent pas à se reconnecter aux sources d'événements. (Bogues 1015375 et 1041866)
Correction : Désormais, tous les collecteurs se reconnectent après le redémarrage du service Sentinel.
Problème : Si on modifie les critères d'une recherche et qu'on sélectionne (Bogue 894421)
, ou , les résultats de la recherche sont erronés.Correction : Les options d'
, d' ou d' ne sont plus disponibles lors de la modification des critères de recherche.Problème : Si l'objet d'un certificat personnalisé contient plusieurs attributs ou caractères spéciaux, Sentinel Agent Manager n'arrive pas à se connecter à Sentinel. (Bogue 1018133)
Correction : Sentinel Agent Manager peut désormais se connecter à Sentinel quand l'objet du certificat personnalisé contient plusieurs attributs ou caractères spéciaux.
Problème : lors de la mise à niveau vers Sentinel 8.0, le programme d'installation affiche l'erreur suivante :
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Bogue 1025512)
Correction : Cette erreur a cessé de se produire au cours du processus de mise à niveau.
Problème : L'API /SentinelRESTServices/objects/alert/count renvoie toujours la valeur 0 même lorsqu'il y a plusieurs alertes. (Bogue 1028317)
Correction : L'API /SentinelRESTServices/objects/alert/count retourne maintenant le nombre correct d'alertes.
Problème : Si on consulte tous les détails des événements, les dates et heures sont affichées incorrectement au format UTC (temps universel coordonné). (Bogues 1031523 et 1034531)
Correction : Les champs de détail des événements affichent désormais toutes les dates selon le format adapté dans les paramètres régionaux de votre navigateur.
Problème : Lorsque vous activez le stockage évolutif, les journaux du serveur SSDM affichent plusieurs instances du message suivant :
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400 (Erreur d'initialisation de l'appel de recherche d'assignation Kibana)
Vous pouvez ignorer ces messages en toute sécurité. Ils n'ont aucun impact fonctionnel. (Bogue 1009662)
Correction : Les fichiers journaux du serveur SSDM n'affichent plus ce message.
Problème : SSDM en mode HD (haute disponibilité) ne remplit pas les adresses IP appropriées des noeuds de grappe HD dans les fichiers de configuration du plug-in de sécurité Elasticsearch. Par conséquent, les recherches et les tableaux de bord de visualisation des événements affichent des erreurs. (Bogue 1012251)
Correction : SSDM en mode haute disponibilité remplit désormais correctement les adresses IP appropriées des noeuds de grappe haute disponibilité dans les fichiers de configuration du plug-in de sécurité Elasticsearch.
Problème : Dans une installation RPM d'Elasticsearch, les recherches et les tableaux de bord de visualisation des événements dans SSDM ne fonctionnent pas. (Bogue 1014448)
Correction : les recherches et les tableaux de bord de visualisation d'événements dans SSDM fonctionnent désormais.
Problème : l'instrumentation NetIQ eDirectory ne peut pas se connecter au connecteur d'audit via Platform Agent. Par conséquent, Sentinel ne peut pas recevoir d'événements de la part d'eDirectory. Ce problème se produit car l'instrumentation d'eDirectory utilise l'algorithme de certificat MD5 RSA qui n'est plus utilisé depuis la version Java 8 Update 77 utilisée dans Sentinel 8.1 (Bogue 985312)
Correction : Une nouvelle version du Connecteur d'audit permet à Sentinel de recevoir des événements depuis eDirectory.
Problème : le travail com.novell.sentinel.spark.StreamingEventIndexer ne prend pas en charge IPv6. Si un événement contient une adresse IPv6, le travail échoue. (Bogue 1006975)
Correction : La tâche com.novell.sentinel.spark.StreamingEventIndexer prend désormais en charge IPv6.
