Sentinel 8.1 include nuove funzioni, aumenta la semplicità di utilizzo e fornisce le soluzioni a diversi problemi riscontrati nelle versioni precedenti.
Molti miglioramenti sono stati apportati in base ai suggerimenti forniti dai clienti, che ringraziamo per la loro valida collaborazione. Confidiamo che anche in futuro continueranno ad aiutarci a migliorare i nostri prodotti affinché possano soddisfare tutte le loro esigenze. È possibile pubblicare commenti e opinioni nel forum di Sentinel di NetIQ Communities, la nostra comunità online che include anche informazioni sui prodotti, blog e collegamenti a risorse utili.
La documentazione relativa a questo prodotto è disponibile sul sito Web di NetIQ in formato HTML e PDF, in una pagina a cui è possibile accedere senza eseguire il login. Per suggerimenti volti a migliorare la documentazione, fare clic sull'icona dei commenti in una pagina qualsiasi della versione HTML dei documenti pubblicati sul sito Web della documentazione di Sentinel NetIQ. Per effettuare il download del prodotto, visitare il sito Web di upgrade di Sentinel.
Per la versione più recente di queste note di rilascio, consultare le Note di rilascio di Sentinel 8.1.
Nelle sezioni seguenti vengono illustrate le funzionalità e le funzioni principali fornite in questa versione, incluse le soluzioni ai problemi riscontrati:
Sezione 1.5, Viste avvisi e viste eventi dichiarate obsolete nell'interfaccia principale di Sentinel
Sezione 1.6, Aggiunte alla funzionalità di storage scalabile
Sezione 1.7, Configurazione delle origini dati di Threat Intelligence
Sezione 1.8, Gestione degli elenchi dinamici nell'interfaccia principale di Sentinel
Sentinel 8.1 fornisce ulteriori correzioni per risolvere la vulnerabilità CVE-2016-1000031, rilevata da Jacob Baines di Tenable Network Security. Desideriamo ringraziare Jacob Baines per aver rilevato queste vulnerabilità della sicurezza e per avercele segnalate.
Sentinel 8.1 introduce i seguenti nuovi metodi di autenticazione:
Autenticazione Kerberos: utilizza la crittografia con chiave segreta per fornire l'autenticazione forte.
Autenticazione a più fattori (MFA): un metodo di autenticazione più avanzato che utilizza una combinazione di almeno due fattori, ad esempio password e token oppure smart card e impronta digitale.
Autenticazione OAuth: consente agli utenti di eseguire il login a Sentinel utilizzando provider come Google o Facebook.
Sentinel 8.1 introduce i nuovi dashboard seguenti:
Dashboard di stato della sicurezza: fornisce una panoramica generale della sicurezza del sistema relativamente alle minacce derivanti da indirizzi IP con cattiva reputazione, vulnerabilità e potenziale sfruttamento di vulnerabilità. Il dashboard fornisce una panoramica generale dello stato corrente della sicurezza del sistema e indica se il sistema è sicuro o compromesso.
Dashboard Panoramica eventi: fornisce una panoramica generale di tutti gli eventi in entrata. I widget forniscono informazioni sui tipi specifici, ad esempio eventi di correlazione, eventi di sistema e altri tipi di eventi.
Sentinel 8.1 introduce la possibilità di gestire più dashboard. Al primo login, Sentinel si apre con Gestisci dashboard. Da questa posizione è possibile:
Accedere a qualsiasi dashboard per cui si dispone delle autorizzazioni
Creare un nuovo dashboard
Impostare un dashboard come home page
Con la disponibilità dei dashboard Threat Intelligence e Panoramica eventi in
, le e le nell' saranno dichiarate obsolete in futuro per evitare la ridondanza delle interfacce utente per queste funzioni.Questa versione include diverse aggiunte che espandono la funzionalità dello storage scalabile:
Sentinel Scalable Data Manager (SSDM) ora include le seguenti funzionalità di Sentinel Enterprise:
Correlazione
Correlazione di modelli degli eventi in tempo reale
Azioni attivate da regole di correlazione
Valutazione degli avvisi e visualizzazione
Integrazione dei dati di identità dell'utente
Raccolta e visualizzazione di NetFlow
Federazione dei dati
Solution Designer
Per informazioni sui servizi e le funzioni di Sentinel Enterprise non disponibili in SSDM, consultare la sezione sulla Configurazione dello storage scalabile
nella Guida all'installazione e alla configurazione di NetIQ Sentinel.
