Sentinel 8.2 包含新的功能,改进了可用性,并解决了多个以前存在的问题。
其中的很多改进都是直接按照我们客户提供的建议做出的。非常感谢您在百忙之中为我们提供宝贵的意见。我们衷心希望您继续为我们提供意见,以确保我们产品满足您的一切需求。您可以在 Sentinel 论坛中发布反馈,这一论坛是我们的线上社区,其中还有产品信息、博客和有用资源的链接。您还可以在想法门户中共享改善产品的想法。
我们在一个公开网页(无需登录)上以 HTML 和 PDF 格式提供了此产品的相关文档。如果您对文档改进有任何建议,请单击发布在 Sentinel 文档页的 HTML 版本文档的任一页上的评论图标。要下载本产品,请参见产品下载网站。
以下部分概述了此版本提供的关键特性和功能,以及在此版本中解决的问题:
Sentinel 使用 ArcSight SmartConnector 从 Sentinel 不直接支持的各种类型事件来源(如 Office 365)中收集事件。SmartConnector 从支持的设备收集事件,将事件规范化为通用事件格式 (CEF),并通过 Syslog Connector 将事件转发到 Sentinel。然后,Connector 将事件转发到 Universal Common Event Format Collector 进行分析。
有关为 Sentinel 配置 SmartConnector 的更多信息,请参见 Sentinel 插件网站中的 Universal Common Event Format Collector 文档。
Sentinel 现在允许您利用 ArcSight SmartConnector 收集 NetFlow 数据以及 IP 流(IPFIX、JFlow、sFlow 等)数据。IP 流数据说明主机之间有关所有网络连接的基本信息,包括已传输的数据包和字节。从而帮助您将独立主机或整个网络的行为可视化。分析和可视化事件时可使用 IP 流数据。IP 流数据是作为事件收集的,因此 EPS 计数会将其考虑在内。
要配置 IP 流数据收集,请安装并配置 ArcSight SmartConnector。配置时,确保配置收集 IP 流数据的相关 SmartConnector。有关更多信息,请参见 Sentinel 插件网站中的 Universal Common Event Format Collector 文档。
在升级安装 Sentinel 时,您可以继续使用 NetFlow 功能或选择配置 IP 流数据收集。更多信息,请参见 Sentinel 安装和配置指南中的配置 IP 流数据收集
。
有着传统储存的 Sentinel 现在包含通过事件可视化仪表板,如 Threat Hunting(威胁狩猎)和 User Activity(用户活动)仪表板可视化事件的功能。这些仪表板提供帮助您搜索、查看和详细分析事件的可自定义界面。因此这些可视化能够帮助您更快向下钻取潜在威胁。除现成可用的仪表板之外,您可以在需要时创建自己的仪表板。
这些仪表板默认禁用。要启用这些仪表板,您必须在 Sentinel 中启用事件可视化。仪表板仅显示启用事件可视化后处理的事件。为能够查看传统储存中的现有事件,Sentinel 为您提供将事件从基于文件的储存迁移到 Elasticsearch 的功能。更多信息,请参见 Sentinel 安装和配置指南中的配置可视化数据储存
。
此版本引入以下新的仪表板:
威胁狩猎仪表板: 此仪表板帮助您分析环境中的潜在威胁或任何异常活动,如数据的泄露、入侵或渗漏的信号。例如:您可以可视化被作为攻击目标次数最多的来源/目标 IP 地址、来源主机的信誉和威胁、攻击检测、策略冲突、针对计算机漏洞的攻击等相关信息。
用户活动仪表板: 此仪表板提供系统中用户活动的高级可视化。例如,您可以可视化特权操作、文件访问监视、周末和工作日活动、有着更高重复计数的事件等内容的相关信息。
IP 流实时仪表板: 此仪表板提供环境中 IP 流数据的实时、高级概述。
IP 流概述仪表板: 此仪表板帮助您更具体地进行网络通讯详细分析。仪表板帮助您分析来源和目标计算机之间的通信、向特定 IP 地址发送数据的前几个主机和端口以及来源和目标 IP 地址的地理位置等细节。
为优化用户体验,警报仪表板现已从 Sentinel Main 移动到“我的 Sentinel”中。要访问警报仪表板,起动“我的 Sentinel”并单击可用仪表板列表中的警报仪表板。关于警报仪表板的更多信息,请参见 Sentinel 用户指南中的分析警报仪表板
。
您现在可以从“我的 Sentinel”用户界面搜索 Elasticsearch 中索引的事件和警报。此搜索视图帮助您分析不同事件字段实体的百分比比较、事件趋势等。此搜索选项提供一个通用平台,只需更改搜索索引即可在同一用户界面搜索事件和警报。在“我的 Sentinel”中搜索事件和警报的更多信息,请参见 Sentinel 用户指南中的搜索事件
和搜索警报
。
由于现有警报升级为事件,Sentinel 现在分析当前警报升级为事件的概率,并在警报视图用户界面中显示事件概率值。此值帮助您更快分析警报升级为事件的概率。更多信息,请参见 Sentinel 用户指南中的查看和会审警报
。
新安装的 Sentinel 设备含 SLES 12 SP3 操作系统,并且基于 Sentinel Appliance Manager 框架。Sentinel Appliance Manager 提供基于 Web 的简单用户界面,可帮助您配置和管理设备。它取代了现有的 WebYast 功能。
