Sentinel 7.4.1 bietet neue Funktionen und ist einfacher in der Bedienung. Einige in früheren Versionen auftretende Probleme wurden behoben.
Viele der eingeführten Verbesserungen sind Umsetzungen von Vorschlägen unserer Kunden. Wir möchten uns auf diesem Wege bei Ihnen für Ihr wertvolles Feedback bedanken. Wir hoffen, Sie unterstützen uns weiterhin dabei, unsere Produkte optimal an Ihre Bedürfnisse anzupassen. Senden Sie uns Ihr Feedback als Beitrag im Sentinel-Forum in NetIQ Communities, unserer Online-Community. Hier finden Sie auch Produktinformationen, Blogs und Links zu weiteren nützlichen Ressourcen.
Die Dokumentation für dieses Produkt steht auf der NetIQ-Website im HTML- und PDF-Format zur Verfügung. Für den Zugriff auf diese Dokumentationsseite ist keine Anmeldung erforderlich. Wenn Sie uns einen Verbesserungsvorschlag in Bezug auf die Dokumentation mitteilen möchten, nutzen Sie die Schaltfläche Sentinel NetIQ-Dokumentationswebseite veröffentlichten Dokumentation finden. Dieses Produkt steht auf der Website der Sentinel-Produktaufrüstung zum Herunterladen bereit.
(Kommentar zum Thema abgeben), die Sie unten auf jeder Seite der HTML-Version unserer auf derDie aktuelle Fassung dieser Versionshinweise sind die Sentinel 7.4.1-Versionshinweise.
In den folgenden Abschnitten werden wichtige Funktionen und Verbesserungen in dieser Version sowie die behobenen Probleme vorgestellt:
Sentinel 7.4.1 enthält Java 8 Update 65, das mehrere Sicherheitsschwachstellen korrigiert und die Leistung von Sentinel verbessert.
Sentinel 7.4.1 behebt die folgenden Sicherheitsschwachstellen:
Denial-of-Service-Angriffe (CVE-2014-3576 und CVE-2015-0851)
Java-Deserialisierung (Vulnerability Note VU#576313)
Sentinel is now tested and certified on Red Hat Enterprise Linux Server (RHEL) 6.7. Weitere Informationen finden Sie auf der Webseite mit technischen Informationen für Sentinel.
Sentinel 7.4.1 enthält einige Softwarekorrekturen zur Behebung mehrerer Probleme.
Eine Liste der Softwarekorrekturen und Erweiterungen in früheren Versionen finden Sie in den entsprechenden Versionshinweisen.
Fehler bei der verteilten Suche, wenn Sentinel-Remoteserver nicht erkennbare Zeichen zurückgeben
Sentinel zeigt Suchergebnisse in der falschen Reihenfolge an
Gelöschte Zuordnungsnamen können nicht wiederverwendet werden
Keine Anfangsdaten in den Ereignisansichten bestimmter Mandanten
Sentinel-Ereignisansichten werden falsch aktualisiert, wenn die Legende „Sonstiges“ ausgewählt ist
Problem: Wenn ein Sentinel-Remoteserver in einem Suchergebnis nicht erkennbare Zeichen wiedergibt, tritt ein Fehler bei der verteilten Suche auf und Sentinel zeigt eine Fehlermeldung an. (BUG 951420)
Korrektur: Sentinel zeigt nun die Ergebnisse der verteilten Suche richtig an, auch wenn die Suchergebnisse nicht erkennbare Zeichen enthalten.
Problem: In der Sentinel-Weboberfläche werden die neuesten Suchergebnisse nicht an erster Stelle angezeigt. (BUG 948489)
Korrektur: Die neuessten Suchergebnisse werden in der Sentinel-Weboberfläche nun an erster Stelle angezeigt.
Problem: Wenn Sie eine Warnmeldung zu einem Vorfall eskalieren, zeigt Sentinel anstelle des Eskalierungsgrunds nur einen Platzhalter auf der Registerkarte (BUG 958560)
des Vorfalls an.Korrektur: Sentinel zeigt nun den Eskalierungsgrund richtig auf der Registerkarte
des Vorfalls an.Problem: Bei Ausführung des configure.sh-Skripts bei benutzerdefinierten Installationen von Collector Managers und Correlation Engines zeigt Sentinel folgenden Fehler an:
Error getting the client keystore file. Refer to /two/var/opt/novell/sentinel/log/install.log for detailed error messages.
(BUG 956466)
Korrektur: Sentinel zeigt keinen Fehler an, wenn Sie das Skript configure.sh in benutzerdefinierten Installationen ausführen, und die Konfiguration wird wie erwartet weitergeführt.
Problem: Sentinel zeigt einen Fehler an, wenn Sie versuchen, den Namen einer gelöschter Zuordnung wiederzuverwenden. (BUG 881127)
Korrektur: Sie können nun die Namen gelöschter Zuordnungen wiederverwenden.
Problem: Wenn Sie sich von der Sentinel-Weboberfläche abmelden und erneut anmelden, zeigt Sentinel keine vorhandenen oder aktuellen Daten in den Ereignisansichten an, die für einen bestimmten Mandanten erstellt wurden. Dieser Fehler liegt darin begründet, dass Sentinel die Daten für den Ereignisanischtsfilter nicht wiederherstellt, wenn Sie sich von der Sentinel-Weboberfläche abmelden. (BUG 949150)
Korrektur: Sentinel zeigt nun die richtigen Daten in den Ereignisansichten für bestimmte Mandanten an.
