Sentinel 8.2 offre de nouvelles fonctions et une plus grande convivialité, et résout divers problèmes des versions précédentes.
La plupart de ces améliorations ont été apportées en réponse directe aux suggestions de nos clients. Nous vous remercions du temps que vous avez pris pour nous écrire. Nous espérons que vous continuerez à nous aider pour que nos produits répondent à tous vos besoins. Vous pouvez publier vos commentaires sur le forum Sentinel, notre communauté en ligne qui reprend aussi des informations sur le produit, des blogues et des liens vers des ressources utiles. Vous pouvez également partager vos idées pour améliorer le produit dans le Portail des idées.
La documentation de ce produit est disponible aux formats HTML et PDF sur une page qui ne nécessite pas de connexion. Si vous avez des suggestions pour améliorer la documentation, cliquez sur l'icône de commentaire sur l'une des pages de la version HTML de la documentation publiée sur la page de documentation de Sentinel. Pour télécharger ce produit, rendez-vous sur le site Web de téléchargement de produits.
Les sections suivantes décrivent les principales caractéristiques et fonctions de cette version, ainsi que les problèmes résolus dans cette édition :
Section 1.1, Collecte de données à l'aide d'ArcSight SmartConnector
Section 1.3, Visualisation des événements dans le stockage traditionnel
Section 1.6, Recherche d'événements et d'alertes à partir de My Sentinel
Section 1.10, Résolution des noms d'hôtes et des adresses IP dans les événements
Section 1.12, Authentification LDAP pour plusieurs domaines ou serveurs LDAP
Section 1.15, Colonne TargetDataHash dans le champ d'événement
Section 1.17, Améliorations de l'authentification des appels API REST
Section 1.18, Mises à jour vers les plates-formes certifiées
Section 1.19, Mise à niveau de JRE (Java Runtime Environment)
Section 1.20, Obsolescence du protocole de communication TLS1.0
Sentinel tire parti d'ArcSight SmartConnector pour collecter des événements à partir de différents types de sources d'événements qui ne sont pas directement prises en charge par Sentinel tels qu'Office 365. SmartConnector collecte les événements provenant de périphériques pris en charge, normalise ceux-ci au format CEF (Common Event Format) et les transmet à Sentinel via le connecteur Syslog. Le connecteur transmet ensuite les événements à Universal Common Event Format Collector pour analyse.
Pour plus d'informations sur la configuration de Sentinel avec SmartConnector, consultez la documentation relative à Universal Common Event Format Collector sur le site Web des plug-ins Sentinel.
Sentinel vous permet de collecter les données de flux IP (IPFIX, JFlow, sFlow et ainsi de suite) en plus des données NetFlow en tirant parti d'ArcSight SmartConnector. Les données de flux IP fournissent des informations de base sur toutes les connexions réseau entre les hôtes, y compris le nombre de paquets et d'octets transmis. Le gestionnaire vous permet de visualiser le comportement des différents hôtes ou de l'ensemble du réseau. Vous pouvez utiliser les données de flux IP lors de l'analyse et de la visualisation d'événements. Les données de flux IP sont collectées en tant qu'événements et sont par conséquent prises en considération pour le nombre d'événements par seconde.
Pour configurer la collecte des données de flux IP, installez et configurez ArcSight SmartConnector. Lors de la configuration, veillez à configurer les instances SmartConnector pertinentes qui collectent les données de flux IP. Pour plus d'informations, consultez la documentation relative à Universal Common Event Format Collector sur le site Web des plug-ins Sentinel.
Dans les installations de mise à niveau de Sentinel, vous pouvez continuer à utiliser les fonctions de NetFlow ou choisir de configurer la collecte des données de flux IP. Pour plus d'informations, reportez-vous à la section Configuring IP Flow Data Collection
(Configuration de la collecte de données de flux IP) du Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de Sentinel).
Sentinel avec le stockage traditionnel comprend désormais la possibilité de visualiser les événements via des tableaux de bord de visualisation des événements, tels que les tableaux de bord Recherche de menaces et Activité de l'utilisateur. Ces tableaux de bord fournissent une interface personnalisable qui vous aide à rechercher, à afficher et à analyser les événements en détail. Ces visualisations vous aident ainsi à accéder aux menaces potentielles beaucoup plus rapidement. Outre les tableaux de bord prêts à l'emploi, vous pouvez créer vos propres tableaux de bord, le cas échéant.
