Sentinel 7.4には、新機能が追加され、さらに使いやすくなっており、以前にあった問題もいくつか解決されています。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「NetIQ Communities」のSentinelフォーラムからお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、Sentinel NetIQ Documentationページに掲載されている本マニュアルのHTML版で、各ページの下にある[comment on this topic]をクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
このリリースノートの最新バージョンは、『Sentinel 7.4リリースノート』を参照してください。
次のセクションでは、本リリースの主な機能と拡張、さらに解決された問題について概説します。
現在Sentinelは次のプラットフォームでテストされ、認定されています。
オペレーティングシステム: SUSE Linux Enterprise Server (SLES) 11サービスパック4 (64ビット)。
SLES 11 SP4は従来のインストールでのみ認定されています。
データ同期: Microsoft SQL Server 2014.
認定プラットフォームの詳細は、『Technical Information for Sentinel』ページを参照してください。
Sentinelでは、[レポートの管理]許可に加えて、さらにきめ細かいレポート許可が使用できるようになりました。これにより、ユーザに特定のレポート操作を許可しながら、他のレポート操作は制限することができます。
レポートのインポート: [レポートの管理]許可でできることは、レポートの作成、エクスポート、実行、および削除のみになりました。レポートをインポートするには、[レポートのインポート]許可が必要になりました。
レポートの実行: レポートの実行のみを行うことができます。
レポートの共有: 他の役割とレポートを共有することができます。
許可の詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Roles and Users
」を参照してください。
レポートを他の役割と共有できるようになりました。また、導入後直ちに使用可能なレポートにアクセスできるユーザを制御することもできます。
他の役割とレポートを共有する: レポートの所有権を完全に移行することなく、レポートを他の役割と共有できます。レポートを他の役割と共有する場合、その役割のユーザは自らが所有しているレポート許可に応じてそのレポートを表示したり、実行することができますが、レポートを削除することはできません。
導入後直ちに使用可能なレポートへのアクセスの制限: デフォルトでは、導入後直ちに使用可能なレポートは、すべてのSentinelユーザが見ることができます。これらのレポートの結果に機密の監査データが含まれている場合があります。こういったデータについては、すべてのユーザにアクセスを許可したくないでしょう。これらのレポートは、自分だけ、自分と同じ役割のユーザ、または必要に応じて選択した役割のユーザにのみ表示されるように制限できます。
メモ:導入後直ちに使用可能なレポートについては、管理者の役割のユーザのみが表示を制限できます。
詳細については、『NetIQ Sentinel User Guide』の「Working with Reports
」を参照してください。
アラートを適切に調査した後に、深刻な問題があり、セキュリティアナリストに依頼してアラートをさらに詳しく調査する必要があると判断する場合があります。Sentinelでは、アラート調査の一環で実行したすべての作業を失うことなく、そのようなアラートをインシデントにエスカレートすることができるようになりました。アラートのインシデントへのエスカレートの詳細については、『NetIQ Sentinel User Guide』の「Escalating Alerts to an Incident
」を参照してください。
[アラートの詳細]ページに[検索]アイコンが付きました。このアイコンから、アラートをトリガしたイベントの検索を開始することができます。イベントが表示されたら、[検索]ページで他のイベントに対して実行する場合と同様の方法で、アラートトリガイベントに対して必要なアクションを実行できます。[アラートの詳細]ページの表示の詳細については、『NetIQ Sentinel User Guide』の「Viewing Alerts
」を参照してください。
シーケンスタイムアウトという名前の新しい相関ルールタイプが提供されています。このルールは、指定されたシーケンスで1つ以上のイベントが発生しない状況を検出します。シーケンスタイムアウトルールは、指定された時間枠内で、1つめのサブルールに一致するイベントの後に2つめのサブルールに一致するイベントが続かないときに発動されます。たとえば、サーバが停止したあと5分以内に再起動しなかった、というシナリオを検出するシーケンスタイムアウトルールを作成することができます。シーケンスタイムアウトルールの詳細については、『NetIQ Sentinel User Guide』の「Sequence Timeout Rule
」を参照してください。
コレクタマネージャと相関エンジンをインストールして設定するときに、activemqusers.propertiesファイルからユーザ証明書をコピーする必要がなくなりました。セキュリティと同時に使いやすさも高めるために、管理ユーザの証明書を使用して、コレクタマネージャと相関エンジンを設定できるようになりました。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「Sentinelのインストール
