Sentinel 7.3.0.1-Versionshinweise

Problem: Komplexe Korrelationsregeln, die mit einem der Auslöservorgänge wie „Window“, „Sequence“, „Distinct“ oder „Gate“ verbunden sind, können nicht bearbeitet werden. Die Korrelationsregeln „PCI 8.5 Multiple User Account Access“ und „PCI 8.5 Single User Multiple Accounts“ können beispielsweise nicht bearbeitet werden. Die Korrelationsregeln arbeiten jedoch wie erwartet. (Bug 917737)

Korrektur: Sie können nun komplexe Korrelationsregeln bearbeiten, die Auslöservorgänge enthalten.

Problem: Der Datenanbieter für SpyEye Tracker-Feeds stellt keine Aktualisierungen mehr für diese Feeds bereit, da SpyEye keine größere Bedrohung mehr darstelle. Das Feed-Plugin ist immer noch im Sentinel-Paket enthalten. Da der Datenanbieter keine gültigen Bedrohungs-Feeds mehr bereitstellt, füllt das Feed-Plugin die dynamischen Listen mit unerwarteten Daten und verknüpfte Korrelationsregeln arbeiten nicht richtig. Die Benutzeroberfläche der Feeds gibt nur an, dass die Daten erfolgreich verarbeitet wurden, nicht jedoch, dass die Daten ungültig sind. (BUG 916560).

Behelfslösung: Das SpyEye Tracker-Plugin verursacht keine Probleme auf dem Server. Sie können jedoch die Systemressourcen entlasten, indem Sie dieses Feed-Plugin und die verwandten Sentinel-Objekte (dynamische Listen und Korrelationsregeln) entfernen.

Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel 7.3 in der Tipps-Tabelle in der Webkonsole Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt.(BUG 914755)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn der Sentinel-Server im FIPS-140-2-Modus ausgeführt wird, können Sentinel Control Center und Solution Designer auf einem Client-Computer mit Java Runtime Environment (JRE) Version 8 oder höher nicht mit Java Web Start gestartet werden. (BUG 910452)

Behelfslösung: Führen Sie auf dem Client-Computer, auf dem Sie Sentinel Control Center oder Solution Designer starten möchten, die folgenden Schritte aus:

Problem: Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy (Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (BUG 913014)

Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.

Problem: Wenn Sie eine Ereignissuche ausführen während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (BUG 908666)

Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:

Problem: Sentinel Agent Manager ignoriert den Wert, der für das Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config für die Konfiguration der Rohdatendateigröße angegeben ist, und schreibt nicht mehr in die Rohdatendatei, wenn die Dateigröße 10 MB erreicht.(BUG 867954)

Behelfslösung: Kopieren Sie den Inhalt der Rohdatendatei in eine andere Datei und löschen Sie die Datei, wenn ihre Größe 10 MB erreicht, damit Sentinel Agent Manager erneut Daten in die Datei schreiben kann.

Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich Ereignisfelder, in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden. (BUG 900293)

Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich Ereignisfelder auf der Zeitplanseite angezeigt wird.

Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich Aktivitätsstatistik auf das Symbol Ausgelöste Anzahl klicken. (BUG 912820)

Behelfslösung: Ändern Sie den Wert im Feld Von auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf Suchen.

Problem: Sentinel zeigt im FIPS-Modus keine Informationen zu Change Guardian-Änderungen an, wenn Sie Change Guardian-Ereignisse suchen und auf das Symbol Change Guardian klicken, auch wenn es zum Empfangen von Change Guardian-Ereignissen konfiguriert ist. Change Guardian 4.1.1.1 und frühere Versionen unterstützen nicht das Senden von Ereignissen im FIPS-kompatiblen Modus.(BUG 912230)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Im Feld Häufigkeit wird ein kleinerer Wert angezeigt, wenn Sie die Warnmeldungsansicht aktualisieren.(BUG 913838)

Behelfslösung: Navigieren Sie zur Seite mit der Warnmeldungszusammenfassung, indem Sie neben der Warnmeldung, für die eine geringerer Wert unter Häufigkeit angezeigt wird, auf Details anzeigen klicken. Auf der Seite der Warnmeldungszusammenfassung wird im Feld Häufigkeit der richtige Wert angezeigt.