Ces tableaux de bord sont désactivés par défaut. Pour activer ces tableaux de bord, vous devez activer la visualisation des événements dans Sentinel. Les tableaux de bord affichent uniquement les événements traités une fois que vous avez activé la visualisation des événements. Pour afficher les événements existants figurant dans le stockage traditionnel, Sentinel vous offre la possibilité de migrer des événements à partir du stockage basé sur les fichiers vers Elasticsearch. Pour plus d'informations, reportez-vous à la section Configuring the Visualization Data
(Configuration des données de visualisation) du Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de Sentinel).
Cette version offre les nouveaux tableaux de bord suivants :
Tableau de bord Recherche de menaces : Ce tableau de bord vous permet d'analyser les menaces potentielles ou toute activité anormale dans votre environnement, notamment les signes de compromis, d'intrusion ou d'exfiltration des données. Par exemple, vous pouvez visualiser les informations relatives à l'adresse IP source/de destination la plus ciblée, la réputation d'hôte source et les menaces, la détection d'exploits, les violations de stratégies, les attaques des ordinateurs vulnérables et ainsi de suite.
Tableau de bord Activité de l'utilisateur : Ce tableau de bord fournit un aperçu global des activités de l'utilisateur dans le système. Par exemple, vous pouvez visualiser des informations à propos des opérations privilégiées, la surveillance des accès fichiers, les activités du week-end et des jours de la semaine, les événements avec un nombre de répétitions plus élevé et ainsi de suite.
Tableau de bord en temps réel Flux IP : Ce tableau de bord fournit une présentation en temps réel et de haut niveau des données de flux IP dans votre environnement.
Tableau de bord Présentation du flux IP : Ce tableau de bord vous permet d'effectuer une analyse détaillée de votre trafic réseau à un niveau plus granulaire. Le tableau de bord vous permet d'analyser les détails tels que les communications entre les ordinateurs source et cible, les principaux hôtes et les principaux ports qui envoient des données à une adresse IP spécifique et l'emplacement géographique des adresses IP source et cible.
Pour une expérience utilisateur optimale, le tableau de bord Alertes a été désormais déplacé de Sentinel Main vers My Sentinel. Pour accéder au tableau de bord Alertes, lancez My Sentinel et cliquez sur le tableau de bord Alertes à partir de la liste des tableaux de bord disponibles. Pour plus d'informations sur les tableaux de bord d'alertes, reportez-vous à la section Analyzing Alert Dashboards
(Analyse des tableaux de bord d'alertes) du Sentinel User Guide (Guide de l'utilisateur de Sentinel).
Vous pouvez maintenant rechercher des événements et des alertes indexées dans Elasticsearch à partir de l'interface utilisateur My Sentinel. Cette vue de recherche vous aide à analyser la comparaison en pourcentage des différentes entités de champ d'événements, tendances d'événement et ainsi de suite. Cette option de recherche offre une plate-forme commune pour rechercher des événements et des alertes dans la même interface utilisateur, simplement en changeant l'index de recherche. Pour plus d'informations sur les recherches d'événements et d'alertes dans My Sentinel, reportez-vous à la section Searching Events
(Recherche d'événements) et Searching Alerts
(Recherche d'alertes) du Sentinel User Guide (Guide de l'utilisateur de Sentinel).
En fonction des alertes existantes réaffectées en tant qu'incident, Sentinel analyse désormais la probabilité qu'une alerte actuelle soit réaffectée à un incident et affiche la valeur Probabilité d'incident dans l'interface utilisateur Alerts View (Vue d'alertes). Cette valeur vous permet d'analyser la probabilité de réaffectation d'une alerte à un incident beaucoup plus rapidement. Pour plus d'informations, reportez-vous à la section Viewing and Triaging Alerts
(Affichage et tri des alertes) du Sentinel User Guide (Guide de l'utilisateur de Sentinel).
Les nouvelles installations de l'applicatif Sentinel incluent le système d'exploitation de SLES 12 SP3 et sont basées sur la structure du Gestionnaire de l'applicatif Sentinel. Le gestionnaire de l'applicatif Sentinel fournit une interface utilisateur Web simple qui permet de configurer et de gérer l'applicatif. Il remplace la fonctionnalité WebYast existante.