」を参照してください。
SSL接続を確立して、Sentinelサーバと外部データベースとの間に、セキュアで暗号化された通信チャネルを確立できるようになりました。詳細については、『NetIQ Sentinel Administration Guide』の「Enabling SSL Communication for Data Synchronization
」を参照してください。
Sentinel 7.4には、いくつかのセキュリティ脆弱性に対する修正を含むJava 8 Update 60が含まれています。
メモ:対応するJavaセキュリティ脆弱性の修正は、NetIQ Change Guardian 4.2以降で使用できます。そのため、Change Guardianからイベントを受信するには、Change Guardian 4.2以降をインストールする必要があります。Sentinelにイベントを送信するChange Guardianサーバをすでに使用している場合は、Sentinel 7.4にアップグレードする前に、まずChange Guardianサーバ、エージェント、Policy Editorをバージョン 4.2にアップグレードし、アップグレード後も継続してSentinelがChange Guardianからイベントを確実に受信できるようにしてください。
Sentinel 7.4には、いくつかのセキュリティ脆弱性に対する修正を含むPostgreSQL 9.4.1が組み込まれています。
Sentinel 7.4には、新規または更新されたバージョンのSentinelプラグインが組み込まれています。最新バージョンのコレクタおよびコネクタは、新規インストールを実行した場合にのみ使用可能です。最新バージョンのインテグレータおよびアクションは、新規およびアップグレードインストールの両方で使用できます。Sentinel 7.4をアップグレードインストールする場合は、SentinelプラグインWebサイトにアクセスして、指定のドキュメントに示されている最新コレクタおよびコネクタの改訂履歴を確認し、どのプラグインをダウンロードしてインストールするべきか判断してください。
Sentinel 7.4には、いくつかの問題を解決するソフトウェア修正が含まれています。
以前のリリースでのソフトウェアの修正および機能拡張のリストについては、特定のリリースノートを参照してください。
問題: 新しいユーザの作成中に[保存]を複数回クリックすると、Sentinelは同じユーザのエントリに対して複数のユーザを作成しようとして、例外をログに記録する。(BUG 944475)
修正: [保存]をクリックしたあと、新しいユーザレコードが保存されるまで保存ボタンが無効にされます。また、Sentinelでは一度に1つのユーザエントリしか作成できません。これらによって、同じユーザに複数のエントリが保存されないようになっています。
問題: Sentinel Agent Managerがデフォルトのシステムロケールに設定されていると、Sentinel Agent Manager ConnectorはObserverEventTimeイベントフィールドに正しくないデータを表示する。そのため、システム言語によって日付と時間の値が変わる。(BUG 929551)
修正: Sentinel Agent Managerのシステム言語に関係なく、Sentinel Agent Manager ConnectorはObserverEventTimeイベントフィールドに正しいデータを表示するようになりました。
問題: 潜在的な攻撃者がSentinel Webインタフェースにクリックジャックを引き起こしかねないコンテンツを組み込むおそれがある。(BUG 949924)
修正: Sentinel Webインタフェースに外部コンテンツを含めることが一切許可されなくなりました。
問題: アクション(アラートの作成以外のアクション)と相関ルールを関連付けたり、関連付けを解除すると、カスタマイズされた相関イベントフィールドが失われる。(BUG 949389)
修正: アクションと相関ルールを関連付けたり、関連付けを解除しても、カスタマイズされた相関イベントフィールドが失われなくなりました。
問題: コレクタマネージャのインストール時に、「$」、「"」、「\」、または「/」などの特殊文字が含まれているパスワードを指定すると、インストールが失敗してエラーになる。(BUG 812111)
修正:
コレクタマネージャのインストールプロセスが変更されました。コレクタマネージャのユーザ証明書を指定する必要はありません。ユーザは管理者のユーザパスワードを指定する必要があります。このパスワードには特殊文字を使用できます。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「Sentinelのインストール」にある「コレクタマネージャと相関エンジンのインストール
」セクションを参照してください。
問題: NetIQ Security ManagerからSentinel Agent Managerに移行した後も、一部のSecurity Managerデータベースが残る。これらのデータベースは、Sentinel Agent Managerで関連付けを解除する必要がある。(BUG 920939)
修正: マイグレーションの完了後、Security ManagerデータベースがSentinel Agent Managerで関連付けが解除されるようになりました。
問題: Sentinelをアンインストールした後にSentinelをインストールすると、Sentinelのインストールが失敗する。(BUG 924567)
修正: この問題を解決するために、Sentinelのインストールプロセスが更新されました。現在は、Sentinelのアンインストール後にSentinelをインストールできます。