Problem: Die Aufrüstung auf Sentinel 7.3 verursacht einen Fehler bei der Datenerfassung und Datensynchronisierung mit der DB2-Datenbank, weil der IBM DB2 JDBC-Treiber bei der Aufrüstung entfernt wird.(BUG 909343)

Behelfslösung: Fügen Sie nach der Aufrüstung auf Sentinel 7.3 den richtigen JDBC-Treiber hinzu und konfigurieren Sie ihn für die Datenerfassung und Datensynchronisierung. Führen Sie dazu die folgenden Schritte aus:

Problem: Wenn Sie in der Warnmeldungsansicht auf Alle auswählen klicken, um Warnmeldungen auszuwählen, und dann die Auswahl einiger Warnmeldungen aufheben und diese Warnmeldungen bearbeiten, sind neue eingehende Warnmeldungen in der aktualisierten Warnmeldungsansicht ebenfalls ausgewählt. Dies führt zu einer falschen Anzahl der zur Bearbeitung ausgewählten Warnmeldungen und es könnte angenommen werden, dass neue eingehende Warnmeldungen ebenfalls geändert werden. Es werden jedoch nur die ursprünglich ausgewählten Warnmeldungen bearbeitet.(BUG 904830)

Behelfslösung: Wenn Sie die Warnmeldungsansicht mit einem benutzerdefinierten Zeitraum erstellen, werden keine neuen Warnmeldungen in der Warnmeldungsansicht angezeigt.

Problem: Das Laden von Verlaufsdaten der Sicherheitsintelligenz (SI) in Sentinel-Systeme mit hoher EPS-Last dauert lange. (BUG 908599)

Behelfslösung: Wenn Sie ein Sicherheitsintelligenz-Dashboard mit Verlaufsdaten erstellen, planen Sie die Bereitstellung des Dashboards wenn möglich für einen Zeitpunkt mit niedriger Systemlast. Momentan lässt sich dieses Problem nicht anders umgehen.

Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt.(BUG 912009)

Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.

Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (BUG 913599)

Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.

Problem: Eine neue Warnmeldung wird erstellt, statt dass die Warnmeldungsinformationen als Roll-up in eine vorhandene Warnmeldung aufgenommen werden. Dieses Problem tritt nur sporadisch auf. (BUG 914512)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (BUG 914874)

Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:

Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkd um 50 %, wenn Remote-Collector-Manager Ereignisse senden. (BUG 906715)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn Sie Sentinel im FIPS-Modus installieren, kann der Connector zur Sicherheitsintelligenzdatenbank nicht gestartet werden und Sentinel hat keinen Zugriff auf Sicherheitsintelligenzdaten, NetFlow-Daten und Warnmeldungsdaten. (BUG 915241)

Behelfslösung: Starten Sie Sentinel neu, nachdem Sie es im FIPS-Modus installiert und konfiguriert haben.

Problem: Wenn Sie von einer benutzerdefinierten Installation von Sentinel, die mit einem Nicht-Root-Benutzer installiert und im FIPS-Modus konfiguriert wurde, auf Sentinel 7.3 aufrüsten, werden die Sicherheitsintelligenzdatenbank und das Warnmeldungs-Dashboard gelegentlich nicht gestartet. (BUG 916285)

Behelfslösung: Führen Sie die folgenden Schritte aus:

Problem: Wenn Sie in den Warnmeldungsanischten neben einer Remote-Warnmeldung auf Details anzeigen klicken und die Seite mit den Warnmeldungsdetails öffnen, werden die Auslöseereignisse für das betreffende Ereignis im Bereich Verknüpfte Daten nicht angezeigt.(BUG 916116)

Behelfslösung: Melden Sie sich am Datenquellenserver an und zeigen Sie die Warnmeldungsdetails lokal an.

Problem: In den Warnmeldungsansichten werden in den Feldern Status und Priorität für Remote-Warnmeldungen keine Daten angezeigt, wenn die Werte für diese Felder benutzerdefiniert angepasst wurden. In den Feldern werden auch auf der Seite der Warnmeldungsdetails keine Daten für diese Warnmeldungen angezeigt. (BUG 915762)

Behelfslösung: Melden Sie sich am Datenquellenserver an und zeigen Sie die Warnmeldungen lokal an.

