Sentinel 8.2 include nuove funzioni, aumenta la semplicità di utilizzo e fornisce le soluzioni a diversi problemi riscontrati nelle versioni precedenti.
Molti miglioramenti sono stati apportati in base ai suggerimenti forniti dai clienti, che ringraziamo per la loro valida collaborazione. Confidiamo che anche in futuro continueranno ad aiutarci a migliorare i nostri prodotti affinché possano soddisfare tutte le loro esigenze. È possibile pubblicare commenti e opinioni nel forum di Sentinel, la nostra comunità online, che include anche informazioni sui prodotti, blog e collegamenti a risorse utili. È inoltre possibile condividere le idee per migliorare il prodotto sul portale delle idee.
La documentazione relativa a questo prodotto è disponibile in formato HTML e PDF, in una pagina a cui è possibile accedere senza eseguire il login. Se si desidera fornire suggerimenti su come migliorare la documentazione, fare clic sull'icona dei commenti in una pagina qualsiasi della versione HTML della documentazione pubblicata nella pagina relativa alla documentazione di Sentinel . Per effettuare il download di questo prodotto, visitare il sito Web di download del prodotto .
Nelle sezioni seguenti vengono illustrate le funzionalità e le funzioni principali fornite in questa versione, incluse le soluzioni ai problemi riscontrati:
Sezione 1.1, Raccolta dati mediante ArcSight SmartConnectors
Sezione 1.3, Visualizzazione degli eventi nella memorizzazione tradizionale
Sezione 1.10, Risoluzione dei nomi host e degli indirizzi IP negli eventi
Sezione 1.12, Autenticazione LDAP a più server o domini LDAP
Sezione 1.14, Correzione della vulnerabilità della sicurezza
Sezione 1.16, Usabilità migliorata nei grafici a torta dello stato della memorizzazione
Sezione 1.17, Miglioramenti dell'autenticazione delle chiamate dell'API REST
Sentinel utilizza ArcSight SmartConnector per raccogliere eventi da vari tipi di origini non direttamente supportate da Sentinel, come ad esempio Office 365. Con SmartConnectors è possibile raccogliere eventi da dispositivi supportati, normalizzarli nel formato CEF (Common Event Format) e inoltrarli a Sentinel mediante il connettore Syslog. Quindi, il connettore inoltra gli eventi a Universal Common Event Format Collector per l'analisi sintattica.
Per ulteriori informazioni sulla configurazione di Sentinel con SmartConnectors, consultare la documentazione di Universal Common Event Format Collector sul sito Web dei plug-in di Sentinel.
In Sentinel è ora possibile raccogliere, oltre ai dati NetFlow, i dati del flusso IP (IPFIX, JFlow, sFlow e così via) mediante ArcSight SmartConnectors. I dati del flusso IP descrivono informazioni di base relative a tutte le connessioni di rete tra host, inclusi pacchetti e byte trasmessi. In questo modo, è possibile visualizzare il comportamento dei singoli host o dell'intera rete. È possibile utilizzare i dati del flusso IP durante l'analisi e la visualizzazione degli eventi. I dati del flusso IP vengono raccolti come eventi e sono pertanto considerati nel totale EPS.
Per configurare la raccolta dati del flusso IP, installare e configurare ArcSight SmartConnector. Durante la configurazione, assicurarsi di configurare gli SmartConnector appropriati che raccolgono i dati del flusso IP. Per ulteriori informazioni, consultare la documentazione di Universal Common Event Format Collector sul sito Web dei plug-in di Sentinel.
Nelle installazioni di upgrade di Sentinel, è possibile continuare a utilizzare le funzionalità di NetFlow o scegliere di configurare la raccolta dati del flusso IP. Per ulteriori informazioni, vedere Configurazione della raccolta dati del flusso IP
nella Guida all'installazione e alla configurazione di Sentinel.