Problème : Sentinel Agent Manager 7.3 ignore la valeur spécifiée dans l'attribut RawDataTapFileSize du fichier SMServiceHost.exe.config lors de la configuration de la taille du fichier de données brutes et cesse d'écrire dans ce dernier lorsque la taille du fichier atteint 10 Mo. (Bogue 867954)
Correction : Sentinel Agent Manager 7.3 respecte les valeurs spécifiées dans l'attribut RawDataTapFileSize du fichier SMServiceHost.exe.config et écrit les nouvelles données dans le fichier de données brutes.
Problème : dans les environnements SSDM, si vous créez une visualisation de carte quadrillée avec les options par défaut, un problème lié à Kibana empêche le fonctionnement de la nouvelle visualisation de carte dans le tableau de bord de visualisation des événements. Pour plus d'informations sur ce problème Kibana, consultez le site https://github.com/elastic/kibana/issues/7717. (Bogue 1001909)
Correction : Les visualisations de cartes quadrillées avec les options par défaut fonctionnent désormais correctement dans le tableau de bord de visualisation des événements.
Pour plus d'informations sur la configuration système requise ainsi que les systèmes d'exploitation et les navigateurs pris en charge, reportez-vous à la fiche d'informations techniques relatives à Sentinel.
Pour plus d'informations sur l'installation de Sentinel 8.1, reportez-vous au manuel Guide d'installation et de configuration de NetIQ Sentinel.
Vous pouvez effectuer la mise à niveau vers Sentinel 8.1 à partir de Sentinel 7.4 ou d'une version ultérieure.
Pour plus d'informations sur la mise à niveau vers Sentinel 8.1, reportez-vous au manuel NetIQ Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de NetIQ Sentinel).
NetIQ Corporation s'efforce de garantir que ses produits offrent des solutions de qualité qui répondent aux besoins logiciels de votre entreprise. Les problèmes suivants font actuellement l'objet de recherches visant à établir des solutions. Si vous avez besoin d'aide pour résoudre un problème, contactez le support technique.
La mise à jour de Java 8 incluse dans Sentinel peut avoir des répercussions sur les plug-ins suivants :
Cisco SDEE Connector
Connecteur SAP (XAL)
Remedy Integrator
NetIQ règlera tout problème avec ces plug-ins conformément aux procédures standard de traitement des défauts et dans l'ordre prévu par celles-ci. Pour plus d'informations sur les stratégies de support, reportez-vous aux Stratégies de support.
Section 5.2, Sentinel ne peut pas exécuter de rapports locaux avec une licence EPS standard
Section 5.3, Correlation Engine est déconnecté après une mise à niveau
Section 5.6, Impossible de lancer le tableau de bord de visualisation des événements
Section 5.7, Impossible d'installer Sentinel sur SLES 11 SP4 en mode FIPS
Section 5.9, L'interface principale de Sentinel affiche une page vide après la conversion vers SSDM
Section 5.11, Impossible d'afficher les alertes comportant des données IPv6 dans les vues d'alerte
Section 5.22, Impossible d'afficher simultanément plusieurs résultats de rapport
Section 5.23, Authentification SQL requise par Agent Manager en cas d'activation du mode FIPS 140-2
Section 5.25, Inexactitudes dans les colonnes Durée et Accès de Recherches actives
Problème : L'installation des applicatifs Collector Manager et Correlation Engin échoue dans le mode MFA si la langue du système d'exploitation n'est pas l'anglais. (Bogue 1045967)
Solution : installez les applicatifs Collector Manager et Correlation Engine en anglais. À la fin de l'installation, modifiez la langue si nécessaire.
Problème : si votre environnement dispose de la licence 25 EPS standard et que vous exécutez un rapport, celui-ci échoue et l'erreur suivante s'affiche :
License for Distributed Search feature is expired (la licence correspondant à la fonction de recherche distribué est expirée)
Solution : afin d'exécuter des rapports dans la même machine virtuelle Java que Sentinel, suivez les étapes suivantes :
Connectez-vous au serveur Sentinel et ouvrez le fichier /etc/opt/novell/sentinel/config/server.xml.