Sentinel SLES 12 SP3 中含即用型 open-vm-tools,用于增强虚拟机性能并更好地管理主机服务器上的 guest。有关 open-vm-tools 的更多信息,请参见 open-vm-tools 文档。
要升级安装的 Sentinel,您可以选择升级 Sentinel 但不升级 SLES 操作系统,或升级 Sentinel 和 SLES 操作系统。因为 Sentinel 8.2 设备现在包括 SLES 12 SP 3,SLES 11 更新通道现已弃用,SUSE 结束对 SLES 11 的一般支持时将去除此通道。因此建议您将操作系统升级至 SLES 12 SP3 以继续接收操作系统更新及利用 open-vm-tools。
有关安装或升级设备的更多信息,请参见 Sentinel 安装和配置指南。
Sentinel 现在包括 Connector for HTTP Server,允许 Sentinel 系统接收来自其他 NetIQ 软件(如 Change Guardian 和 Secure Configuration Manager)的事件。除了事件,Connector 还接收如 Change Guardian 文件更改事件的增量信息等事件附件。您现在可以将 Change Guardian 资产分布在多个 Sentinel Collector Manager 和多个事件来源服务器中以缩放数据收集。更多信息,请参见 Connector 文档。
您现在可以将 Sentinel 服务器和 Collector Manager 配置为将所有进来的事件的主机名解析为 IP 地址或将 IP 地址解析为主机名。此功能将代替 Generic Hostname Resolution Service Collector,Generic Hostname Resolution Service Collector 对事件速率有负面影响 (Bug 906715)。已弃用 Generic Hostname Resolution Service Collector,Sentinel 8.2 及更高版本将不再支持。更多信息,请参见 Sentinel 管理指南中的解析主机名和 IP 地址
。
Sentinel 现在允许您在登录之前显示同意标题。您可以根据需要指定标题的内容。更多有关添加同意标题的信息,请参见 Sentinel 安装和配置指南中的添加同意标题
。
添加同意标题后,每次登录 Sentinel 时必须接受同意标题中的条款。
Sentinel 现在支持唯一用户针对多个 LDAP 服务器和域的 LDAP 鉴定。有关针对多个 LDAP 服务器和域的 LDAP 鉴定的更多信息,请参见 Sentinel 管理指南中的针对多个 LDAP 服务器或域的 LDAP 鉴定
。
Sentinel 8.2 新安装中包含 Sentinel 插件的新版本和更新版本。这些版本包含最新软件修复、文档更新和插件增强功能。更多信息,请参见 Sentinel 插件网站中的特定插件文档。
Sentinel 升级安装中包含新插件,如 Universal Common Event Format Collector 2011.1r1 和 HTTP Server Connector 2018 1.r1。它们还仅将以下插件自动更新至最新版本:
Syslog Connector 2018.1r2: Connector 现在可接收 CEF 格式的事件。
Sentinel Link Collector 2011.1r3: Collector 现在支持允许通过 HTTP Server Connector 解析来自 Change Guardian 和 Secure Configuration Manager 的事件的 HTTPSERVER 连接方式。
除了这些增强功能,这些更新的插件还包括几个软件修复。
要将其他插件升级到最新版本,请从 Sentinel 插件网站中下载需要的插件。更多信息,请参见特定插件文档。
此版本解决了潜在信息泄露漏洞 (CVE-2018-7675)。(Bug 1080555)
Sentinel 事件字段现在包括 TargetDataHash 列,显示数据对象的哈希值。因此,哈希值不再填充到讯息字段中,并且现在可搜索哈希值。(Bug 1069674)
在 Sentinel Main > 储存 > 运行状态中,饼图现在显示整体磁盘储存的磁盘用量,而不只是为 Sentinel 分配的储存。
管理员现在可以通过 REST API 更改口令,只有在提供当前口令之后才能更改。
Sentinel 认证平台有下面几项更新。想要了解有关认证平台的更多信息,请参见网页 Sentinel 技术信息。
SUSE Linux Enterprise Server 12 SP3 64 位(传统和设备安装)
Red Hat Enterprise Linux Server 7.5 64 位(传统安装)
Red Hat Enterprise Linux Server 7.4 64 位(传统安装)
Red Hat Enterprise Linux Server 6.9 64 位(传统安装)
Elasticsearch 5.6.3
Microsoft SQL Server 2017
适用于 UNIX 7.5.1 的安全代理