Sentinel inclut des outils open-vm-tools prêts à l'emploi dans SLES 12 SP3, qui améliorent les performances des machines virtuelles et permettent une meilleure gestion des invités sur le serveur hôte. Pour plus d'informations sur les outils open-vm-tools, reportez-vous à la documentation relative aux outils open-vm-tools.
Dans les installations de mise à niveau de Sentinel, vous pouvez choisir de mettre à niveau Sentinel sans mettre à niveau le système d'exploitation SLES ou de mettre à niveau à la fois Sentinel et le système d'exploitation SLES. Étant donné que l'applicatif Sentinel 8.2 inclut désormais SLES 12 SP.3, le canal de mises à jour de SLES 11 est désormais obsolète et sera supprimé lorsque SUSE mettra fin à la prise en charge générale de SLES 11. Par conséquent, il est recommandé de mettre à niveau le système d'exploitation à la version SLES 12 SP3 pour continuer à recevoir les mises à jour du système d'exploitation et tirer également parti des outils open-vm-tools.
Pour plus d'informations concernant l'installation ou la mise à niveau de l'applicatif, reportez-vous au Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de Sentinel).
Sentinel inclut désormais Connector for HTTP Server qui permet à un système Sentinel de recevoir des événements à partir d'autres logiciels NetIQ, tels que Change Guardian et Secure Configuration Manager. En plus des événements, le connecteur reçoit également des pièces jointes d'événements tels que les informations delta pour un événement de modification de fichier Change Guardian. Vous pouvez maintenant distribuer des ressources Change Guardian sur plusieurs Sentinel Collector Managers et serveurs de source d'événements pour mettre à l'échelle la collecte des données. Pour plus d'informations, reportez-vous à la documentation du connecteur.
Vous pouvez désormais configurer les serveurs Sentinel et les gestionnaires des collecteurs pour résoudre le nom d'hôte sur l'adresse IP ou l'adresse IP sur le nom d'hôte pour tous les événements entrants. Cette fonction remplace le collecteur de service de résolution de nom d'hôte générique, qui avait un impact négatif sur les taux d'événements (bogue 906715). Le collecteur de service de résolution de nom d'hôte générique est obsolète et ne sera plus pris en charge dans Sentinel 8.2 et versions ultérieures. Pour plus d'informations, reportez-vous à la section Resolving Hostnames and IP Addresses
(Résolution des noms d'hôtes et des adresses IP) du Sentinel Administration Guide (Guide d'administration de Sentinel).
Sentinel vous permet désormais d'afficher une bannière de consentement avant la connexion. Vous pouvez spécifier le contenu de la bannière, selon vos besoins. Pour plus d'informations sur l'ajout d'une bannière de consentement, reportez-vous à la section Adding a Consent Banner
(Ajout d'une bannière de consentement) du Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de Sentinel).
Après avoir ajouté la bannière de consentement, vous devez accepter les termes de la bannière de consentement chaque fois que vous vous connectez à Sentinel.
Sentinel prend désormais en charge l'authentification LDAP pour plusieurs domaines ou serveurs LDAP, pour des utilisateurs particuliers. Pour plus d'informations concernant l'authentification LDAP pour plusieurs serveurs et domaines LDAP, reportez-vous à la section LDAP Authentication Against Multiple LDAP Servers Or Domains
(Authentification LDAP pour plusieurs domaines ou serveurs LDAP) du Sentinel Administration Guide (Guide d'administration de Sentinel).
Les nouvelles installations de Sentinel 8.2 incluent des versions nouvelles et mises à jour de plug-ins Sentinel. Ces versions incluent les derniers correctifs logiciels, les mises à jour de la documentation et les améliorations du plug-in. Pour plus d'informations, reportez-vous à la documentation spécifique aux plug-ins sur le site Web des plug-ins Sentinel.
Les mises à niveau de Sentinel incluent de nouveaux plug-ins, tels que Universal Common Event Format Collector 2011.1r1 et HTTP Server Connector 2018 1.r1. Elles mettent également à jour automatiquement et uniquement les plug-ins suivants vers la dernière version :
Syslog Connector 2018.1r2: Le connecteur peut désormais recevoir des événements au format CEF.