Sentinel con la memorizzazione tradizionale offre ora la possibilità di visualizzare gli eventi tramite i relativi dashboard di visualizzazione, quali Ricerca minacce e Attività utente. I dashboard forniscono un'interfaccia personalizzabile utile per cercare, visualizzare e analizzare dettagliatamente gli eventi. Queste visualizzazioni consentono quindi di eseguire il drill-down delle minacce potenziali molto più rapidamente. Oltre ai dashboard pronti all'uso, è possibile creare dashboard personalizzati in base alle proprie esigenze.
Questi dashboard sono disabilitati di default. Per abilitarli è necessario abilitare la visualizzazione degli eventi in Sentinel. I dashboard visualizzano solo gli eventi elaborati dopo aver abilitato la visualizzazione degli eventi. Per visualizzare gli eventi esistenti presenti nell'area di memorizzazione tradizionale, Sentinel offre la possibilità di eseguire la migrazione degli eventi dalla memorizzazione basata su file a Elasticsearch. Per ulteriori informazioni, vedere Configurazione della visualizzazione del data store
nella Guida all'installazione e alla configurazione di Sentinel.
In questa release sono stati introdotti i nuovi dashboard seguenti:
Dashboard Ricerca minacce: questo dashboard consente di analizzare nell'ambiente dell'utente potenziali minacce o attività anormali, quali segni di compromissioni, intrusioni o esfiltrazioni di dati. Ad esempio, è possibile visualizzare informazioni relative a indirizzo IP di origine/destinazione più bersagliato, reputazione dell'host di origine e della minaccia, rilevamento exploit, violazioni delle policy, attacchi a computer vulnerabili e così via.
Dashboard Attività utente: questo dashboard fornisce una visualizzazione di alto livello delle attività utente nel sistema. Ad esempio, è possibile visualizzare informazioni su operazioni privilegiate, monitoraggio dell'accesso ai file, attività durante i fine settimana e i giorni della settimana, eventi che si ripetono più frequentemente e così via.
Dashboard Flusso IP in tempo reale: questo dashboard fornisce una panoramica in tempo reale e di alto livello dei dati del flusso IP nell'ambiente dell'utente.
Dashboard Panoramica flusso IP: questo dashboard consente di eseguire un'analisi dettagliata del traffico di rete a un livello superiore di granularità. Facilita l'analisi di dettagli quali la comunicazione tra computer di origine e di destinazione, gli host e le porte principali che inviano dati a un indirizzo IP specifico e l'ubicazione geografica degli indirizzi IP di origine e di destinazione.
Per migliorare l'esperienza dell'utente, il dashboard Avvisi è stato spostato da Sentinel principale a Mio Sentinel. Per accedere al dashboard Avvisi, avviare Mio Sentinel e fare clic sul dashboard Avvisi nell'elenco dei dashboard disponibili. Per ulteriori informazioni sui dashboard degli avvisi, vedere Analyzing Alert Dashboards
(Analisi dei dashboard degli avvisi) nella Sentinel User Guide (Guida dell'utente di Sentinel).
Nell'interfaccia utente Mio Sentinel è ora possibile cercare eventi e avvisi indicizzati in Elasticsearch. La vista di ricerca facilita l'analisi del confronto percentuale di diverse entità dei campi evento, delle tendenze degli eventi e così via. Questa opzione di ricerca fornisce una piattaforma comune per la ricerca sia di eventi che di avvisi nella stessa interfaccia utente, modificando soltanto l'indice di ricerca. Per ulteriori informazioni sulla ricerca di eventi e avvisi in Mio Sentinel, vedere Searching Events
(Ricerca di eventi) e Searching Alerts
(Ricerca di avvisi) nella Sentinel User Guide (Guida dell'utente di Sentinel).