Sentinel 包括 Java 8 update162,其中包括几个安全漏洞的修复。
因为 Sentinel 支持 TLS 1.2 和 TLS 1.1,TLS 1.0 已弃用并将去除。如果您有任何与 Sentinel 服务器(如 REST API 或外部数据库)通信(入站或出站)进行数据同步的外部客户端,请确保它们至少使用 TLS 1.1 进行通信。
Sentinel 8.2 包括用于解决多个问题的软件修复。
问题: 网络储存中有大量原始数据文件时,如果原始数据保留监视任务在系统负载很重时启动,将发生内存转储,Sentinel 最终关闭。(Bug 1067897)
修复: Sentinel 现已优化用于获取原始数据文件列表的方式,因此只在内存中缓存需要失效的文件,而不是缓存所有文件和目录,这样可以避免出现内存转储问题。
问题: 在 Sentinel 控制中心 > 操作管理器中,一些现成可用的操作实例,如记录到 Syslog 和发送 SNMP 陷阱未与文件集成器实例正确关联。(Bug 976191)
修复: 记录到 Syslog 操作现已与 Syslog 集成器实例关联,发送 SNMP 陷阱操作现已与 snmp 集成器实例关联。
您现在可以在为 Oracle 数据库创建数据同步策略时指定数据库名称或服务。(Bug 1057613)
问题: Sentinel 在安装或升级期间显示以下错误:
/tmp/install-sentinel.5133.vDt4E1AOea/rpmpp.py: Permission denied
但是,Sentinel 安装和升级可以成功进行。(Bug 1025472)
修复: 您不会再看到此被拒权限错误。
问题: 如果有搜索正在进行中,您要尝试优化搜索准则,优化面板中的事件字段计数为零。 (Bug 1062588)
修复: 搜索完成前,优化面板为禁用状态。
如果您未更改默认密钥储存区口令,Sentinel 不会提示口令。 (Bug 1036860)
问题: 当您尝试将 Sentinel 转换成 FIPS 模式时,如果您使用 Mozilla Network Security Services (NSS) 3.29,则转换失败。转换因为两个依赖 RPM 文件 libfreebl3-hmac 和 libsoftokn3-hmac 不可用而失败。Sentinel 不断提示您输入密钥储存区口令。(Bug 1033224)
修复: Sentinel 安装程序检查依赖 RPM 文件并提示您安装。
事件的搜索结果以毫秒准确度排序。(Bug 1060000)
Sentinel 不断重新尝试连接,持续 12 个小时。如果还是无法连接外部数据库,则手动重新同步数据将同步策略。 (Bug 1037631)
问题: 当您从 Sentinel Main > 实时视图 > 警报视图访问警报细节页面时,尽管您已有允许用户管理警报的权限,但还是显示以下错误:Insufficient permission for user '<username>'。(Bug 1090898)
修复: 警报细节页面可成功加载,无错误。
Sentinel 警报视图和警报仪表板现在显示 IP 地址字段中有 IPv6 地址的警报。(Bug 924874)
问题: 选择多个警报时,关闭和注释按钮为禁用状态。(Bug 1093233)
修复: 您现在可以一次性关闭多个警报或向多个警报添加注释。
有关硬件要求、支持的操作系统和浏览器的信息,请参见 Sentinel 的技术信息页面。
有关安装 Sentinel 8.2 的信息,请参见《 Sentinel 安装和配置指南》。
注:设备安装期间存在一些可用性问题。有关详细信息,请参见部分 5.7, 设备安装屏幕中的可用性问题。
您可以从 Sentinel 8.0.0.1 以及更高版本升级到 Sentinel 8.2。
注:Sentinel 利用 Kibana 在仪表板中可视化和搜索事件。Sentinel 8.2 包含 Kibana 的更新版本。因此,如果您有任意自定义仪表板,您需要在升级 Sentinel 后重创建。
升级至 Sentinel 8.2 后,使用 Kibana 的一些 Sentinel 仪表板无法装载。这是因为 Sentinel 8.2 中升级了 Elasticsearch 和 Kibana 版本,现有 Kibana 索引文件与 Elasticsearch 和 Kibana 升级版本不兼容。要修复此问题,必须手动删除现有 Kibana 索引文件并重创建新的 Kibana 索引文件。更多信息,请参见知识库文章 7022736。
有关升级到 Sentinel 8.2 的信息,请参见《 Sentinel 安装和配置指南》。
Micro Focus 力求确保我们的产品提供高品质的解决方案,以满足贵企业的软件需求。以下已知问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
Sentinel 中包含的 Java 8 更新可能会影响以下插件:
Cisco SDEE 连接器
SAP (XAL) 连接器
Remedy 集成商
有关这些插件的任何问题,我们将根据标准的缺陷处理策略优先考虑和修复这些问题。有关支持策略的更多信息,请参见支持策略。
问题: 在 Hyper-V Server 2016 中重新启动 Sentinel 设备时,设备不启动并显示下列讯息:
A start job is running for dev-disk-by\..