Per utilizzare la funzionalità dello storage scalabile, non è più necessaria una nuova installazione di Sentinel. Ora è possibile abilitare lo storage scalabile anche nelle installazioni di upgrade di Sentinel. Per informazioni sull'abilitazione dello storage scalabile, consultare la sezione sulla Configurazione dello storage scalabile
nella Guida all'amministrazione di NetIQ Sentinel.
Per sfruttare i dati esistenti nello storage tradizionale in Sentinel con lo storage scalabile, ora è possibile eseguire la migrazione dei dati dallo storage tradizionale allo storage scalabile. Per ulteriori informazioni, consultare la sezione sulla Migrazione dei dati da Sentinel con lo storage tradizionale
nella Guida all'amministrazione di NetIQ Sentinel.
In una configurazione di storage scalabile in cui la frequenza EPS è solitamente alta, i Correlation Engine possono essere caricati con un eccessivo numero di eventi da elaborare. Per default, tutti gli eventi vengono inviati a tutti i Correlation Engine. Per evitare il sovraccarico di eventi, è possibile controllare l'utilizzo EPS nel Correlation Engine e distribuire quindi il carico di eventi tra più Correlation Engine in base alle specifiche esigenze. Grazie alla distribuzione di eventi tra diversi Correlation Engine, è possibile bilanciare il carico di eventi e separare gli eventi che distinguono il tenant per specifici Correlation Engine. Ad esempio, in un ambiente con più tenant, è possibile configurare un Correlation Engine designato per ogni tenant in modo che tale Correlation Engine elabori gli eventi specifici del tenant a cui è designato.
L'opzione che consente di distribuire gli eventi su più Correlation Engine è disponibile solo in Sentinel con storage scalabile. Per ulteriori informazioni, consultare la sezione sulla Distribuzione di eventi tra più Correlation Engine
nella Guida per l'utente di NetIQ Sentinel.
Il Pacchetto soluzioni Threat Intelligence delle versioni precedenti di Sentinel include origini dati come Palevo e Zeus, che forniscono un elenco noto di indirizzi IP botnet. A partire da Sentinel 8.1, tali origini dati non fanno più parte del Pacchetto soluzioni e sono immediatamente disponibili quando si installa Sentinel. Oltre a Palevo e Zeus, Sentinel fornisce ulteriori origini dati che offrono informazioni sulle minacce esistenti o emergenti per la sicurezza delle organizzazioni. Molte di queste origini dati vengono aggiornate quotidianamente. Sentinel fornisce la possibilità di scaricare questi dati in un file di mappatura, aggiornarli a intervalli programmati o secondo necessità e incorporare le informazioni rilevanti sulle minacce nelle regole di correlazione. L'opzione che consente di gestire le origini dati di Threat Intelligence ora è disponibile in
> nell'interfaccia principale di Sentinel.Per ulteriori informazioni, consultare la sezione sulla Configurazione delle origini dati di Threat Intelligence
nella Guida all'amministrazione di NetIQ Sentinel.
Per configurare o gestire gli elenchi dinamici, non è più necessario utilizzare Sentinel Control Center. Ora è possibile configurare e gestire gli elenchi dinamici con un'opzione dell'interfaccia utente principale di Sentinel molto più semplice da utilizzare. Per ulteriori informazioni, consultare la sezione sulla Configurazione degli elenchi dinamici
nella Guida per l'utente di NetIQ Sentinel.
Le piattaforme certificate di Sentinel hanno subito numerosi aggiornamenti. Per informazioni dettagliate sulle piattaforme certificate, consultare la pagina Informazioni tecniche su Sentinel.