Sulla base degli avvisi esistenti di cui è stata eseguita l'escalation a caso, Sentinel ora analizza la probabilità che per un avviso corrente sia stata eseguita l'escalation a caso e visualizza il valore Probabilità incidente nell'interfaccia utente della vista avvisi. Questo valore consente di analizzare molto più velocemente la probabilità di escalation da avviso a caso. Per ulteriori informazioni, vedere Viewing and Triaging Alerts
(Visualizzazione e valutazione degli avvisi) nella Sentinel User Guide (Guida dell'utente di Sentinel).
Le nuove installazioni dell'applicazione Sentinel includono il sistema operativo SLES 12 SP3 e si basano sul framework di gestione dell'applicazione Sentinel. La funzione di gestione dell'applicazione di Sentinel fornisce un'interfaccia utente basata sul Web semplice che consente di configurare e gestire l'applicazione. Questa sostituisce la funzionalità WebYast esistente.
Sentinel include gli open-vm-tools predefiniti in SLES 12 SP3, i quali migliorano le prestazioni delle macchine virtuali e consentono una migliore gestione dei guest sul server host. Per ulteriori informazioni sugli open-vm-tools, vedere la relativa documentazione.
Nelle installazioni di upgrade di Sentinel, è possibile scegliere di eseguire l'upgrade di Sentinel senza eseguire l'upgrade del sistema operativo SLES oppure di eseguire l'upgrade di entrambi. Poiché l'applicazione Sentinel 8.2 include ora SLES 12 SP 3, il canale degli aggiornamenti di SLES 11 è obsoleto e verrà rimosso quando SUSE cesserà il supporto generale per SLES 11. Pertanto, per continuare a ricevere gli aggiornamenti del sistema operativo e sfruttare inoltre gli open-vm-tools è consigliabile eseguire l'upgrade del sistema operativo a SLES 12 SP3.
Per informazioni sull'installazione o l'upgrade dell'applicazione, vedere la Guida all'installazione e alla configurazione di Sentinel.
Sentinel include ora Connector for HTTP Server che consente a un sistema Sentinel di ricevere gli eventi da altri software NetIQ, come Change Guardian e Secure Configuration Manager. Oltre agli eventi, il connettore riceve anche gli allegati degli eventi come le informazioni differenziali relative a un evento di modifica di file Change Guardian. È ora possibile distribuire le risorse di Change Guardian fra più istanze di Collector Manager e fra più server Sentinel di origine eventi per una raccolta dati scalabile. Per ulteriori informazioni, vedere la documentazione del connettore del .
È ora possibile configurare i server Sentinel e i Collector Manager per risolvere il nome host nell'indirizzo IP o l'indirizzo IP nel nome host per tutti gli eventi in entrata. Questa funzione consente di sostituire il servizio di raccolta di risoluzione del nome host generico, che aveva un impatto negativo sulla frequenza degli eventi (Bug 906715). Il servizio di raccolta di risoluzione del nome host generico è obsoleto e non sarà più supportato in Sentinel 8.2 e versioni successive. Per ulteriori informazioni, vedere Resolving Hostnames and IP Addresses
(Risoluzione di nomi host e indirizzi IP) nella Sentinel Administration Guide (Guida all'amministrazione di Sentinel).
In Sentinel è ora possibile visualizzare un'intestazione di consenso prima del login. L'utente può specificare il contenuto dell'intestazione secondo necessità. Per ulteriori informazioni sull'aggiunta di un'intestazione di consenso, vedere Aggiunta di un'intestazione di consenso
nella Guida all'installazione e alla configurazione di Sentinel.
Dopo aver aggiunto l'intestazione di consenso, è necessario accettare i termini dell'intestazione stessa ogni volta che si esegue il login a Sentinel.
In Sentinel è ora supportata l'autenticazione LDAP a più server e domini LDAP, per utenti univoci. Per ulteriori informazioni sull'autenticazione LDAP a più server e domini LDAP, vedere LDAP Authentication Against Multiple LDAP Servers Or Domains
(Autenticazione LDAP a più server o domini LDAP) nella Sentinel Administration Guide (Guida all'amministrazione di Sentinel).