出现此问题是因为操作系统在安装期间修改了磁盘 UUID。因此重新启动时,设备找不到磁盘。
(Bug 1097792)
解决方法: 手动修改磁盘 UUID。有关更多信息,请参见知识库文章 7023143。
问题: 漏洞扫描通过易受攻击的 jquery 版本报告问题,如以下讯息:
The file 'jquery-1.11.3.min.js' includes a vulnerable version of the library 'jquery'.(文件 'jquery-1.11.3.min.js' 包含易受攻击版本的 'jquery' 库)
注意到的漏洞只影响 1.8.0 到 1.12.0 版本,但报告的 URL 重定向到更新的 jquery 版本 (3.x)。(Bug 1094393)
解决方法: 忽略此问题,因为这是一个误报。
问题: 升级至 Sentinel 8.2 HA 设备时,Sentinel 显示下列错误:
Installation of novell-SentinelSI-db-8.2.0.0-<version> failed:
with --nodeps --force) Error: Subprocess failed. Error: RPM failed: Command exited with status 1.
Abort, retry, ignore? [a/r/i] (a):
(Bug 1099679)
解决方法: 响应上述提示前,执行下列操作:
使用 PuTTY 或其他类似软件在运行升级的主机上再打开一个会话。
在 /etc/csync2/csync2.cfg 文件中添加下列条目:
/etc/opt/novell/sentinel/config/configuration.properties
从 /var/opt/novell 去除 sentinel 文件夹:
rm -rf /var/opt/novell/sentinel
返回至启动升级的会话并输入 r 继续升级。
问题: 如果操作系统语言为非英语,在 MFA 模式下安装 Collector Manager 和 Correlation Engine 设备失败。(Bug 1045967)
解决方法: 以英语安装 Collector Manager 和 Correlation Engine 设备。安装完成后再将语言改为所需语言。
问题: 问题使 Internet Explorer 11 无法打开事件可视化仪表板。(Bug 981308)
解决方法: 使用其他浏览器查看或修改可视化仪表板。
问题: 如果在 Sentinel 7.4 SP1 中对口令储存进行更改,则将该设备从早期版本升级到 7.4 SP1 时会显示以下错误:
Failed to set encrypted password
(Bug 967764)
解决方法: 应该显示该警告,您可以安全地将其忽略。这对升级没有影响。
问题: 设备安装屏幕中的下一步和返回按钮在某些情况下不显示或为禁用状态,例如:
在 Sentinel 预检查屏幕中单击返回以编辑或查看 Sentinel 服务器设备网络设置屏幕中的信息时,没有下一步按钮以继续执行安装。配置按钮仅允许您编辑指定的信息。
如果指定了错误的网络设置,“Sentinel 预检查”屏幕将指示由于网络信息不正确而无法继续安装。没有返回按钮进入上一屏幕以修改网络设置。
(Bug 1089063)
解决方法: 重新开始安装设备。
问题: Sentinel 在启动期间在 server.log 文件中显示以下讯息:
Value for attribute rv43 is too long(属性 rv43 的值过长)
(Bug 1092937)
解决方法: 不必在意该异常。虽然已显示讯息,Sentinel 仍按预期运作。
问题: 如果大量事件的保留期限已过期且 SSDM 尝试从 Elasticsearch 中删除这些事件,则 server.log 文件中会显示以下异常:
java.net.SocketTimeoutException: Read timed out
(Bug 1088511)
解决方法: 不必在意该异常。由于删除大量数据所花费的时间而发生此异常。虽然显示了异常,但 SSDM 成功删除 Elasticsearch 中的事件。
问题: 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时,Sentinel 通用收集器的性能会下降。当远程 Collector Manager 发送事件时,EPS 下降 50%。(Bug 906715)
解决方法:
卸载 Collector 并将 Sentinel 服务器和 Collector Manager 配置为将主机名解析为 IP 地址或将 IP 地址解析为主机名。更多信息,请参见 Sentinel 管理指南中的解析主机名和 IP 地址
。
问题: 如果手动安装 open-vm-tools 并启用其中的时间同步,它们将定期同步 Sentinel 设备 (guest) 和 VMware ESX 服务器(主机)间的时间。这些时间同步将导致 guest 时间早于或晚于 ESX 服务器时间。Sentinel 设备 (guest) 和 ESX 服务器(主机)间时间同步前,Sentinel 不处理任何事件。这样一来,Collector Manager 中会有大量事件排队,最终可能导致达到阈值后丢失事件。为避免这种情况,Sentinel 默认禁用 Sentinel 中可用版本 open-vm-tools 的时间同步。(Bug 1099341)