Sentinel è attualmente certificato per le piattaforme seguenti:
Installazione tradizionale:
SUSE Linux Enterprise Server 12 SP2 a 64 bit
Red Hat Enterprise Linux Server 6.8 a 64 bit
Installazione in modalità applicazione:
VMware ESX 6.5 (per ISO e OVF)
Hyper-V Server 2016 (solo ISO)
Sincronizzazione dei dati: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Le nuove installazioni di Sentinel includono le versioni più recenti di numerosi plug-in di Sentinel. Tali versioni includono le correzioni software più recenti, gli aggiornamenti della documentazione e i miglioramenti apportati ai plug-in. Per ulteriori informazioni, vedere la documentazione specifica dei plug-in nel sito Web dei plug-in di Sentinel.
Eseguire l'upgrade di Sentinel permette di aggiornare i plug-in riportati di seguito. In questo modo, si è certi siano compatibili con Sentinel 8.1 e versioni successive:
Sentinel Agent Manager Connector alla versione 2017.1r1
Sentinel Link Connector alla versione 2011.1r5
In Sentinel 8.1 sono incluse correzioni software che risolvono numerosi problemi.
Il rapporto non viene eseguito se la data di inizio è successiva alla data corrente
Il salvataggio di una ricerca in CSV non mantiene l'ordine dei campi specificato
Alcune opzioni dei criteri di modifica creano ricerche non valide
Il certificato personalizzato impedisce a Sentinel Agent Manager di connettersi a Sentinel
Errore durante l'upgrade di Sentinel 8.0 e versioni successive
L'API /SentinelRESTServices/objects/alert/count restituisce sempre 0
Le date nei campi dei dettagli degli eventi non vengono visualizzate nel formato corretto
Sentinel Agent Manager 7.3 non considera la configurazione di RawDataTapFileSize
Le visualizzazioni affiancate delle mappe non funzionano in Sentinel Scalable Data Manager
Problema: quando un lavoro di rapporto ha esito negativo, non è possibile cercarlo come evento. (Bug 1017358)
Correzione: Ora è possibile cercare un lavoro di rapporto non riuscito come evento.
Problema: Sentinel consente di registrare le origini degli eventi da cui derivano gli eventi ritardati oltre una soglia specificata. Questa possibilità è utile per la risoluzione dei problemi correlati all'arrivo ritardato. Sentinel non aggiornava il file di log con le origini degli eventi. (Bug 979931)
Correzione: Sentinel ora aggiorna il file di log come parte dell'istantanea delle prestazioni.
Problema: se si configura una definizione di anomalia per inviare una notifica e-mail in caso di deviazione dalla linea di base, Sentinel non è in grado di inviare l'e-mail e restituisce un errore IllegalStateException. (Bug 816622)
Correzione: Sentinel ora invia correttamente l'e-mail.
Problema: se si pianifica l'esecuzione di un rapporto con l'intervallo di date corrente ma la (Bug 914094)
è nel futuro, il rapporto non viene eseguito.Correzione: Sentinel consente di impostare come
un giorno futuro per segnalare le origini degli eventi non sincronizzate correttamente. Sentinel ora esegue il rapporto senza errori.Problema: quando si salva una ricerca in un file CSV, tale file non mantiene l'ordine specificato dei campi. (Bug 979916)
Correzione: quando si salva una ricerca in un file CSV, tale file ora mantiene l'ordine specificato dei campi.
Problema: se si riavvia il servizio Sentinel su un computer su cui è installato Collector Manager con diversi servizi di raccolta database, alcuni servizi di raccolta non sono in grado di riconnettersi alle origini eventi. (Bug 1015375, Bug 1041866)
Correzione: tutti i servizi di raccolta ora si ricollegano dopo il riavvio del servizio Sentinel.
Problema: se si modificano i criteri di una ricerca e si seleziona (Bug 894421)
, o , i risultati della ricerca non sono validi.Correzione: Le opzioni
, o non sono più disponibili quando si modificano i criteri di ricerca.Problema: se l'oggetto del certificato personalizzato contiene più attributi o caratteri speciali, Sentinel Agent Manger non è in grado di connettersi a Sentinel. (Bug 1018133)
Correzione: Sentinel Agent Manager ora è in grado di connettersi a Sentinel quando l'oggetto del certificato personalizzato contiene più attributi o caratteri speciali.