Le nuove installazioni di Sentinel 8.2 includono versioni nuove e aggiornate dei plug-in di Sentinel. Tali versioni includono le correzioni software più recenti, gli aggiornamenti della documentazione e i miglioramenti apportati ai plug-in. Per ulteriori informazioni, consultare la documentazione specifica dei plug-in nel sito Web dei plug-in di Sentinel.
Le installazioni di upgrade di Sentinel includono nuovi plug-in, fra i quali Universal Common Event Format Collector 2011.1r1 e HTTP Server Connector 2018 1.r1. Inoltre, viene automaticamente eseguito l'aggiornamento all'ultima versione solo dei plug-in seguenti:
Syslog Connector 2018.1r2: il connettore è ora in grado di ricevere gli eventi in formato CEF.
Sentinel Link Collector 2011.1r3: il servizio di raccolta supporta ora il metodo di connessione HTTPSERVER che consente l'analisi sintattica degli eventi da Change Guardian e Secure Configuration Manager mediante HTTP Server Connector.
Oltre a questi miglioramenti, i plug-in aggiornati includono anche svariate correzioni software.
Per eseguire l'upgrade di altri plug-in alla versione più recente, effettuare il download del plug-in desiderato dal sito Web dei plug-in di Sentinel. Per ulteriori informazioni, consultare la documentazione specifica del plug-in.
In questa release è stata risolta una potenziale vulnerabilità di divulgazione di informazioni (CVE-2018-7675). (Bug 1080555)
I campi evento di Sentinel includono ora la colonna TargetDataHash, in cui viene visualizzato il valore hash dell'oggetto Dati. Di conseguenza, i valori hash non vengono più popolati nel campo Messaggio e sono ora ricercabili. (Bug 1069674)
In Sentinel principale > Memorizzazione > Stato, i grafici a torta ora visualizzano l'utilizzo del disco per la memorizzazione su disco complessiva e non solo la memorizzazione allocata a Sentinel.
Gli amministratori possono ora modificare le loro password mediante l'API REST, solo dopo aver fornito la password attuale.
Le piattaforme certificate di Sentinel hanno subito numerosi aggiornamenti. Per ulteriori informazioni sulle piattaforme certificate, consultare la pagina Web delle informazioni tecniche su Sentinel.
SUSE Linux Enterprise Server 12 SP3 a 64 bit (installazione tradizionale e in modalità applicazione)
Red Hat Enterprise Linux Server 7.5 a 64 bit (installazione tradizionale)
Red Hat Enterprise Linux Server 7.4 a 64 bit (installazione tradizionale)
Red Hat Enterprise Linux Server 6.9 a 64 bit (installazione tradizionale)
Elasticsearch 5.6.3
Microsoft SQL Server 2017
Security Agent for UNIX 7.5.1
Sentinel include Java 8 Update 162, il quale contiene correzioni per numerose vulnerabilità della sicurezza.
Poiché Sentinel supporta TLS 1.2 e TLS 1.1, TLS 1.0 è obsoleto e verrà rimosso in futuro. Se si dispone di eventuali client esterni che comunicano (in entrata o in uscita) con il server Sentinel, come ad esempio API REST o database esterni per la sincronizzazione dati, verificare che utilizzino almeno TLS 1.1 per la comunicazione.
In Sentinel 8.2 sono incluse correzioni software che risolvono numerosi problemi.