問題: 検索結果で、カスタマ変数を使用するイベントフィールドが、イベントフィールドの表示名ではなく短い名前で表示される。(BUG 950361)
修正: 検索結果にイベントフィールドのフルネームが表示されるようになりました。
問題: その他系列の項目に大量の値があると、データの適切なパースペクティブが失われるため、リアルタイムイベントビューが使用できなくなる。(BUG 948003)
修正: その他系列の項目はデフォルトでは無効になりました。その他系列の項目を使用する場合は、イベントビューの[その他]をクリックして、有効にします。
問題: EPSが高いと、イベントビューの面タイプのグラフがはっきり見えない。(BUG 947891)
修正: イベントビューを積み重ね面グラフで表示するようになりました。
問題: ナビゲーションパネルに使用可能なダッシュボードの数が表示されない。(BUG 948081)
修正: 使用可能なダッシュボードの数が表示されるようになりました。
問題: 凡例の名前が長すぎると、名前が大きなスペースを占めることになり、グラフが正しく表示されない。(BUG 949310)
修正: 凡例名が長すぎる場合は、24文字で切り捨てるようになりました。
問題: EPSHistory REST APIを呼び出すと、eps.dataを読み込む新しいファイルデスクリプタが作成され、閉じなくなる。このため、オーファンファイルデスクリプタが生成される。(BUG 947974)
修正: ファイルデスクリプタが正しく閉じられるようになりました。
ハードウェア要件、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、Sentinel技術情報ページを参照してください。
Sentinel 7.4のインストールに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
Sentinel 7.0以降からSentinel 7.4にアップグレードすることができます。
Sentinel 7.4はChange Guardian 4.2以降と互換性があります。Sentinelにイベントを送信するChange Guardianサーバを使用している場合は、Sentinel 7.4にアップグレードする前に、まずChange Guardianサーバ、エージェント、Policy Editorをバージョン 4.2にアップグレードし、アップグレード後も継続してSentinelがChange Guardianからのイベントを確実に受信できるようにしてください。
NetIQダウンロードWebサイトからSentinelインストーラをダウンロードしてください。Sentinel 7.4へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド
』の「Sentinelのアップグレード」を参照してください。
WebYaSTを使用してアプライアンスをアップグレードできるのは、Sentinelバージョン7.3.2以降のみで、かつ『Sentinel 7.3.2リリースノート』の「Upgrading NetIQ Change Guardian RPM
」で説明されている方法でNetIQ Change Guardian RPMを手動でアップグレードした場合です。
Sentinel 7.3.2より前のバージョンからアプライアンスをアップグレードする場合、アップグレードを完了するためにユーザによる操作が必要となるため、zypperコマンドラインユーティリティを使用する必要があります。WebYaSTでは、必要とされるユーザとのやり取りを実行できません。zypperを使用したアプライアンスのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード
」を参照してください。
(BUG 956278)
Sentinel 7.2.2以前のバージョンをアップグレードする場合は、次のアクションを実行してください。
アップグレードすると、検索プロキシユーザ役割には[ユーザにアラートの管理を許可]の許可がなくなります。その役割がリモートのアラート検索を実行するには、この許可が必要です。検索プロキシユーザの役割に手動で[ユーザにアラートの管理を許可]の許可を割り当ててください。
詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Roles and Users
」を参照してください。
新しいバージョンのSentinelとSentinelのマニュアルの整合性を保つには、アップグレードした後、検索プロキシユーザの役割の名前をデータプロキシユーザに変更します。
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
Sentinel 7.3.1以降に含まれるJava 8のアップデートとセキュリティ脆弱性の修正は、次のプラグインに影響を与えることがあります。
Cisco SDEEコネクタ
SAPコネクタ
Remedy Integrator
これらのプラグインの問題について、NetIQが標準の欠陥処理ポリシーに従って問題の優先度を定め、修正します。サポートポリシーの詳細については、サポートポリシーを参照してください。
セクション 5.2, アクティブなノードで環境設定ファイルを変更すると、Sentinel高可用性の同期は手動で開始する必要がある
セクション 5.3, Sentinelをバージョン7.3.1以降にアップグレードした後、Sentinel UNIXエージェント7.4からイベントを受信できない
セクション 5.4, Sentinelアプライアンスをバージョン7.3.1以降にアップグレードした後にNFSストレージを構成するとエラーが発生する
セクション 5.5, Sentinelを7.3.1より前のバージョンから7.3.1以降のバージョンにアップグレードするときのSentinelサーバログの例外