Problema: quando si esegue l'upgrade di Sentinel 8.0 e versioni successive, nel programma di installazione viene visualizzato l'errore seguente:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Bug 1025512)
Correzione: questo errore non si verifica più durante il processo di upgrade.
Problema: l'esecuzione dell'API /SentinelRESTServices/objects/alert/count restituisce sempre 0, anche in presenza di più avvisi. (Bug 1028317)
Correzione: l'API /SentinelRESTServices/objects/alert/count ora restituisce il numero di avvisi corretto.
Problema: quando si visualizzano tutti i dettagli degli eventi, le date e le ore appaiono erroneamente in formato UTC (Coordinated Universal Time). (Bug 1031523, Bug 1034531)
Correzione: nei campi dei dettagli degli eventi, ora le date vengono visualizzate nel formato adeguato all'impostazione internazionale specificata nel browser.
Problema: dopo aver abilitato la memorizzazione scalabile, nei log del server SSDM vengono visualizzate più istanze del messaggio seguente:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
è possibile ignorare questo tipo di messaggi, poiché non c'è alcun impatto funzionale. (Bug 1009662)
Correzione: i log del server SSDM non visualizzano più questo messaggio.
Problema: SSDM nella modalità ad alta disponibilità non popola gli indirizzi IP corretti dei nodi del cluster ad alta disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch. Di conseguenza, nei dashboard di ricerca e visualizzazione degli eventi appaiono degli errori. (Bug 1012251)
Correzione: SSDM nella modalità ad elevata disponibilità ora popola gli indirizzi IP corretti dei nodi del cluster ad elevata disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch.
Problema: in un'installazione di Elasticsearch basata su RPM, i dashboard di visualizzazione degli eventi e le ricerche in SSDM non funzionano. (Bug 1014448)
Correzione: i dashboard di visualizzazione degli eventi e le ricerche in SSDM ora funzionano.
Problema: NetIQ eDirectory Instrumentation non è in grado di connettersi a Connettore di revisione mediante l'agente piattaforma. Di conseguenza, Sentinel non può ricevere gli eventi da eDirectory. Questo problema si verifica in quanto eDirectory Instrumentation utilizza l'algoritmo MD5 RSA del certificato, che è stato dichiarato obsoleto in Java 8 Update 77, attualmente utilizzato in Sentinel 8.1. (Bug 985312)
Correzione: Una nuova versione di Connettore di revisione consente a Sentinel di ricevere gli eventi da eDirectory.
Problema: il lavoro com.novell.sentinel.spark.StreamingEventIndexer non supporta il protocollo IPv6. Se un evento contiene un indirizzo IPv6, il lavoro ha esito negativo. (Bug 1006975)
Correzione: il lavoro com.novell.sentinel.spark.StreamingEventIndexer ora supporta IPv6.
Problema: Sentinel Agent Manager 7.3 ignora il valore specificato nell'attributo RawDataTapFileSize nel file SMServiceHost.exe.config per la configurazione della dimensione dei dati non elaborati e interrompe la scrittura nel file di dati non elaborati quando il file raggiunge la dimensione di 10 MB. (Bug 867954)
Correzione: Sentinel Agent Manager utilizza correttamente i valori specificati nell'attributo RawDataTapFileSize nel file SMServiceHost.exe.config e scrive i nuovi dati nel file di dati non elaborati.
Problema: negli ambienti SSDM, se si crea una visualizzazione affiancata della mappa con le opzioni di default, un problema di Kibana ne impedisce il corretto funzionamento nel dashboard di visualizzazione degli eventi. Per ulteriori informazioni su questo problema di Kibana, vedere https://github.com/elastic/kibana/issues/7717. (Bug 1001909)
Correzione: le visualizzazioni della mappa con opzioni di default ora funzionano correttamente nel dashboard di visualizzazione degli eventi.
Per informazioni su requisiti hardware, sistemi operativi supportati e browser, visitare la pagina delle informazioni tecniche su Sentinel.
Per informazioni sull'installazione di Sentinel 8.1, vedere la Guida all'installazione e alla configurazione di NetIQ Sentinel.