Alcune istanze di azioni pronte all'uso sono associate a un'istanza errata dell'integratore
Impossibile sincronizzare i dati con il database Oracle utilizzando il nome del servizio
Errore di autorizzazione negata visualizzato durante l'installazione o l'upgrade di Sentinel
Il numero di campi evento è zero nel pannello Ottimizza delle ricerche
In Sentinel viene richiesta la password dell'archivio chiavi
I risultati delle ricerche non vengono ordinati con una precisione di millisecondi
Errore di autorizzazioni insufficienti visualizzato nella pagina Dettagli avviso
Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6
Problema: se nella memorizzazione di rete è presente un numero elevato di file di dati non elaborati e se viene avviato il task di monitoraggio della permanenza dei dati non elaborati quando il carico del sistema è elevato, si verifica un dump della memoria e Sentinel viene chiuso. (Bug 1067897)
Correzione: in Sentinel sono stati ottimizzati i metodi utilizzati per ottenere l'elenco dei file di dati non elaborati in modo che nel buffer vengano memorizzati solo i file che devono essere considerati scaduti invece che tutti i file e le directory, così da evitare il problema di dump della memoria.
Problema: in Sentinel Control Center > Gestione azioni, alcune istanze di azioni pronte all'uso come Registra in SysLog e Invia un trap SNMP sono erroneamente associate all'istanza dell'integratore di file. (Bug 976191)
Correzione: l'azione Registra in SysLog è ora associata all'istanza dell'integratore Syslog e l'azione Invia un trap SNMP è ora associata all'istanza dell'integratore snmp.
Quando si creano policy di sincronizzazione dati per il database Oracle è ora possibile specificare il nome del database o del servizio. (Bug 1057613)
Problema: in Sentinel viene visualizzato l'errore seguente durante l'installazione o l'upgrade:
/tmp/install-sentinel.5133.vDt4E1AOea/rpmpp.py: Autorizzazione negata
Tuttavia, l'installazione e l'upgrade di Sentinel vengono completati. (Bug 1025472)
Correzione: l'errore Autorizzazione negata non viene più visualizzato.
Problema: quando si tenta di perfezionare i criteri mentre è in corso una ricerca, il numero di campi evento nel pannello Ottimizza è pari a zero. (Bug 1062588)
Correzione: il pannello Ottimizza viene disabilitato fino al termine della ricerca.
In Sentinel non viene più richiesta la password a meno che la password di default dell'archivio chiavi non sia stata modificata. (Bug 1036860)
Problema: quando si tenta di impostare Sentinel in modalità FIPS, l'operazione non viene eseguita se si utilizza Mozilla Network Security Services (NSS) 3.29. La conversione ha esito negativo perché due file RPM dipendenti libfreebl3-hmac e libsoftokn3-hmac non sono disponibili. Sentinel continua a richiedere l'immissione della password dell'archivio chiavi. (Bug 1033224)
Correzione: il programma di installazione di Sentinel cerca i file RPM dipendenti e richiede di installarli.
I risultati delle ricerche degli eventi vengono ordinati con una precisione di millisecondi. (Bug 1060000)
Sentinel continua a provare a eseguire la connessione per 12 ore. Se il database esterno è ancora non raggiungibile, risincronizzare manualmente le policy di sincronizzazione dati. (Bug 1037631)
Problema: quando si accede alla pagina Dettagli avviso da Sentinel principale > Viste in tempo reale > Viste avvisi, viene visualizzato l'errore seguente: Le autorizzazioni dell'utente '<nome utente>' non sono sufficienti, anche se si dispone dell'autorizzazione Consenti agli utenti di gestire gli avvisi. (Bug 1090898)
Correzione: La pagina Alert Details (Dettagli avviso) si carica senza l'errore.
Le viste e i dashboard degli avvisi di Sentinel visualizzano ora avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874)
Problema: Quando si selezionano gli avvisi, i pulsantiChiudi e Commento sono disattivati. (Bug 1093233)
Correzione: è ora possibile chiudere o aggiungere commenti a più avvisi in una sola volta.
Per informazioni su requisiti hardware, sistemi operativi supportati e browser, visitare la pagina delle informazioni tecniche su Sentinel.
Per informazioni sull'installazione di Sentinel 8.2, vedere la Guida all'installazione e alla configurazione di Sentinel.
NOTA:Esistono alcuni problemi di utilizzo durante l'installazione dell'applicazione. Per ulteriori informazioni, consultare Sezione 5.7, Problemi relativi a semplicità di usabilità nelle schermate di installazione dell'applicazione.