Sentinel Link Collector 2011.1r3 : Le collecteur prend désormais en charge la méthode de connexion HTTPSERVER qui permet l'analyse des événements à partir de Change Guardian et de Secure Configuration Manager via le connecteur de serveur HTTP.
Outre ces améliorations, ces plug-ins mis à jour comprennent également plusieurs correctifs logiciels.
Pour mettre à niveau les autres plug-ins vers la version la plus récente, téléchargez le plug-in souhaité à partir du site Web des plug-ins Sentinel. Pour plus d'informations, reportez-vous à la documentation spécifique au plug-in.
Cette version résout une vulnérabilité potentielle de divulgation d'informations (CVE-2018-7675). (Bogue 1080555)
Les champs d'événement Sentinel incluent désormais la colonne TargetDataHash qui affiche la valeur de hachage de l'objet de données. Par conséquent, les valeurs de hachage ne sont plus renseignées dans le champ Message et peuvent désormais faire l'objet de recherches. (Bogue 1069674)
Dans Sentinel Main > Stockage > Santé, les graphiques en secteurs affichent désormais l'utilisation du disque pour le stockage sur disque global et pas seulement le stockage alloué à Sentinel.
Les administrateurs peuvent maintenant modifier leur mot de passe via l'API REST, uniquement après avoir fourni leur mot de passe actuel.
Il existe plusieurs mises à jour vers des plates-formes certifiées pour l'utilisation de Sentinel. Pour plus d'informations sur les plates-formes certifiées, reportez-vous à la page Web Technical Information for Sentinel (Informations techniques pour Sentinel).
SUSE Linux Enterprise Server 12 SP3 64 bits (installation traditionnelle et de l'applicatif)
Red Hat Enterprise Linux Server 7.5 64 bits (installation traditionnelle)
Red Hat Enterprise Linux Server 7.4 64 bits (installation traditionnelle)
Red Hat Enterprise Linux Server 6.9 64 bits (installation traditionnelle)
Elasticsearch 5.6.3
Microsoft SQL Server 2017
Security Agent pour UNIX 7.5.1
Sentinel comprend Java 8 Update 162 qui inclut des correctifs pour plusieurs vulnérabilités de sécurité.
Étant donné que Sentinel prend en charge TLS 1.2 et TLS 1.1, TLS 1.0 est obsolète et sera supprimé à l'avenir. Si certains des clients externes communiquent (en entrée ou en sortie) avec le serveur Sentinel, tels que les API REST ou les bases de données externes pour la synchronisation des données, assurez-vous qu'ils utilisent au moins TLS 1.1 pour les communications.
Sentinel 8.2 inclut des correctifs logiciels qui apportent des solutions à plusieurs problèmes.
Erreur d'autorisation refusée affichée pendant l'installation ou la mise à niveau de Sentinel
Le nombre de champs d'événements est égal à zéro dans le panneau permettant d'affiner la recherche
Les résultats de recherche ne sont pas triés avec une précision de l'ordre de la milliseconde
Affichage de l'erreur d'autorisation insuffisante dans la page Détails de l'alerte
Impossible d'afficher les alertes comportant des données IPv6 dans les vues d'alerte
Impossible de fermer plusieurs alertes ou d'y ajouter des commentaires
Problème : Lorsqu'il y a un nombre élevé de fichiers de données brutes dans un stockage réseau et si la tâche de surveillance de conservation des données brutes est lancée en cas de charge importante sur le système, un dump de mémoire est effectué et Sentinel finit par s'arrêter. (Bogue 1067897)
Correction : Sentinel a maintenant optimisé les méthodes permettant d'obtenir la liste des fichiers de données brutes de telle sorte que seuls les fichiers qui doivent impérativement expirer sont mis en tampon dans la mémoire, au lieu de mettre en mémoire tampon l'ensemble des fichiers et répertoires, ce qui permet d'éviter le problème de dump de mémoire.
Problème : Dans Sentinel Control Center > Gestionnaire d'opérations, quelques instances d'opérations prêtes à l'emploi telles que Consigner dans Syslog et Envoyer une trappe SNMP sont incorrectement associées à l'instance Intégrateur de fichier. (Bogue 976191)
Correction : L'opération Consigner dans Syslog est désormais associée à l'instance Intégrateur Syslog et l'opération Envoyer une trappe SNMP est désormais associée à l'instance d'intégrateur snmp.