È possibile eseguire l'upgrade a Sentinel 8.1 da Sentinel 7.4 e versioni successive.
Per informazioni sull'upgrade a Sentinel 8.1, vedere Guida all'installazione e alla configurazione di NetIQ Sentinel.
NetIQ Corporation si impegna affinché i propri prodotti forniscano soluzioni di qualità che soddisfino le esigenze software aziendali. I problemi elencati di seguito sono attualmente in fase di studio. Per ulteriore assistenza relativamente a un problema, rivolgersi al supporto tecnico.
L'aggiornamento Java 8 incluso in Sentinel potrebbe avere ripercussioni sui seguenti plug-in:
Connettore Cisco SDEE
Connettore (XAL) SAP
Integratore Remedy
Per eventuali problemi con tali plug-in, NetIQ definirà le priorità e fornirà le soluzioni in base alle policy standard di gestione dei difetti. Per ulteriori informazioni sulle policy di supporto, vedere la pagina relativa alle policy di supporto.
Sezione 5.2, Impossibile eseguire i rapporti locali con la licenza EPS di default
Sezione 5.3, Correlation Engine si disconnette al termine dell'upgrade
Sezione 5.6, Impossibile avviare il dashboard di visualizzazione degli eventi
Sezione 5.7, Impossibile installare Sentinel in SLES 11 SP4 in modalità FIPS
Sezione 5.11, Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6
Sezione 5.22, Impossibile visualizzare più di un risultato dei rapporti contemporaneamente
Sezione 5.25, Imprecisioni nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo
Problema: l'installazione delle applicazioni Collector Manager e Correlation Engine ha esito negativo nella modalità MFA se la lingua del sistema operativo non è l'inglese. (Bug 1045967)
Soluzione: installare le applicazioni Collector Manager e Correlation Engine utilizzando la lingua inglese. Al termine dell'installazione, modificare l'impostazione della lingua secondo necessità.
Problema: se nell'ambiente è presente la licenza di default per 25 EPS e si esegue un rapporto, l'operazione ha esito negativo e viene restituito l'errore seguente:
License for Distributed Search feature is expired (La licenza per la ricerca distribuita è scaduta)
Soluzione: per eseguire i rapporti nella stessa JVM di Sentinel, effettuare le operazioni seguenti:
Eseguire il login al server Sentinel e aprire il file /etc/opt/novell/sentinel/config/server.xml.
Individuare la proprietà seguente:
<property name="reporting.process.oktorunstandalone">true</property>
Modificare l'impostazione in false.
<property name="reporting.process.oktorunstandalone">false</property>
Riavviare Sentinel.
Problema: le recenti modifiche apportate al modo in cui Sentinel convalida le regole fanno sì che Correlation Engine non riesca a connettersi, nel caso in cui nell'ambiente dell'utente sia presente una regola distribuita meno recente con sintassi errata. (Bug 1039598)
Soluzione: per connettere di nuovo Correlation Engine, è possibile correggere la sintassi della regola che causa il problema, quindi riavviare Sentinel.
Per trovare la regola e correggerne la sintassi, eseguire la procedura seguente:
Nel file server.log, cercare Failed to initialize CorrelationEngine.
Ad esempio, quando si cerca Failed to initialize CorrelationEngine, viene visualizzato un messaggio di log analogo al seguente:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
Scrorrere verso l'alto per visualizzare il messaggio di log precedente, nel quale viene indicata la regola e ne viene mostrata la sintassi. Il messaggio è analogo al seguente:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
In questo esempio, il messaggio di log indica che il problema si è verificato perché la durata specificata era superiore a un giorno. La sintassi della regola riporta un numero maggiore di secondi (86460) rispetto a quelli di un giorno (86400).
Eseguire il login a Sentinel.
Aprire una nuova scheda del browser.
In questa nuova scheda, accedere all'URL seguente:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
Per trovare il nome e l'ID della regola nell'elenco di regole di correlazione, cercare una parte univoca della sintassi della regola, ad esempio, 86460.
(Condizionale) Se non è possibile trovare il nome e l'ID della regola nell'elenco delle regole di correlazione, eseguire la procedura seguente:
In un prompt di comandi, passare all'utente novell. Utilizzare il seguente comando:
su -novell
Passare alla directory /opt/novell/sentinel/bin.
Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
In questo caso, UniqueText rappresenta la parte univoca relativa alla sintassi della regola, ad esempio, 86460.
(Condizionale) Se non è stato già eseguito il passaggio all'utente novell, aprire un prompt dei comandi e passare all'utente novell. Utilizzare il seguente comando:
su -novell
Passare alla directory /opt/novell/sentinel/bin.
Verificare che la regola si trovi nel database. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Aggiornare la regola con un nuovo filtro che non genera un errore durante la convalida. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Verificare che il filtro sia stato modificato nel database. Utilizzare il seguente comando SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.
Arrestare Sentinel. Utilizzare il seguente comando:
./server.sh stop
Riavviare Sentinel. Utilizzare il seguente comando:
./server.sh start
Problema: SSDM nella modalità ad alta disponibilità non popola gli indirizzi IP corretti dei nodi del cluster ad alta disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch. Di conseguenza, nei dashboard di ricerca e visualizzazione degli eventi appaiono degli errori.
Soluzione: dopo aver installato il plug-in di sicurezza di Elasticsearch, eseguire i passaggi seguenti in ciascun nodo del cluster Elasticsearch:
Eseguire il login al nodo Elasticsearch come l'utente che ha installato Elasticsearch.
Aggiungere le voci corrispondenti all'indirizzo IP fisico di ogni nodo attivo e passivo del cluster ad alta disponibilità nel file <directory_installazione_elasticsearch> >/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt come indicato di seguito:
<IP_Fisico_Nodo_Cluster>:<Porta_HTTP_Destinazione_Elasticsearch>
Aggiungere ciascuna voce in una nuova riga e salvare il file.
Nel file <directory_installazione_elasticsearch>/plugins/elasticsearch-security-plugin/plugin-configuration.properties, impostare la proprietà authServer.host sull'indirizzo IP virtuale del cluster ad alta disponibilità come indicato di seguito:
authServer.host=<IP_Virtuale_Cluster>
Riavviare Elasticsearch.
Problema: quando si converte il nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, la sincronizzazione per convertire tutti i nodi passivi alla modalità FIPS 140-2 non viene eseguita completamente. La sincronizzazione deve essere avviata manualmente. (Bug 1014472)
Soluzione: sincronizzare manualmente tutti i nodi passivi alla modalità FIPS 140-2 come indicato di seguito:
Eseguire il login come utente root nel nodo attivo.
Aprire il file /etc/csync2/csync2.cfg.
Modificare la riga seguente:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
come segue
include /etc/opt/novell/sentinel/3rdparty/nss;
Salvare il file csync2.cfg.
Avviare manualmente la sincronizzazione eseguendo il comando seguente:
csync2 -x -v
Problema: un problema impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308)
Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso.
Problema: se si tenta di installare Sentinel in un computer in cui il sistema operativo SLES 11 SP4 viene eseguito in modalità FIPS, la procedura di installazione ha esito negativo. (Bug 990201)
Soluzione: verificare che il sistema operativo non sia in modalità FIPS ed effettuare i passaggi seguenti:
Installare Sentinel. Per ulteriori informazioni, consultare Installazione di Sentinel
nella Guida alla configurazione e all'installazione di NetIQ Sentinel.
Abilitare l'esecuzione in modalità FIPS del server Sentinel. Per ulteriori informazioni, vedere Abilitazione dell'esecuzione in modalità FIPS 140-2 nel server Sentinel
nella Guida all'installazione e alla configurazione di Sentinel.
Per abilitare l'esecuzione del sistema operativo in modalità FIPS, utilizzare il comando seguente:
fips=1 /boot/grub/menu.lst
Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1:
Failed to set encrypted password
(Bug 967764)
Soluzione: si tratta di un avviso previsto che può essere ignorato, poiché non ha alcun impatto sull'esecuzione dell'upgrade.