Problem: Wenn Sie Sentinel neu starten und sich anmelden, zeigt Sentinel manchmal in keiner Warnmeldungsansicht Warnmeldungen an.(BUG 916133)

Behelfslösung: Starten Sie die Sicherheitsintelligenzdatenbank neu, indem Sie folgende Schritte ausführen:

Problem: In SSL 3.0 ist eine Schwachstelle vorhanden, die es unter Umständen ermöglicht, den Text sicherer Verbindungen zu berechnen. Weitere Informationen finden Sie unter CVE-2014-3566. Diese Schwachstelle ist in der gebündelten Version des Syslog-Connector 2011.1r4 vorhanden, da diese das SSL-Protokoll verwendet.

Behelfslösung: Der Syslog-Connector Version 2011.1r5 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.

Problem: Der Agent Manager-Connector Version 2011.1r3 legt die Eigenschaft CONNECTION_MODE in den Ereignissen nicht fest, wenn der Collector, der die Ereignisse analysiert, mehrere Verbindungsmodi unterstützt. (BUG 880564)

Behelfslösung: Der Agent Manager-Connector Version 2011.1r5 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.

Problem: Die Sentinel-Appliance-Netzwerkschnittstelle ist nicht standardmäßig konfiguriert. (BUG 867013)

Behelfslösung: So konfigurieren Sie die Netzwerkschnittstelle:

Problem: Beim Exportieren von Suchergebnissen in Sentinel wird im Webbrowser ggf. ein Fehler angezeigt, wenn Sie die Spracheinstellungen für das Betriebssystem ändern. (BUG 834874)

Behelfslösung: Zum fehlerfreien Exportieren der Suchergebnisse führen Sie einen der folgenden Schritte aus:

Problem: Wenn Sie die Sentinel-Webkonsole mit Portweiterleitung oder Zieladressübersetzung (DNAT, Destination Network Address Translation) starten, wird eine leere Seite angezeigt. (BUG 694732)

Behelfslösung: Starten Sie die Sentinel-Webkonsole nicht mit Portweiterleitung oder DNAT (Destination Network Address Translation).

Problem: Wenn Sie einen Sicherheits-Intelligenzgrundwert erstellen oder neu generieren, so wird der Grundwert ordnungsgemäß erstellt; allerdings wird eine Fehlermeldung angezeigt. (BUG 848067)

Behelfslösung: Diese Meldung können Sie ignorieren. Das Erstellen des Grundwerts kann einige Minuten dauern.

Problem: Wenn der Zeitraum (in Tagen), über den die Daten im Sekundärspeicher verbleiben dürfen, kürzer ist als der Zeitraum (in Tagen) für den Primärspeicher, kann Sentinel den Speicherplatz im Primärspeicher nicht effektiv nutzen. Partitionen, die zum Freigeben von Speicherplatz aus dem Sekundärspeicher entfernt werden, werden auch aus dem Primärspeicher entfernt. (BUG 860888)

Behelfslösung: Ordnen Sie dem Sekundärspeicher ausreichend Speicherplatz zu, damit die Daten über den gesamten vorgesehenen Zeitraum (in Tagen) online und damit suchbar bleiben.

Problem: Auf Systemen mit mehr als 2 TB Speicherplatz wird Sentinel nach der Installation unter Umständen nicht automatisch gestartet. (BUG 846296)

Behelfslösung: Starten Sie die Sentinel-Services einmalig manuell, indem Sie den folgenden Befehl eingeben:

Problem: Wenn Sie in Sentinel-Appliance-Installationen im Kerberos-Modul die Kerberos-Authentifizierung konfigurieren, wird in der Konsole eine Bestätigungsmeldung zur erfolgreichen Konfiguration des Kerberos-Client angezeigt. Wenn Sie das Kerberos-Modul jedoch erneut anzeigen, ist die Option Kerberos-Authentifizierung aktivieren nicht ausgewählt. (BUG 843623)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn Sie bei der Installation eines Remote-Collector-Managers ein Passwort angeben, das Sonderzeichen wie „$“, „"“, „\“ oder „/“ enthält, tritt bei der Installation ein Fehler tritt auf. (BUG 812111)

Behelfslösung: Verwenden Sie keine Sonderzeichen im Passwort für den Remote Collector Manager.