Vous pouvez maintenant spécifier le nom de la base de données ou le service lors de la création de stratégies de synchronisation des données pour la base de données Oracle. (Bogue 1057613)
Problème : Sentinel affiche l'erreur suivante pendant l'installation ou la mise à niveau :
/tmp/install-sentinel.5133.vDt4E1AOea/rpmpp.py: autorisation refusée
Toutefois, l'installation et la mise à niveau de Sentinel se déroulent correctement. (Bogue 1025472)
Correction : Vous ne verrez plus le message d'erreur d'autorisation refusée.
Problème : Lorsque vous essayez d'affiner les critères de recherche pendant qu'une recherche est en cours, le nombre de champs d'événement dans le panneau Refine (Affiner) est égal à zéro. (Bogue 1062588)
Correction : Le panneau Refine (Affiner) est désactivé jusqu'à ce que la recherche soit terminée.
Sentinel ne demande pas de mot de passe, sauf si vous avez modifié le mot de passe Keystore par défaut. (Bogue 1036860)
Problème : Lorsque vous tentez de convertir Sentinel au mode FIPS, la conversion échoue si vous utilisez les services NSS (Network Security Services) de Mozilla 3.29. La conversion échoue parce que deux fichiers RPM dépendants libfreebl3-hmac et libsoftokn3-hmac ne sont pas disponibles. Sentinel continue de vous inviter à entrer le mot de passe Keystore. (Bogue 1033224)
Correction : Le programme d'installation de Sentinel vérifie les fichiers RPM dépendants et vous invite à les installer.
Les résultats de recherche pour les événements sont triés avec une précision de l'ordre de la milliseconde. (Bogue 1060000)
Sentinel effectue de nouvelles tentatives de connexion pendant 12 heures. Si la base de données externe n'est toujours pas accessible, resynchronisez les stratégies de synchronisation des données manuellement. (Bogue 1037631)
Problème : Lorsque vous accédez à la page Détails de l'alerte à partir de Sentinel Main > Vues en temps réel > Vues d'alerte, le message d'erreur suivant s'affiche : Autorisation insuffisante pour l'utilisateur '<nom_utilisateur>', même si vous avez l'autorisation Autoriser les utilisateurs à gérer les alertes. (Bogue 1090898)
Correction : La page Détails de l'alerte se charge sans erreur.
Les vues et tableaux de bord d'alertes Sentinel affichent désormais les alertes qui contiennent des adresses IPv6 dans les champs Adresse IP. (Bogue 924874)
Problème : Lorsque vous sélectionnez plusieurs alertes, les boutons Fermer et Commentaire sont désactivés. (Bogue 1093233)
Correction : Vous pouvez maintenant fermer ou ajouter des commentaires dans plusieurs alertes à la fois.
Pour plus d'informations sur la configuration système requise ainsi que les systèmes d'exploitation et les navigateurs pris en charge, reportez-vous à la fiche d'informations techniques relatives à Sentinel.
Pour plus d'informations sur l'installation de Sentinel 8.2, reportez-vous au manuel Guide d'installation et de configuration de Sentinel.
REMARQUE :il existe quelques problèmes d'utilisation au cours de l'installation de l'applicatif. Pour plus d'informations, reportez-vous à la Section 5.7, Problèmes d'utilisation dans les écrans d'installation de l'applicatif.
Vous pouvez effectuer la mise à niveau vers Sentinel 8.2 à partir de Sentinel 8.0.0.1 ou d'une version ultérieure.
REMARQUE :Sentinel tire parti de Kibana pour visualiser et rechercher des événements dans les tableaux de bord. Sentinel 8.2 est fourni avec une mise à jour de Kibana. Par conséquent, si vous avez des tableaux de bord personnalisés, vous devez les recréer après avoir mis à niveau Sentinel.