È possibile eseguire l'upgrade a Sentinel 8.2 da Sentinel 8.0.0.1 e versioni successive.
NOTA:Sentinel utilizza Kibana per la visualizzazione e la ricerca di eventi nei dashboard. In Sentinel 8.2 è inclusa una versione aggiornata di Kibana. Di conseguenza, se si dispone di dashboard personalizzati, è necessario ricrearli dopo aver eseguito l'upgrade di Sentinel.
Alcuni dei dashboard di Sentinel che utilizzano Kibana non vengono caricati dopo l'upgrade a Sentinel 8.2. Questo problema si verifica in quanto è stato eseguito l'upgrade delle versioni di Elasticsearch e Kibana in Sentinel 8.2 e il file di indice di Kibana esistente non è compatibile con tali versioni di Elasticsearch e Kibana. Per risolvere questo problema, è necessario eliminare manualmente il file di indice di Kibana esistente e ricrearne uno nuovo. Per ulteriori informazioni, vedere l'articolo 7022736 della knowledgebase.
Per informazioni sull'upgrade a Sentinel 8.2, vedere Guida all'installazione e alla configurazione di Sentinel.
Micro Focus si impegna affinché i propri prodotti forniscano soluzioni di qualità in grado di soddisfare le esigenze software delle aziende. I seguenti problemi noti sono attualmente in fase di studio. Per ulteriore assistenza su un problema, rivolgersi al supporto tecnico.
L'aggiornamento Java 8 incluso in Sentinel potrebbe avere ripercussioni sui seguenti plug-in:
Connettore Cisco SDEE
Connettore (XAL) SAP
Integratore Remedy
Per eventuali problemi con tali plug-in, Micro Focus definirà le priorità e correggerà gli errori in base alle policy standard di gestione dei difetti. Per ulteriori informazioni sulle policy di supporto, vedere la pagina relativa alle policy di supporto.
Sezione 5.2, Informazioni errate su jquery nei rapporti di scansione delle vulnerabilità
Sezione 5.3, Errore durante l'upgrade a Sentinel 8.2 ad alta disponibilità.
Sezione 5.5, Impossibile avviare il dashboard di visualizzazione degli eventi
Sezione 5.8, Messaggio di errore durante l'avvio di Sentinel
Sezione 5.14, In Internet Explorer 11 i dashboard non vengono caricati come previsto
Sezione 5.17, Sentinel non elabora i feed di Threat Intelligence in modalità FIPS
Problema: in Hyper-V Server 2016 l'applicazione Sentinel non si avvia quando se ne esegue il riavvio e viene visualizzato il seguente messaggio:
A start job is running for dev-disk-by\..
Questo problema si verifica perché il sistema operativo modifica lo UUID del disco durante l'installazione. Di conseguenza, durante il riavvio non riesce a trovare il disco.
(Bug 1097792)
Soluzione: modificare manualmente il disco UUID. Per ulteriori informazioni, vedere l'articolo 7023143 della knowledge base.
Problema: con una versione vulnerabile di jquery, le scansioni di vulnerabilità segnalano problemi, come ad esempio il messaggio seguente:
The file 'jquery-1.11.3.min.js' includes a vulnerable version of the library 'jquery'.
La vulnerabilità indicata riguarda solo le versioni da 1.8.0 a 1.12.0, ma l'URL specificato esegue il reindirizzamento a una versione molto più recente di jquery (3.x). (Bug 1094393)
Soluzione: ignorare il problema, poiché si tratta di un falso positivo.
Problema: quando si esegue l'upgrade all'applicazione Sentinel 8.2 ad alta disponibilità, Sentinel visualizza il seguente messaggio di errore:
Installation of novell-SentinelSI-db-8.2.0.0-<version> failed:
with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Command exited with status 1.