Problema: dopo aver abilitato SSDM, quando si esegue il login all'interfaccia principale di Sentinel, il browser visualizza una pagina vuota. (Bug 1006677)
Soluzione: chiudere il browser e ripetere il login all'interfaccia principale di Sentinel. Questo problema si verifica quando si esegue il login all'interfaccia principale di Sentinel per la prima volta dopo aver abilitato SSDM.
Problema: Quando si esegue l'upgrade di Sentinel dalla versione 7.3 alla versione 7.3 SP1 e si avvia il server Sentinel, nel log del server potrebbe apparire l'eccezione seguente:
Invalid length of data object ......
(Bug 933640)
Soluzione: ignorare l'eccezione. Questa eccezione non ha alcun impatto sulle prestazioni di Sentinel.
Problema: nelle viste e nei dashboard degli avvisi di Sentinel non vengono visualizzati gli avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874)
Soluzione: per visualizzare gli avvisi con indirizzi IPv6 in Sentinel, eseguire le operazioni descritte nell'articolo 7016555 della knowledgebase di NetIQ.
Problema: nelle installazioni di upgrade di Sentinel, quando si cercano attributi degli avvisi nella tabella Suggerimenti dell'interfaccia principale di Sentinel, la ricerca non restituisce l'elenco completo dei campi degli avvisi. Tuttavia, i campi degli avvisi vengono visualizzati correttamente nella tabella Suggerimenti se la ricerca viene annullata. (Bug 914755)
Soluzione: non è ancora disponibile una soluzione.
Problema:
la sincronizzazione dei dati ha esito negativo quando si tenta di sincronizzare con database esterni i campi degli indirizzi IPv6 in formato leggibile dall'uomo. Per informazioni sulla configurazione di Sentinel affinché i campi degli indirizzi IP vengano popolati utilizzando la notazione col punto leggibile dall'uomo, vedere Creating a Data Synchronization Policy
(Creazione di una policy di sincronizzazione dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). (Bug 913014)
Soluzione: per risolvere questo problema, modificare manualmente la dimensione massima dei campi degli indirizzi IP impostando almeno 46 caratteri nel database di destinazione, quindi ripetere la sincronizzazione del database.
Problema: se si effettua una ricerca di eventi quando il filtro di sicurezza del ruolo è vuoto e il ruolo utilizzato non dispone di autorizzazioni per la visualizzazione degli eventi, la ricerca non viene completata. Non vengono visualizzati messaggi di errore relativi alle autorizzazioni non valide per la visualizzazione degli eventi. (Bug 908666)
Soluzione: aggiornare il ruolo utilizzando una delle opzioni seguenti:
Specificare i criteri nel campo
. Se gli utenti del ruolo non devono visualizzare alcun evento, è possibile immettere .Selezionare
.Selezionare
.Problema: quando si modifica una ricerca salvata di cui è stato eseguito l'upgrade da Sentinel 7.2 a una versione più recente, il pannello (Bug 900293)
, utilizzato per specificare i campi di output nel file CSV del rapporto di ricerca, non è presente nella pagina della pianificazione.Soluzione: dopo aver eseguito l'upgrade di Sentinel, per visualizzare il pannello
nella pagina della pianificazione, ricreare e ripianificare la ricerca.Problema: in Sentinel non viene restituito alcun evento correlato quando si cercano tutti gli eventi correlati generati dopo l'installazione o l'abilitazione della regola facendo clic sull'icona accanto a (Bug 912820)
nel pannello della pagina Riepilogo correlazione per la regola.Soluzione: modificare il valore nel campo
della pagina Ricerca evento impostando un orario precedente a quello popolato nel campo e fare nuovamente clic su .Problema: quando si rigenera la linea di base di Security Intelligence, le relative date iniziale e finale sono errate e viene visualizzato il valore 1/1/1970. (Bug 912009)
Soluzione: al termine della rigenerazione della linea di base le date vengono aggiornate correttamente.
Problema: quando si effetua una ricerca, il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione. (Bug 913599)
Soluzione: creare policy di permanenza affinché nel corso di una giornata siano aperte almeno due partizioni. L'utilizzo di più partizioni aperte contribuisce a ridurre il numero di eventi indicizzati nelle partizioni stesse.