Localisez la propriété suivante :
<property name="reporting.process.oktorunstandalone">true</property>
Réglez le paramètre sur false :
<property name="reporting.process.oktorunstandalone">false</property>
Redémarrez Sentinel.
Problème : Des modifications récentes sur la façon dont Sentinel valide des règles entraîne l'échec de connexion du Correlation Engine si votre environnement utilise une règle déployée plus ancienne avec une syntaxe incorrecte. (Bogue 1039598)
Solution : Pour reconnecter Correlation Engine, corrigez la syntaxe de la règle problématique puis redémarrez Sentinel.
Pour trouver la règle et corriger sa syntaxe, suivez les étapes suivantes :
Dans le fichier server.log, recherchez Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine).
Par exemple, lorsque vous recherchez Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine), vous verrez un message journal qui ressemblera à celui-ci :
Mercredi 17 mai 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine)
Faites défiler vers le haut pour voir les précédents messages journaux, où vous trouverez la règle et sa syntaxe. Le message ressemblera à celui-ci :
Mercredi 17 mai 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Cause racine : la durée doit être inférieure à un jour (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
Dans cet exemple, le message journal indique qu'il y a eu un problème car la durée indiquée était supérieure à un jour. La syntaxe de la règle spécifie plus de secondes (86460) qu'il y en a dans un jour (86400).
Connectez-vous à Sentinel.
Ouvrez un nouvel onglet dans votre navigateur.
Dans le nouvel onglet, accédez à l'URL suivante :
https://<VOTRE IP SENTINEL>:8443/SentinelRESTServices/objects/correlation-rule
Pour trouver le nom et l'ID de la règle dans la liste de règles de corrélation, effectuez une recherche pour une expression unique de la syntaxe de la règle, par exemple 86460.
(Conditionnel) Si vous ne trouvez pas le nom et l'ID de la règle dans la liste de règles de corrélation, suivez les étapes suivantes :
Sur une invite de commande, passez en mode utilisateur novell. Utilisez la commande suivante :
su -novell
Placez-vous dans le répertoire /opt/novell/sentinel/bin.
Utilisez la commande SQL suivante :
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%Texteunique%'"
Texteunique est une expression unique de la syntaxe de la règle, par exemple 86460.
(Conditionnel) Si vous n'êtes pas encore passé en mode utilisateur novell, ouvrez une invite de commande et passez en mode utilisateur novell. Utilisez la commande suivante :
su -novell
Placez-vous dans le répertoire /opt/novell/sentinel/bin.
Vérifiez si la règle est dans la base de données. Utilisez la commande SQL suivante :
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=IDdelarègle"
IDdelarègle est l'ID de la règle que vous avez trouvée.
Mettez à jour la règle avec un nouveau filtre qui ne déclenchera plus une erreur pendant la validation. Utilisez la commande SQL suivante :
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=IDdelarègle"
IDdelarègle est l'ID de la règle que vous avez trouvée.
Vérifiez si le filtre a été changé dans la base de données. Utilisez la commande SQL suivante :
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=IDdelarègle"
IDdelarègle est l'ID de la règle que vous avez trouvée.
Arrêtez Sentinel. Utilisez la commande suivante :
./server.sh stop
Redémarrez Sentinel. Utilisez la commande suivante :
./server.sh start
Problème : SSDM en mode haute disponibilité ne remplit pas les adresses IP appropriées des noeuds de grappe haute disponibilité dans les fichiers de configuration du plug-in de sécurité Elasticsearch. Par conséquent, les recherches et les tableaux de bord de visualisation des événements affichent des erreurs.
Solution : Après avoir installé le plug-in de sécurité Elasticsearch, effectuez les opérations suivantes sur chaque noeud de la grappe Elasticsearch :
Connectez-vous au noeud Elasticsearch sous l'identité de l'utilisateur qui a installé Elasticsearch.