Abort, retry, ignore? [a/r/i] (a):
(Bug 1099679)
Soluzione: prima di rispondere alla richiesta riportata sopra, completare le operazioni seguenti:
Avviare un'altra sessione utilizzando PuTTY o un software simile all'host in cui si sta eseguendo l'upgrade.
Aggiungere la voce riportata di seguito al file/etc/csync2/csync2.cfg:
/etc/opt/novell/sentinel/config/configuration.properties
Rimuovere la cartella di sentinel da /var/opt/novell:
rm -rf /var/opt/novell/sentinel
Tornare alla sessione in cui è stato avviato l'upgrade e immettere r per procedere con l'upgrade.
Problema: l'installazione delle applicazioni Collector Manager e Correlation Engine ha esito negativo nella modalità MFA se la lingua del sistema operativo non è l'inglese. (Bug 1045967)
Soluzione: installare le applicazioni Collector Manager e Correlation Engine utilizzando la lingua inglese. Al termine dell'installazione, modificare l'impostazione della lingua secondo necessità.
Problema: un problema impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308)
Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso.
Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1:
Failed to set encrypted password
(Bug 967764)
Soluzione: si tratta di un avviso previsto che può essere ignorato, poiché non ha alcun impatto sull'esecuzione dell'upgrade.
Problema: I pulsanti Avanti e Indietro nelle schermate di installazione dell'applicazione non vengono visualizzati o, in alcuni casi, sono disabilitati, ad esempio:
Quando fa clic su Indietro dalla schermata di verifica preliminare di Sentinel per modificare o rivedere le informazioni della schermata delle impostazioni di Sentinel, non è visualizzato alcun pulsante Avanti per proseguire l'installazione. Il pulsante Avanti consente di modificare solo le informazioni specificate.
Se sono state specificate impostazioni di rete non corrette, la schermata di verifica preliminare di Sentinel indica che non è possibile procedere con l'installazione a causa di informazioni di rete errate. Non è visualizzato alcun pulsante Indietro per tornare alla schermata precedente e modificare le impostazioni di rete.
(Bug 1089063)
Soluzione: Riavviare l'installazione dell'applicazione.
Problema: Sentinel visualizza il seguente messaggio durante l'avvio nel file server.log:
Il valore dell'attributo rv43 è troppo lungo
(Bug 1092937)
Soluzione: ignorare l'eccezione. Anche se viene visualizzato il messaggio, Sentinel funziona come previsto.
Problema: Quando è presente un numero elevato di eventi il cui periodo di conservazione è scaduto e si tenta di cancellare gli eventi da Elasticsearch SSDM, nel file di log viene visualizzata l'eccezione seguente:
java.net.SocketTimeoutException: Read timed out
(Bug 1088511)
Soluzione: ignorare l'eccezione. Questa eccezione si verifica a causa il tempo necessario per cancellare una grande quantità di dati. Anche se viene visualizzata l'eccezione, SSDM elimina gli eventi da Elasticsearch.
Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715)
Soluzione:
disinstallare Collector Manager e configurare il server Sentinel e il gestore del servizio di raccolta per risolvere il nome host nell'indirizzo IP e viceversa. Per ulteriori informazioni, vedere Resolving Hostnames and IP Addresses
(Risoluzione di nomi host e indirizzi IP) nella Sentinel Administration Guide (Guida all'amministrazione di Sentinel).
Problema: se si installa e si abilita manualmente la sincronizzazione dell'orario negli open-vm-tools, questi eseguono periodicamente la sincronizzazione dell'orario tra l'applicazione Sentinel (guest) e il server VMware ESX (host). Le sincronizzazioni dell'orario possono far sì che l'orologio del guest rimanga indietro o vada in avanti rispetto all'orario del server ESX. Fino a quando l'orario è sincronizzato tra l'applicazione Sentinel (guest) e il server ESX (host), Sentinel non elabora gli eventi. Di conseguenza, un numero elevato di eventi viene messo in coda in Collector Manager, il quale può infine rilasciare gli eventi una volta raggiunta la soglia. Per evitare questo problema, Sentinel consente di disabilitare di default la sincronizzazione dell'orario nella versione di open-vm-tools disponibile in Sentinel. (Bug 1099341)
Soluzione: disabilitare la sincronizzazione dell'orario. Per ulteriori informazioni su come disabilitare la sincronizzazione dell'orario, vedere Disabilitazione della sincronizzazione dell'orario.