Problem: Beim Neustarten einer Remote Collector Manager-Appliance wird die Verbindung der Syslog-Ereignisquellen unterbrochen, die mit dem UDP-Port verbunden sind. (BUG 795057)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (BUG 804683)

Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.

Problem: Wenn der FIPS-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (BUG 814452)

Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-Modus in der Sentinel-Umgebung aktiviert ist.

Problem: Wenn der FIPS-Modus aktiviert ist, wird bei der Sentinel-Hochverfügbarkeitsinstallation der folgende Fehler angezeigt:

Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeits-Konfiguration funktioniert problemlos im FIPS-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.

Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:

Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeits-Konfiguration funktioniert problemlos im Nicht-FIPS-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.

Problem: Bei Appliance-Aktualisierungen von Versionen vor Sentinel 7.2 tritt ein Fehler auf, weil der Hersteller der Aktualisierungspakete von Novell zu NetIQ geändert wurde. (BUG 780969)

Behelfslösung: Rüsten Sie die Appliance mit dem Befehl "zypper" auf. Weitere Informationen finden Sie unter Upgrading the Appliance by Using zypper (Aufrüsten der Appliance mit zypper) im NetIQ Sentinel Installation and Configuration Guide (Installations- und Konfigurationshandbuch für NetIQ Sentinel).

Problem: Wenn das von Ihnen angegebene Passwort das Zeichen „$“ enthält, speichert Sentinel das Passwort je nach Position des Zeichens „$“ innerhalb des Passworts anders in der Datenbank. Wenn das Passwort mit dem Sonderzeichen „$“ beginnt, speichert Sentinel das Passwort mit einem Dateinamen. Wenn sich das Zeichen „$“ an einer beliebigen Stelle in der Mitte des Passworts befindet, kürzt Sentinel das Passwort bis zur Stelle des Zeichens „$“. (BUG 734500)

Behelfslösung: Das tatsächliche Passwort wird in der Datei home/novell/.pgpass gespeichert. Rufen Sie das Passwort aus dieser Datei ab und melden Sie sich dann bei Sentinel an. Wenn Sie beispielsweise „abc$123“ als Passwort angeben, speichert Sentinel das Passwort als „abc“ in der Datei .pgpass. Sie können sich bei Sentinel mit dem Passwort „abc“ anmelden.

Problem: Solution Manager installiert keine Korrelationsregeln, wenn eine Korrelationsregel mit einem identischen Namen bereits im System vorhanden ist. In der Konsole wird der Fehler NullPointerException protokolliert. (BUG 713962)

Behelfslösung: Stellen Sie sicher, dass alle Korrelationsregeln einen eindeutigen Namen haben.

Problem: Beim Ausführen einer Sentinel-Link-Aktion über die Sentinel-Webkonsole zeigt Sentinel eine Meldung zum erfolgreichen Abschluss an, obwohl bei der Sentinel-Link-Connector-Integrationsprüfung vom Sentinel Control Center Fehler aufgetreten sind. (BUG 710305)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn ein Sicherheitsintelligenz-Dashboard und eine Abweichungsdefinition identische Namen haben, wird der Dashboard-Link auf der Abweichungsdetailseite deaktiviert. (BUG 715986)

Behelfslösung: Stellen Sie sicher, dass Sie beim Erstellen von Dashboards und Abweichungsdefinitionen eindeutige Namen verwenden.

Problem: Die Sentinel-Webkonsole zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Sentinel-Webkonsolencomputers hinter der Sentinel-Serveruhrzeit liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Sentinel-Webkonsolencomputers 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (BUG 719875)

Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Webkonsole verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.

Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (BUG 870609)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Sentinel Control Center wird nicht gestartet, wenn NetIQ Identity Manager Designer auf dem Clientcomputer installiert ist und das JRE-System verwendet. Designer muss einige unterstützende JAR-Dateien wie xml-apis.jar zum Verzeichnis lib/endorsed hinzufügen. Einige Klassen in der Datei xml-apis.jar überschreiben die entsprechenden Klassen im JRE-System, das von Sentinel Control Center verwendet wird. (BUG 888085)

Behelfslösung: Konfigurieren Sie Designer zur Verwendung des eigenen JRE-Systems.

Problem: Beim Sammeln von Ereignisdaten erfasst der Sentinel Agent Manager keine Windows-Einfügungszeichenketten, die den Wert „null“ enthalten. (BUG 838825)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.