セクション 5.6, Sentinelをバージョン7.3.1以降にアップグレードした後、Secure Configuration Managerからイベントを受信できない
セクション 5.9, 関連付けられているコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタはイベントの接続モードプロパティを設定しない
セクション 5.11, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 5.18, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 5.19, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
セクション 5.21, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 5.22, FIPS 140-2モードのSentinelが、セキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできない
セクション 5.24, SentinelはSentinelアプライアンスネットワークインタフェースをデフォルトで設定しない
セクション 5.30, FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 5.31, 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 5.32, WebYaSTでSentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗する
セクション 5.37, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
セクション 5.38, SentinelエージェントマネージャがNULL値のWindows挿入文字列フィールドをキャプチャしない
問題: コレクタマネージャまたは相関エンジンのカスタムインストール環境でconfigure.shスクリプトを実行すると、Sentinelによって次のエラーが表示される。
Error getting the client keystore file. Refer to /two/var/opt/novell/sentinel/log/install.log for detailed error messages.
(BUG 956466)
解決策: エラーを無視してください。環境設定は想定通りに続行されます。
問題: Sentinel高可用性(HA)では、環境設定ファイルを更新する、またはアクティブノードのSentinel Webインタフェースを変更することで、Sentinelをカスタマイズすると、その変更はパッシブノードに反映されません。手動で同期を開始する必要があります。
たとえば、次に示すシナリオでは、手動で同期を開始する必要があります。
以下のように/etc/opt/novell/sentinel/config/databasePlatforms.xmlファイルのプロパティを更新することにより、通信プロトコルをSSLに変更した場合。
ssl=require
SentinelがFIPSモードになっていると、すべてのパッシブノードをFIPSモードに変換する同期は、完全には実行されません。そのようなシナリオでフェールオーバーが発生すると、Sentinel Webインタフェースが起動しません。
アクティブノードのLDAP設定を変更すると、変更はパッシブノードに同期されません。このため、パッシブノードでLDAPアカウントを認証することができません。
(BUG 956702およびBUG 954472)
解決策: 環境設定ファイルを変更するときや、Sentinel Webインタフェースで行った変更のためにファイルが変更されたときには、次の手順を実行して、そのファイルまたはディレクトリを手動で同期するために追加します。
アクティブノードにrootユーザとしてログインします。
次の行を/etc/csync2/csync2.cfgファイルに追加して、同期させるファイルまたはディレクトリを追加します。
include <ファイル名またはディレクトリ>;
次に例を示します。
/etc/opt/novell/sentinel/config/databasePlatforms.xmlファイルで通信プロトコルをSSLに変更した場合は、次の行を追加します。
include /etc/opt/novell/sentinel/config/databasePlatforms.xml;
パッシブノードをFIPSモードに同期させるには、次の行を追加します。
include /etc/opt/novell/sentinel/config/nonfips_backup;
LDAP設定を更新した場合は、次の行を追加します。
include /etc/opt/novell/sentinel/config/auth.login;
次のコマンドを実行して、手動で同期を開始します。
csync2 -x -v
これで、すべてのパッシブノードに更新が同期されます。
問題: Sentinel 7.3.1に組み込まれたセキュリティ脆弱性の修正により、セキュリティ保護接続のための通信メカニズムに変更が加えられました。この変更はSentinel UNIXエージェント7.4と互換性がありません。そのため、SentinelはSentinel UNIXエージェント7.4からのイベントを受け取ることができません。(BUG 953990)
解決策: 現時点で解決策はありません。この問題は、互換性のあるSentinel UNIXエージェントのバージョンが入手できるようになったときに解決されます。