Ajoutez des entrées pour l'adresse IP physique de chaque noeud actif et le noeud passif de la grappe haute disponibilité dans le fichier <répertoire_installation_elasticsearch> /plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt comme suit :
<adresse_IP_physique_noeud_grappe> : <Port_HTTP_Elasticsearch_cible>
Ajoutez chaque entrée sur une nouvelle ligne et enregistrez le fichier.
Dans le fichier <répertoire_installation_elasticsearch> /plugins/elasticsearch-security-plugin/plugin-configuration.properties, définissez la propriété authServer.host sur l'adresse IP virtuelle de la grappe haute disponibilité comme suit :
authServer.host= <adresse_IP_virtuelle_grappe>
Redémarrez Elasticsearch.
Problème : lorsque vous convertissez le noeud actif en mode FIPS 140-2 dans Sentinel HA, la synchronisation visant à convertir tous les noeuds passifs en mode FIPS 140-2 ne s'effectue pas totalement. Vous devez lancer manuellement la synchronisation. (Bogue 1014472)
Solution : synchronisez manuellement tous les noeuds passifs vers le mode FIPS 140-2 comme suit :
Connectez-vous au noeud actif en tant qu'utilisateur root.
Ouvrez le fichier /etc/csync2/csync2.cfg.
Remplacez la ligne suivante :
include /etc/opt/novell/sentinel/3rdparty/nss/*;
par
include /etc/opt/novell/sentinel/3rdparty/nss;
Enregistrez le fichier csync2.cfg.
Démarrez la synchronisation manuellement en exécutant la commande suivante :
csync2 -x -v
Problème : Un problème empêche Internet Explorer 11 de pouvoir ouvrir le tableau de bord de visualisation des événements. (Bogue 981308)
Solution : utilisez un autre navigateur pour afficher ou modifier le tableau de bord de visualisation.
Problème : si vous tentez d'installer Sentinel sur un ordinateur qui exécute le système d'exploitation SLES 11 SP4 en mode FIPS, la procédure d'installation échoue. (Bogue 990201)
Solution : vérifiez que le système d'exploitation n'est pas en mode FIPS, puis procédez comme suit :
Installez Sentinel. Pour plus d'informations, reportez-vous à la section Installation de Sentinel
du Guide d'installation et de configuration de NeIQ Sentinel.
Activez le serveur Sentinel pour qu'il s'exécute en mode FIPS. Pour plus d'informations, reportez-vous à la section Activation du serveur Sentinel pour une exécution en mode FIPS 140-2
du Guide d'installation et de configuration de NetIQ Sentinel.
Utilisez la commande suivante pour permettre l'activation du système d'exploitation pour qu'il s'exécute en mode FIPS :
fips=1 /boot/grub/menu.lst
Problème : un changement de système de stockage de mot de passe dans Sentinel 7.4 SP1 provoque l'affichage de l'erreur suivante lors de la mise à niveau de l'applicatif à partir de versions antérieures à la version 7.4 SP1 :
Failed to set encrypted password
(Bogue 967764)
Solution : cet avertissement est normal et vous pouvez l'ignorer en toute sécurité. Cela n'a aucune incidence sur la mise à niveau.
Problème : lorsque vous activez SSDM, lorsque vous vous connectez à l'interface principale de Sentinel, le navigateur affiche une page vide. (Bogue 1006677)
Solution : fermez votre navigateur, puis reconnectez-vous à l'interface principale de Sentinel. Ce problème ne se produit qu'une seule fois, la première fois que vous vous connectez à l'interface principale de Sentinel après avoir activé SSDM.
Problème : lorsque vous mettez à niveau Sentinel de la version 7.3 à la version 7.3 SP1 et démarrez le serveur Sentinel, vous risquez de trouver les exceptions suivantes dans le journal du serveur :
Invalid length of data object ......
(Bogue 933640)
Solution : ignorez l'exception. Cette exception n'affecte en rien les performances de Sentinel.