Problema: quando in Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452)
Soluzione: utilizzare l'autenticazione SQL per Gestione agenti.
Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2.
Problema: in Internet Explorer 11, quando si avviano i dashboard:
Avvisi e Ricerca minacce, viene eseguito il reindirizzamento a Dashboard personali.
Attività utente, viene visualizzato un errore.
Il problema si verifica a causa della limitazione della lunghezza dell'URL in Internet Explorer 11. (Bug 1068418)
Soluzione: Effettuare le operazioni seguenti:
Avviare il dashboard di visualizzazione degli eventi.
Fare clic su Gestione > Impostazioni avanzate.
Impostare il valore di storeInSessionStorage su true.
Problema: il riavvio dei servizi Elasticsearch in Sentinel ha esito negativo con l'errore impossibile installare il filtro syscall dopo aver aggiunto il nodo Elasticsearch al cluster in RHEL 6. (Bug 1068600)
Soluzione: Effettuare le operazioni seguenti:
Eseguire il login al server Sentinel come utente novell.
Aprire il file /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml.
Impostare il valore di bootstrap.system_call_filter su false.
Riavviare i servizi Elasticsearch in Sentinel:
rcsentinel stopSIdb
rcsentinel startSIdb
Problema: quando si utilizza il comando Keytool, viene visualizzato l'avviso seguente: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12which is an industry standard format using "keytool -importkeystore -srckeystore /<directory_di_installazione_di_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -destkeystore /<directory_di_installazione_di_sentinel>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -deststoretype pkcs12". (Bug 1086612)
Soluzione: si tratta di un avviso previsto che può essere ignorato, Anche se viene visualizzato l'avviso, il comando Keytool funziona come previsto.
Problema: in modalità FIPS, quando si elaborano feed pronti all'uso di Threat Intelligence provenienti da URL, in Sentinel viene visualizzato il seguente errore: Received fatal alert: protocol_version. Questo problema si verifica poiché i feed di minacce pronti all'uso ora supportano solo TLS 1.2, che non funziona nella modalità FIPS. (Bug 1086631)
Soluzione: Fare clic su Sentinel Principale > Integrazione > Origini di Threat Intelligence. Modificare l'URL per passare dal protocollo http ad https.
Problema: se Sentinel è integrato con la modalità MFA di NetIQ Advanced Authentication Framework, non viene eseguito il logout dai dashboard di Sentinel quando si esegue il logout da Sentinel principale e viceversa a causa di un problema di Advanced Authentication Framework. (Bug 1087856)
Soluzione: in attesa che sia resa disponibile una correzione in Advanced Authentication Framework, aggiornare la schermata per visualizzare la schermata di login.
Problema: Quando si esegue l'upgrade a Sentinel 8.2 nella modalità ad alta disponibilità, l'avvio della console di gestione dell'applicazione Seneit causa la visualizzazione di un errore. (Bug 1093574)
Soluzione: dopo l'installazione o l'upgrade a Sentinel 8.2, se l'errore viene visualizzato dopo un failover, eseguire questo comando per riavviare i servizi Sentinel:
systemctl restart vabase-datamodel.service vabase-jetty.service vabase.service
Per ulteriori informazioni su note legali, marchi, dichiarazioni di non responsabilità, garanzie, esportazioni e altre limitazioni di utilizzo, diritti limitati dal governo degli Stati Uniti, politiche sui brevetti e conformità FIPS di NetIQ, consultare http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Tutti i diritti riservati.