問題: Sentinelアプライアンスをバージョン 7.3.1以降にした後、NFSをセカンダリストレージの場所として設定しようとすると、Sentinelがエラーを表示します。(BUG 934851)
解決策: Sentinelアプライアンスをアップグレードした後、次のコマンドを使用してSLESオペレーティングシステムを再起動します。
init 6
問題: Sentinelをバージョン7.3からバージョン7.3.1にアップグレードし、Sentinelサーバを再起動すると、以下の例外がサーバログに記録されます。
Invalid length of data object ......
(BUG 933640)
解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。
問題: Sentinelは、Secure Configuration Managerとの通信にDiffie-Hellmanプロトコルを使用します。Logjamの脆弱性の修正の一部として、SentinelでのDiffie-Hellmanプロトコル用証明書キーサイズが大きくされ、2048になりました。しかし、Secure Configuration Managerでは、デフォルトの証明書キーサイズ(1024)が使用されています。この不一致のため、Secure Configuration ManagerがSentinelと通信できなくなります。(BUG 935987)
解決策: Secure Configuration Managerの修正が利用できるようになるまでは、以下の手順を実行できます。
警告:この解決策を実行すると、Sentinel 7.3.1リリースノートにあるセキュリティ脆弱性の修正
で明記されたLogjam脆弱性の修正が上書きされます。
novellユーザとしてログインし、/etc/opt/novell/sentinel/config/configuration.propertiesファイルを開きます。
次の行の先頭に#を入力して、コメントアウトします。
jdk.tls.ephemeralDHKeySize=2048
Sentinelを再起動します。
問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(BUG 924874)
解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。
問題: SentinelリンクコネクタにBar Mitzvahセキュリティ脆弱性がある。Sentinelリンクコネクタでは、SSLおよびTSLプロトコルでRC4アルゴリズムが使用されており、そのためにストリームの先頭バイトに対するプレーンテキスト回復攻撃が可能になる場合があります。詳細については、CVE-2015-2808を参照してください。(BUG 933741)
解決策: Sentinelリンクコネクタバージョン2011.1r4以降でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。
問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(BUG 880564)
解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。
問題: Sentinelエージェントマネージャは、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ構成の値を無視して、ファイルサイズが10 MBに達すると生データファイルへの書き込みを停止します。(BUG 867954)
解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinelエージェントマネージャが新しいデータを書き込めるようになります。
問題: Sentinel のアップグレードされたインストール環境で、Webインタフェースのヒントテーブルのアラート属性を検索すると、検索はアラートフィールドの完全なリストを返しません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(BUG 914755)
解決策: 現時点で解決策はありません。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(BUG 913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(BUG 908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[この基準に一致するイベントのみ]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、NOT sev:[0 TO 5]と入力します。
[システムイベントの表示]を選択します。
[すべてのイベントデータを表示(生データとNetFlowデータを含む)]を選択します。
問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[イベントフィールド]パネルがスケジュールページにありません。(BUG 900293)
解決策: Sentinelをアップグレードしたら、スケジュールページに[イベントフィールド]パネルが表示されるように、検索を再作成して再スケジュールします。
問題: ルールの相関要約ページの[アクティビティ統計情報]パネルの[起動回数]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(BUG 912820)
解決策: イベント検索ページの[開始]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[検索]をクリックします。