Problème : les vues et tableaux de bord d'alertes de Sentinel n'affichent pas les alertes qui contiennent des adresses IPv6 dans les champs Adresses IP. (Bogue 924874)
Solution : pour afficher les alertes contenant des adresses IPv6 dans Sentinel, effectuez la procédure expliquée dans l'article 7016555 de la base de connaissance NetIQ.
Problème : dans les installations mises à niveau de Sentinel, si vous effectuez une recherche d'attributs d'alertes dans le tableau Conseils de l'interface principale de Sentinel, la recherche ne renvoie pas la liste complète des champs d'alerte. Cependant, les champs d'alerte s'affichent correctement dans le tableau Conseils si vous effacez la recherche. (Bogue 914755)
Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.
Problème :
la synchronisation des données échoue lorsque vous essayez de synchroniser les champs d'adresse IPv6 dans un format lisible par un humain pour des bases de données externes. Pour plus d'informations sur la configuration de Sentinel afin de pouvoir remplir les champs d'adresse IP dans un format de notation par points lisible, reportez-vous à la section Creating a Data·Synchronization·Policy
·(Création·d'une·stratégie·de·synchronisation·des·données)·du·NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel). (Bogue 913014)
Solution : pour résoudre ce problème, définissez manuellement la taille maximale des champs d'adresse IP sur au moins 46 caractères dans la base de données cible et resynchronisez-la.
Problème : si vous exécutez une recherche d'événements lorsque le filtre de sécurité de votre rôle est vide et que votre rôle ne dispose d'aucune autorisation d'affichage d'événements, la recherche ne s'effectue pas. Aucun message d'erreur ne vous indique que les autorisations d'affichage d'événements ne sont pas valables. (Bogue 908666)
Solution : mettez le rôle à jour en utilisant une des options suivantes :
Spécifiez un critère dans le champ
. Si les utilisateurs dans ce rôle ne doivent voir aucun événement, vous pouvez entrer .Sélectionnez
.Sélectionnez
.Problème : lors de l'édition d'une recherche enregistrée mise à niveau de Sentinel 7.2 vers une version ultérieure, le panneau (Bogue 900293)
, utilisé pour définir des champs de sortie dans le rapport de recherche CSV, n'apparaît pas dans la page de planification.Solution : après avoir mis à niveau Sentinel, recréez et replanifiez la recherche pour afficher le panneau
dans la page de planification.Problème : Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez tous les événements corrélés qui ont été générés après le déploiement ou l'activation de la règle, en cliquant sur l'icône à côté de (Bogue 912820)
du panneau de la page Résumé de corrélation concernant la règle.Solution : remplacez la valeur du champ
sur la page Recherche d'événements par une heure moins avancée que celle figurant déjà dans le champ et cliquez à nouveau sur .Problème : lors de la regénération de la ligne de base Security Intelligence, les dates de début et de fin de cette ligne sont erronées et affichent le 01/01/1970. (Bogue 912009)
Solution : les bonnes dates sont mises à jour une fois la regénération de la ligne de base terminée.
Problème : le serveur Sentinel s'arrête lorsque vous lancez une recherche si de nombreux événements sont indexés dans une seule partition. (Bogue 913599)
Solution : créez des stratégies de conservation de manière à ce qu'il y ait au moins deux partitions ouvertes par jour. Si vous disposez de plus d'une partition ouverte, cela vous permet de réduire le nombre d'événements indexés dans les partitions.
Vous pouvez également créer des stratégies de conservation qui filtrent les événements en fonction du champ estzhour, qui assure le suivi de l'heure. Par conséquent, il vous est possible de mettre en place une stratégie de conservation qui utilise estzhour:[0 TO 11] en tant que filtre et une autre stratégie de conservation qui utilise estzhour:[12 TO 23] comme filtre.
Pour plus d'informations, reportez-vous à la section Configuring Data Retention Policies
(Configuration des stratégies de conservation des données) du NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel).