Certains des tableaux de bord Sentinel qui tirent parti de Kibana ne se chargent pas après la mise à niveau vers Sentinel 8.2. Ce problème se produit parce que les versions d'Elasticsearch et de Kibana ont été mises à niveau dans Sentinel 8.2 et le fichier d'index Kibana existant n'est pas compatible avec les versions actualisées d'Elasticsearch et de Kibana. Pour résoudre ce problème, vous devez supprimer manuellement le fichier d'index Kibana existant et recréer un nouveau fichier d'index Kibana. Pour plus d'informations, reportez-vous à l'article de la base de connaissances 7022736.
Pour plus d'informations sur la mise à niveau vers Sentinel 8.2, reportez-vous au manuel Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de NetIQ Sentinel).
Micro Focus s'efforce de garantir que ses produits offrent des solutions de qualité qui répondent aux besoins logiciels de votre entreprise. Les problèmes connus suivants font actuellement l'objet de recherches visant à trouver des solutions. Si vous avez besoin d'aide pour résoudre un problème, contactez le support technique.
La mise à jour de Java 8 incluse dans Sentinel peut avoir des répercussions sur les plug-ins suivants :
Cisco SDEE Connector
Connecteur SAP (XAL)
Remedy Integrator
Nous réglerons tout problème avec ces plug-ins conformément aux procédures standard de traitement des défauts et dans l'ordre prévu par celles-ci. Pour plus d'informations sur les stratégies de support, reportez-vous aux Stratégies de support.
Section 5.1, L'applicatif Sentinel 8.2 dans Hyper-V Server 2016 ne démarre pas quand vous redémarrez
Section 5.2, Informations incorrectes sur jquery dans les rapports d'analyse de vulnérabilité
Section 5.3, Erreur lors de la mise à niveau vers l'applicatif Sentinel 8.2 HA
Section 5.5, Impossible de lancer le tableau de bord de visualisation des événements
Section 5.7, Problèmes d'utilisation dans les écrans d'installation de l'applicatif
Section 5.12, Authentification SQL requise par Agent Manager en cas d'activation du mode FIPS 140-2
Section 5.14, Internet Explorer 11 ne charge pas les tableaux de bord comme prévu
Section 5.16, La commande keytool affiche un message d'avertissement
Section 5.17, Sentinel ne traite pas les flux de renseignements sur les menaces en mode FIPS
Section 5.18, La déconnexion de Sentinel Main ne déconnecte pas des tableaux de bord et inversement
Problème : Dans Hyper-V Server 2016, l'applicatif Sentinel ne démarre pas lorsque vous le redémarrez et il affiche le message suivant :
A start job is running for dev-disk-by\..
Ce problème se produit parce que le système d'exploitation modifie l'UUID du disque lors de l'installation. Par conséquent, lors du redémarrage, il ne trouve pas le disque.
(Bogue 1097792)
Solution : Modifiez manuellement le disque UUID. Pour plus d'informations, reportez-vous à l'article 7023143 de la base de connaissances .
Problème : Les analyses de vulnérabilité signalent des problèmes, tels que le message suivant, avec une version vulnérable de jquery :
Le fichier « jquery-1.11.3.min.js » comprend une version vulnérable de la bibliothèque « jquery ».
La vulnérabilité indiquée affecte uniquement les versions 1.8.0 à 1.12.0, mais l'URL signalée redirige vers une version bien plus récente de jquery (3.x). (Bogue 1094393)
Solution : Ignorez le problème car il s'agit d'un faux positif.
Problème : Lorsque vous effectuez une mise à niveau vers l'applicatif Sentinel 8.2 HA, Sentinel affiche l'erreur suivante :
Installation of novell-SentinelSI-db-8.2.0.0-<version> failed:
with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Command exited with status 1.
Abort, retry, ignore? [a/r/i] (a):
(Bogue 1099679)
Solution : Avant de répondre à l'invite ci-dessus, procédez comme suit :
Démarrez une autre session à l'aide de PuTTY ou de logiciels similaires sur l'hôte sur lequel vous effectuez la mise à niveau.
Ajoutez l'entrée suivante dans le fichier /etc/csync2/csync2.cfg :
/etc/opt/novell/sentinel/config/configuration.properties
Supprimez le dossier sentinel de /var/opt/novell :
rm -rf /var/opt/novell/sentinel
Revenez à la session à partir de laquelle vous avez démarré la mise à niveau et entrez r pour la poursuivre.