解决方法: 禁用时间同步。有关禁用时间同步的更多信息,请参见禁用时间同步。
问题: 在 Sentinel 中启用了 FIPS 140-2 模式时,如果对 Agent Manager 使用 Windows 鉴定,将导致与 Agent Manager 数据库的同步失败。(Bug 814452)
解决方法: 为 Agent Manager 使用 SQL 鉴定。
问题: 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装,但会显示以下错误两次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
解决方法: 应该显示该错误,您可以安全地将其忽略。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。
问题: 在 Internet Explorer 11 中,当您起动仪表板时:
警报和威胁狩猎仪表板重定向至我的仪表板。
用户活动仪表板显示错误。
此问题由 Internet Explorer 11 中 URL 长度限制导致。(Bug 1068418)
解决方法: 执行以下操作:
起动事件可视化仪表板。
单击管理 > 高级设置。
将 storeInSessionStorage 的值设置为 true。
问题: 在 Sentinel 中重启动 Elasticsearch 服务失败,在向 RHEL 6 中的群集添加 Elasticsearch 节点后出现 unable to install syscall filter(无法安装 syscall 过滤器)错误。(Bug 1068600)
解决方法: 执行以下操作:
以 Novell 用户身份登录到 Sentinel 服务器。
打开 /etc/opt/novell/sentinel/3rdparty/elasticsearch/elasticsearch.yml 文件。
将 bootstrap.system_call_filter 的值设置为 false。
重启动 Sentinel 中的 Elasticsearch 服务:
rcsentinel stopSIdb
rcsentinel startSIdb
问题: 使用 Keytool 命令时,显示以下警告:The JKS keystore uses a proprietary format(JKS 密钥储存区使用专有格式)。建议迁移至 PKCS12,这是使用 "keytool -importkeystore -srckeystore /<sentinel_install_directory>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -destkeystore /<sentinel_install_directory>/etc/opt/novell/sentinel/config/.webserverkeystore.jks -deststoretype pkcs12" 的行业标准格式。(Bug 1086612)
解决方法: 应该显示该警告,您可以安全地将其忽略。虽然已显示警告,Keytool 命令仍按预期运作。
问题: 在 FIPS 模式下,处理来自 URL 的现成可用威胁智能源时,Sentinel 显示以下错误:Received fatal alert: protocol_version(收到严重警报:protocol_version)。出现此问题的原因是现成可用的威胁源现在只支持 TLS 1.2,但 TLS 1.2 在 FIPS 模式下不起作用。(Bug 1086631)
解决方法: 单击 Sentinel Main > 集成 > 威胁智能来源。编辑每个 URL 以将协议从 http 改为 https。
问题: 如果 Sentinel 与 NetIQ Advanced Authentication Framework MFA 模式集成,因为 Advanced Authentication Framework 中的问题,您注销 Sentinel Main 后不会注销 Sentinel 仪表板。(Bug 1087856)
解决方法: Advanced Authentication Framework 中提供修复前,刷新屏幕以查看登录屏幕。
问题: 在高可用性模式下安装或升级到 Sentinel 8.2 后,启动 Sentinel 设备管理控制台会显示错误。(Bug 1093574)
解决方法: 安装或升级到 Sentinel 8.2 后,如果故障转移后显示错误,运行下列命令重启动 Sentinel 服务:
systemctl restart vabase-datamodel.service vabase-jetty.service vabase.service
有关 NetIQ 法律声明、商标、免责声明、保证条款、出口和其他使用限制、美国政府限制权限、专利政策以及 FIPS 合规性的信息,请参见 http://www.netiq.com/company/legal/。
版权所有 © 2018 NetIQ Corporation。保留所有权利。