問題: アラートビューで[すべて選択]をクリックしてアラートを選択し、いくつかを選択解除し、そしてアラートを変更すると、更新されたアラートビューで新着アラートも選択されています。変更するために選択したアラート数が間違っているだけでなく、新しい着信アラートも変更されているように見えてしまいます。しかし、初めに選択したアラートのみが変更されています。(BUG 904830)
解決策: カスタムの時間範囲でアラートビューを作成すると、新着アラートがアラートビューに表示されません。
問題: 毎秒あたりのイベント数(EPS)の高いロードがあるSentinelシステムに、過去のセキュリティインテリジェンス(SI)データをロードしようとすると時間がかかります。(BUG 908599)
解決策: 過去データを含むセキュリティインテリジェンスダッシュボードを作成する場合、可能であれば、システムのロードが少ないときにダッシュボードを展開するようにしてください。現時点ではほかの解決策はありません。
問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(BUG 912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(BUG 913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(BUG 914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートコレクタマネージャがイベントを送信するとEPSが50%減少します。(BUG 906715)
解決策: 現時点で解決策はありません。
問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(BUG 915241)
解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。
問題: 非rootユーザによってインストールされ、FIPS 140-2モードで構成された、Sentinelのカスタムインストールから、Sentinelをアップグレードすると、セキュリティインテリジェンスデータベースおよびアラートダッシュボードが起動しない場合があります。(BUG 916285)
解決策: 次の手順を実行します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/binにアクセスして、Sentinelインデックスサービスについて確認します。
次のコマンドを実行します。
./si_db.sh status
次の出力が表示されているかを確認します。
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
上記の3つのいずれかのサービスが実行されていない場合、次の手順を実行します。
次のコマンドを実行してSentinelを停止します。
rcsentinel stop
Sentinelサーバにnovellユーザでログインします。
次のコマンドを実行します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/si_db.sh startnoauth
次のコマンドを実行して、dbauserユーザとappuserユーザを追加します。
cd <カスタムインストールディレクトリ>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
次のコマンドを実行して、MongoDBデータベースを停止します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/si_db.sh stop
次の手順を実行して、暗号化パスワードフィールドを追加します。
次のコマンドを実行して、novellユーザの暗号化パスワードを取得します。
<カスタムインストールディレクトリ>/opt/novell/sentinel/bin/encryptpwd -e novell
暗号化パスワードが表示されます。次に例を示します。
bVWOzu6okMmMCkgM0aHeQ==
configuration.propertiesファイルで、baselining.sidb.passwordプロパティおよびbaselining.sidb.dbpasswordプロパティの暗号化パスワードをアップデートします。たとえば、次のように入力します。
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
novellユーザアカウントからログアウトして、次のコマンドを使用してrootユーザとしてSentinelを起動します。
rcsentinel start
メモ:configure.shスクリプトを実行して、必要に応じてパスワードをリセットします。configure.shスクリプトの実行の詳細については、『NetIQ Sentinelインストールと設定ガイド』の「インストール後の環境設定の変更
」を参照してください。
問題: Sentinelアプライアンスのインストール時にネットワークインタフェースがデフォルトで構成されません。(BUG 867013)
解決策: ネットワークインタフェースを構成するには、次のようにします。
[ネットワーク環境設定]ページで、[ネットワークインタフェース]をクリックします。
ネットワークインタフェースを選択して、[編集]をクリックします。
[Dynamic Address]を選択して、[DHCP]か[Static assigned IP Address]のどちらかを選択します。
[Next]をクリックしてから[OK]をクリックします。
問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(BUG 834874)