Problème : L'installation des applicatifs Collector Manager et Correlation Engin échoue dans le mode MFA si la langue du système d'exploitation n'est pas l'anglais. (Bogue 1045967)
Solution : installez les applicatifs Collector Manager et Correlation Engine en anglais. À la fin de l'installation, modifiez la langue si nécessaire.
Problème : Un problème empêche Internet Explorer 11 de pouvoir ouvrir le tableau de bord de visualisation des événements. (Bogue 981308)
Solution : Utilisez un autre navigateur pour afficher ou modifier le tableau de bord de visualisation.
Problème : un changement de système de stockage de mot de passe dans Sentinel 7.4 SP1 provoque l'affichage de l'erreur suivante lors de la mise à niveau de l'applicatif à partir de versions antérieures à la version 7.4 SP1 :
Failed to set encrypted password
(Bogue 967764)
Solution : cet avertissement est normal et vous pouvez l'ignorer en toute sécurité. Cela n'a aucune incidence sur la mise à niveau.
Problème : Dans certains cas, les boutons Suivant et Précédent ne s'affichent pas ou sont désactivés dans les écrans d'installation de l'applicatif, par exemple :
Lorsque vous cliquez sur Précédent dans l'écran de vérification préalable de Sentinel pour modifier ou passer en revue les informations contenues dans l'écran des paramètres réseau de l'applicatif de serveur Sentinel, aucun bouton Suivant n'est disponible pour poursuivre l'installation. Le bouton Configurer permet uniquement de modifier les informations spécifiées.
Si vous avez spécifié des paramètres réseau incorrects, l'écran de vérification préalable de Sentinel indique que vous ne pouvez pas poursuivre l'installation, car les informations réseau sont incorrectes. Aucun bouton Précédent n'est disponible pour revenir à l'écran précédent afin de modifier les paramètres réseau.
(Bogue 1089063)
Solution : Redémarrez l'installation de l'applicatif.
Problème : Au démarrage, Sentinel affiche le message suivant dans le fichier server.log :
Value for attribute rv43 is too long (La valeur de l'attribut rv43 est trop longue)
(Bogue 1092937)
Solution : ignorez l'exception. Même si le message s'affiche, Sentinel fonctionne normalement.
Problème : Lorsqu'il existe de nombreux événements dont la période de conservation a expiré et que SSDM tente de les supprimer d'Elasticsearch, l'exception suivante s'affiche dans le fichier server.log :
java.net.SocketTimeoutException: Read timed out
(Bogue 1088511)
Solution : ignorez l'exception. Cette exception survient en raison du temps nécessaire pour supprimer la grande quantité de données. Même si l'exception s'affiche, SSDM supprime correctement les événements d'Elasticsearch.
Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les instances Collector Manager distantes envoient des événements. (Bogue 906715)
Solution :
Désinstallez le collecteur et configurez le serveur Sentinel et le gestionnaire Collector Manager pour résoudre le nom d'hôte par rapport à l'adresse IP, ou vice versa. Pour plus d'informations, reportez-vous à la section Resolving Hostnames and IP Addresses
(Résolution des noms d'hôtes et des adresses IP) du Sentinel Administration Guide (Guide d'administration de Sentinel).
Problème : Si vous installez et activez manuellement la synchronisation horaire dans open-vm-tools, ils synchronisent régulièrement l'heure entre l'applicatif Sentinel (invité) et le serveur VMware ESX (hôte). Ces synchronisations horaires peuvent avoir pour conséquence que l'horloge de l'invité soit en retard ou en avance par rapport à l'heure du serveur ESX. Jusqu'à ce que l'heure soit synchronisée entre l'applicatif Sentinel (invité) et le serveur ESX (hôte), Sentinel ne traite pas les événements. Par conséquent, un nombre élevé d'événements sont placés en attente dans le gestionnaire Collector Manager, qui peut finir par abandonner des événements dès qu'il a atteint son seuil. Pour éviter ce problème, Sentinel désactive la synchronisation horaire par défaut dans la version des outils open-vm-tools disponible dans Sentinel. (Bogue 1099341)
Solution : Désactivez la synchronisation horaire. Pour plus d'informations sur la désactivation de la synchronisation horaire, reportez-vous à la section Disabling Time Synchronization (Désactivation de la synchronisation horaire).
Problème : lorsque le mode FIPS 140-2 est activé dans Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (Bogue 814452)
Solution : Utilisez l'authentification SQL pour Agent Manager.