Problème : Sentinel affiche une erreur lorsque vous utilisez le script report_dev_setup.sh afin de configurer les ports Sentinel pour les exceptions de pare-feu. (Bogue 914874)
Solution : configurez les ports Sentinel pour les exceptions de pare-feu en procédant comme suit :
Ouvrez le fichier/etc/sysconfig/SuSEfirewall2.
Remplacez la ligne suivante :
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
par
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Redémarrez Sentinel.
Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les instances Collector Manager distantes envoient des événements. (Bogue 906715)
Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.
Problème : lors de l'exportation des résultats de la recherche dans Sentinel, le navigateur Web risque d'afficher une erreur si vous modifiez les paramètres de langue du système d'exploitation. (Bogue 834874)
Solution : pour exporter correctement les résultats de la recherche, procédez de l'une des manières suivantes :
Pendant l'exportation des résultats de la recherche, supprimez tous les caractères spéciaux (hors caractères ASCII) du nom du fichier d'exportation.
Activez le codage UTF-8 dans les paramètres de langue du système d'exploitation, redémarrez la machine, puis redémarrez le serveur Sentinel.
Problème : lorsque vous attendez l'ouverture d'un fichier PDF contenant les résultats d'un rapport, en particulier ceux comptant 1 million d'événements, si vous cliquez sur un autre fichier PDF à afficher, les résultats de rapport ne s'affichent pas. (Bogue 804683)
Solution : cliquez de nouveau sur le second fichier PDF pour afficher les résultats de rapport.
Problème : lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (Bogue 814452)
Solution : utilisez l'authentification SQL pour Agent Manager lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel.
Problème : l'installation de Sentinel en haute disponibilité (HA) en mode non FIPS 140-2 s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bogue 810764)
Solution : ce message d'erreur est normal et vous pouvez l'ignorer en toute sécurité. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non-FIPS 140-2.
Problème : L'interface principale de Sentinel affiche des nombres négatifs dans les colonnes Durée et Accès de Recherches actives lorsque l'horloge de l'ordinateur de l'interface principale de Sentinel est en retard par rapport à celle du serveur Sentinel. Par exemple, les colonnes Durée et Accès affichent des nombres négatifs si l'horloge de l'interface principale de Sentinel est définie sur 13:30 et que celle du serveur Sentinel indique 14:30. (Bogue 719875)
Solution : Veillez à ce que l'heure de l'ordinateur que vous utilisez pour accéder à l'interface principale de Sentinel soit la même ou qu'elle soit en retard par rapport à celle du serveur Sentinel.
Problème : lorsque vous vous connectez au tableau de bord de sécurité et effectuez une recherche sur l'événement d'audit IssueSAMLToken, l'événement d'audit IssueSAMLToken affiche un nom d'hôte (InitiatorUserName) ou une SourceIP (adresse IP) incorrects. (Bogue 870609)
Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.
Notre objectif est de vous proposer une documentation qui réponde à vos besoins. Si vous avez des conseils pour l'améliorer, n'hésitez pas à nous envoyer un e-mail à l'adresse suivante : Documentation-Feedback@netiq.com. Nous accordons une grande importance à vos commentaires et sommes impatients de connaître vos impressions.
Pour obtenir toutes nos coordonnées, rendez-vous sur le site Web reprenant les informations de contact du support.
Pour obtenir des informations générales sur les produits et l'entreprise, rendez-vous sur le site Web de NetIQ Corporation.
Pour mener des conversations interactives avec vos pairs et experts NetIQ, devenez un membre actif de notre communauté. La communauté en ligne NetIQ fournit des informations sur les produits, des liens vers des ressources utiles, des blogs et des canaux de réseaux sociaux.
Pour plus d'informations sur les mentions légales, les marques commerciales, les exclusions, les garanties, les limitations en matière d'exportation et d'utilisation, les droits restreints du gouvernement américain, la politique relative aux brevets et la compatibilité avec la norme FIPS de NetIQ, consultez le site http://www.netiq.com/fr-fr/company/legal/.
Copyright © 2017 NetIQ Corporation. Tous droits réservés.