解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。
検索結果をエクスポートする際、エクスポートファイル名から特殊文字(ASCII文字以外)を除く。
オペレーティングシステム言語設定でUTF-8を有効にし、マシンを再起動してから、Sentinelサーバを再起動する。
問題: ディスク容量が2TBを超えるシステムで、Sentinelがインストール後に自動で起動しないことがあります。(BUG 846296)
解決策: ワンタイムアクティビティとして、次のコマンドを指定し、Sentinelサービスを手動で開始してください。
rcsentinel start
問題: Sentinelアプライアンスのインストールで、KerberosモジュールにKerberos認証を設定すると、Kerberosクライアントの環境設定が成功したという確認メッセージがコンソールに表示されます。しかし、Kerberosモジュールを再度表示すると、[Enable Kerberos Authentication]の選択が解除されています。(BUG 843623)
解決策: 現時点で解決策はありません。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(BUG 804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(BUG 814452)
解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。
問題: FIPS 140-2モードが有効である場合、Sentinel高可用性インストールを実行すると、次のエラーが表示されます。
Sentinelサーバconfiguration.propertiesファイルは正しくありません。環境設定ファイルを確認し、SentinelサーバでFIPSモードを有効にするためにconvert_to_fips.shスクリプトを再度実行してください。
しかし、インストールは正常に完了します。(BUG 817828)
解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性の環境設定はFIPS 140-2モードで正常に動作します。
問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(BUG 810764)
解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。
問題: アップグレードパッケージのベンダがNovellからNetIQに変更されたため、Sentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗します。(BUG 780969)
解決策:
アプライアンスのアップグレードにはzypperコマンドを使用してください。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード
」を参照してください。
問題: 同じ名前の相関ルールがすでにシステムに存在する場合、ソリューションマネージャで相関ルールがインストールされない。NullPointerExceptionエラーがコンソールのログに記録されます。(BUG 713962)
解決策: すべての相関ルールに固有の名前を付けるようにしてください。
問題: WebインタフェースからSentinelリンクアクションを実行すると、Sentinelコントロールセンターから実行したSentinelリンクコネクタのインテグレータテストが失敗しても、Sentinelに成功メッセージが表示される。(BUG 710305)
解決策: 現時点で解決策はありません。
問題: セキュリティインテリジェンスダッシュボードとアノマリー定義に同じ名前が付いていると、[アノマリーの詳細]ページでダッシュボードリンクが無効になります。(BUG 715986)
解決策: ダッシュボードとアノマリー定義を作成するときは、固有の名前を使用してください。
問題: Sentinel WebインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れていると、Sentinel Webインタフェースで[アクティブな検索ジョブ]の[期間]と[アクセス]列に負の数字が表示される。たとえば、Sentinel Webインタフェースのクロックが1:30PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、[期間]と[アクセス]の列に負の数字が表示されます。(BUG 719875)
解決策: Sentinel Webインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(BUG 870609)
解決策: 現時点で解決策はありません。
問題: イベントデータの収集中、SentinelエージェントマネージャはNULL値のWindows挿入文字列フィールドをキャプチャしません。(BUG 838825)
解決策: 現時点で解決策はありません。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
保証と著作権、免責事項、保証、エクスポートおよびその他の使用制限、米国政府の限定的権利、特許ポリシー、およびFIPSコンプライアンスの詳細については、http://www.netiq.com/company/legal/を参照してください。
Copyright © 2015 NetIQ Corporation. All Rights Reserved.
NetIQの商標については、http://www.netiq.com/company/legal/を参照してください。サードパーティの商標は、それぞれの所有者に属します。