Problème : l'installation de Sentinel en haute disponibilité (HA) en mode non FIPS 140-2 s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bogue 810764)
Solution : ce message d'erreur est normal et vous pouvez l'ignorer en toute sécurité. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non-FIPS 140-2.
Problème : Dans Internet Explorer 11, lorsque vous lancez les tableaux de bord :
Le tableau de bord Alert and Threat Hunting (Alerte et Recherche de menaces) redirige vers My Dashboard (Mon tableau de bord).
Le tableau de bord User Activity (Activité de l'utilisateur) affiche un message d'erreur.
Ce problème survient en raison de la limitation de longueur d'URL dans Internet Explorer 11. (Bogue 1068418)
Solution : Effectuez les opérations suivantes :
Lancez le tableau de bord Event Visualization (Visualisation des événements).
Cliquez sur Management > (Gestion) Advanced Settings (Configuration avancée).
Définissez la valeur de storeInSessionStorage sur true.
Problème : Le redémarrage des services Elasticsearch dans Sentinel échoue avec l'erreur unable to install syscall filter (Impossible d'installer le filtre syscall) après avoir ajouté le nœud Elasticsearch à la grappe dans RHEL 6. (Bogue 1068600)
Solution : Effectuez les opérations suivantes :
Connectez-vous au serveur Sentinel en tant qu'utilisateur novell.
Ouvrez le fichier /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml.
Définissez la valeur de bootstrap.system_call_filter sur false.
Redémarrez les services Elasticsearch dans Sentinel :
rcsentinel stopSIdb
rcsentinel startSIdb
Problème : Lorsque vous utilisez la commande Keytool, l'avertissement suivant s'affiche : The JKS keystore uses a proprietary format (Le keystore JKS utilise un format propriétaire). Il est recommandé de migrer vers PKCS12 qui est un format standard de l'industrie à l'aide de « keytool -importkeystore -srckeystore /<répertoire_installation_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -destkeystore /<répertoire_installation_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -deststoretype pkcs12 ». (Bogue 1086612)
Solution : cet avertissement est normal et vous pouvez l'ignorer en toute sécurité. Bien que le message d'avertissement s'affiche, la commande Keytool fonctionne comme prévu.
Problème : En mode FIPS, lors du traitement des flux de renseignements sur les menaces prêts à l'emploi à partir d'URL, Sentinel affiche l'erreur suivante : Received fatal alert: protocol_version (Alerte fatale reçue : version_protocole). Ce problème se produit parce que les flux de menaces prêts à l'emploi prennent désormais en charge uniquement TLS 1.2, qui ne fonctionne pas en mode FIPS. (Bogue 1086631)
Solution : Cliquez sur Sentinel Main > Intégration > Sources de renseignements sur les menaces. Modifiez chaque URL pour changer le protocole de http en https.
Problème : Si Sentinel est intégré au mode NetIQ Advanced Authentication Framework MFA, vous n'êtes pas déconnecté des tableaux de bord Sentinel lorsque vous vous déconnectez de Sentinel Main et inversement en raison d'un problème lié à Advanced Authentication Framework. (Bogue 1087856)
Solution : Jusqu'à ce qu'un correctif soit disponible dans Advanced Authentication Framework, rafraîchissez l'écran pour afficher l'écran de connexion.
Problème : Après l'installation ou la mise à niveau vers Sentinel 8.2 en mode de haute disponibilité, un message d'erreur s'affiche au lancement de la console de gestion de l'applicatif Sentinel. (Bogue 1093574)
Solution : Après l'installation ou la mise à niveau vers Sentinel 8.2, si le message d'erreur s'affiche après un basculement, exécutez la commande suivante pour redémarrer les services Sentinel :
systemctl restart vabase-datamodel.service vabase-jetty.service vabase.service
Pour plus d'informations sur les mentions légales, les marques commerciales, les exclusions, les garanties, les limitations en matière d'exportation et d'utilisation, les droits restreints du gouvernement américain, la politique relative aux brevets et la compatibilité avec la norme FIPS de NetIQ, consultez le site http://www.netiq.com/fr-fr/company/legal/.
Copyright © 2018 NetIQ Corporation. Tous droits réservés.