Si possono creare policy di permanenza che filtrino gli eventi in base al campo estzhour utilizzato per controllare l'orario della giornata. È quindi possibile creare una policy di permanenza utilizzando estzhour:[0 TO 11] come filtro e un'altra con estzhour:[12 TO 23].
Per ulteriori informazioni, vedere Configuring Data Retention Policies
(Configurazione delle policy di permanenza dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel).
Problema: in Sentinel viene visualizzato un errore quando si utilizza lo script report_dev_setup.sh per configurare le porte di Sentinel per le eccezioni del firewall. (Bug 914874)
Soluzione: configurare le porte di Sentinel per le eccezioni del firewall eseguendo le operazioni seguenti:
Aprire il file /etc/sysconfig/SuSEfirewall2.
Modificare la riga seguente:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
come segue
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Riavviare Sentinel.
Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715)
Soluzione: non è ancora disponibile una soluzione.
Problema: quando si esportano i risultati delle ricerche effettuate in Sentinel, il browser Web potrebbe visualizzare un errore se si modificano le impostazioni della lingua del sistema operativo. (Bug 834874)
Soluzione: per esportare correttamente i risultati delle ricerche, eseguire una delle operazioni seguenti:
Durante l'esportazione dei risultati della ricerca, rimuovere eventuali caratteri speciali (non inclusi nei caratteri ASCII) dal nome del file di esportazione.
Abilitare UTF-8 nelle impostazioni della lingua del sistema operativo, riavviare il computer e il server Sentinel.
Problema: mentre si attende l'apertura del PDF dei risultati dei rapporti, specialmente i risultati di rapporti relativi a un milione di eventi, se si seleziona un altro PDF relativo ad altri risultati dei rapporti per visualizzarne i contenuti, i risultati non vengono visualizzati. (Bug 804683)
Soluzione: fare nuovamente clic sul secondo PDF dei risultati dei rapporti per visualizzarlo.
Problema: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452)
Soluzione: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, utilizzare l'autenticazione SQL per Gestione agenti.
Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2.
Problema: quando l'orologio del computer dell'interfaccia principale di Sentinel è indietro rispetto a quello del server Sentinel, l'interfaccia principale di Sentinel visualizza numeri negativi nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo. Vale a dire che se l'orologio dell'interfaccia principale di Sentinel è impostato alle 13:30 e il server Sentinel è impostato alle 14:30, in queste colonne sono visualizzati numeri negativi. (Bug 719875)
Soluzione: assicurarsi che l'ora del computer utilizzato per accedere all'interfaccia principale di Sentinel sia la stessa o successiva a quella del computer del server Sentinel.
Problema: quando si esegue il login al dashboard di Security Intelligence e si cerca l'evento di revisione IssueSAMLToken, il nome host (InitiatorUserName) o l'indirizzo IP (SourceIP) vengono visualizzati in modo errato nell'evento di revisione IssueSAMLToken. (Bug 870609)
Soluzione: non è ancora disponibile una soluzione.
NetIQ desidera fornire tutta la documentazione necessaria per indicare le soluzioni più appropriate alle esigenze degli utenti. Per suggerimenti relativi a miglioramenti, inviare un'e-mail all'indirizzo Documentation-Feedback@netiq.com. La collaborazione degli utenti è una fonte preziosa e saremo lieti di ricevere qualsiasi suggerimento.
Per informazioni di contatto dettagliate, vedere il sito Web delle informazioni di contatto del supporto tecnico.
Per informazioni relative al prodotto o di carattere più generale sull'azienda, vedere il sito Web di NetIQ Corporate.
Per conversazioni interattive con colleghi ed esperti NetIQ, è necessario diventare un membro attivo della nostra comunità. La comunità online di NetIQ fornisce informazioni sui prodotti, collegamenti utili a risorse preziose, blog e canali social media.
Per ulteriori informazioni su note legali, marchi, dichiarazioni di non responsabilità, garanzie, esportazioni e altre limitazioni di utilizzo, diritti limitati dal governo degli Stati Uniti, politiche sui brevetti e conformità FIPS di NetIQ, consultare http://www.netiq.com/company/legal/.
Copyright © 2017 NetIQ Corporation. Tutti i diritti riservati.