Problem: Eine Korrelationsregel kann nicht erneut bereitgestellt werden, nachdem die Regel bearbeitet wurde und benutzerdefinierte Ereignisfelder hinzugefügt wurden. (BUG 962631)
Korrektur: Sie können nun Korrelationsregeln neu bereitstellen, nachdem Sie sie bearbeitet und benutzerdefiniert angepasst haben.
HINWEIS:Sie können nur neue Korrelationsregeln, die nach der Aufrüstung auf Sentinel 7.4.1 erstellt wurden, erneut bereitstellen. Stellen Sie die betroffenen Korrelationsregeln manuell wieder her oder starten Sie Sentinel neu, um sicherzustellen, dass die von diesem Fehler betroffenen Korrelationsregeln auch richtig erneut bereitgestellt werden können.
Problem: Die Methode der Sentinel-Weboberfläche zur Konfiguration des Sentinel Agent Manager-Connector verwendet ein abgelaufenes internes Zertifikat. Die empfohlene Konfigurationsmethode für Sentinel Agent Manager ist die Ereignisquellenverwaltung (ESM) im Sentinel Control Center, die mit einem gültigen Zertifikat arbeitet. (BUG 961630)
Korrektur: Sie können den Sentinel Agent Manager-Connector nun nur über die Ereignisquellenverwaltung im Sentinel Control Center konfigurieren.
Problem: Die Handhabung von Java-Keystore-Passwörtern durch Sentinel birgt mögliche Sicherheitsrisiken. (BUG 934747)
Korrektur: Sentinel 7.4.1 verbessert die Sicherheit der Java-Keystore-Passwörter durch Verschlüsselung der Passwörter.
Aufgrund dieser Änderung fordert Sentinel Sie nun zur Eingabe des Passworts auf, wenn Zertifikate mit Skripts wie ldap_auth_config.sh, ssl_certs.sh oder convert_to_fips.sh in den Keystore importiert werden.
Problem: Wenn Sie eine Korrelationsregel mit der Option (BUG 965785)
klonen und dann die Anpassung für den Schweregrad der Regel bearbeiten, ändert Sentinel auch die Anpassung des Schweregrads der geklonten Regel.Korrektur: Sentinel ändert die geklonten Regeln nicht, wenn Sie die originalen Regeln bearbeiten.
Problem: In den Ereignisansichten, in denen Sie die Legende (BUG 963401)
ausgewählt haben, löscht Sentinel dies bei jeder Aktualisierung der Ereignisansicht.Korrektur: Sentinel behält die Legendenauswahl
nun bei, bis die Ereignisansicht geöffnet wird.Problem: Correlation Engines werden häufig gestoppt, weil einige wenige komplexe Korrelationsregeln über den konfigurierten Zeitraum hinaus Speicherplatz belegen, was eine hohe Speicherauslastung verursacht. (BUG 959898)
Korrektur: Komplexe Korrelationsregeln, die viel Arbeitsspeicher belegen, laufen nun nach konfigurierten Zeitintervallen ab.
Weitere Informationen zu den Hardwarevoraussetzungen und den unterstützten Betriebssystemen und Browsern finden Sie auf der Website mit technischen Daten zu Sentinel.
Informationen zur Installation von Sentinel 7.4.1 finden Sie im NetIQ Sentinel Installation an Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Sie können von Sentinel 7.2 oder höher auf Sentinel 7.4.1 aufrüsten.
HINWEIS:(Bedingt) Wenn Sie die Sentinel-Appliance von Sentinel 7.1.2 oder einer früheren Version aufrüsten, müssen Sie zuerst auf Version 7.4 und dann auf Version 7.4.1 aufrüsten. Die Sentinel 7.4-Aktualisierungen für die Appliance erhalten Sie vom Technischen Support.
Sentinel 7.4 und spätere Versionen sind mit Change Guardian 4.2 und höher kompatibel. Wenn ein Change Guardian-Server vor der Aufrüstung auf Sentinel Ereignisse an Sentinel sendet, müssen Sie zunächst den Change Guardian-Server, die Agenten und den Richtlinieneditor auf Version 4.2 aufrüsten, damit Sentinel auch nach der Aufrüstung weiterhin Ereignisse von Change Guardian empfängt.
Laden Sie das Sentinel-Installationsprogramm von der NetIQ-Download-Website herunter. Weitere Informationen zur Aufrüstung auf Sentinel 7.4.1 finden Sie unter Aufrüsten von Sentinel
im Installations- und Konfigurationshandbuch für NetIQ Sentinel.
Sie können die Appliance mit WebYaST nur ab Sentinel-Version 7.3.2 und nur dann aufrüsten, wenn Sie NetIQ Change Guardian RPM wie in Upgrading NetIQ Change Guardian RPM
(Aufrüstung von NetIQ Change Guardian RPM) in den Sentinel 7.3.2-Versionshinweisen beschrieben manuell aufgerüstet haben.
Verwenden Sie zur Aufrüstung der Appliance von Versionen vor Sentinel 7.3.2 das zypper-Befehlszeilenprogramm, weil die Aufrüstung nur mit Benutzerinteraktion abgeschlossen werden kann. In WebYaST ist die hierfür erforderliche Benutzerinteraktion nicht möglich. Weitere Informationen zur Aufrüstung der Appliance mit zypper finden Sie unter Upgrading the Appliance by Using zypper
(Aufrüstung der Appliance mit zypper) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und Konfigurationshandbuch).
(BUG 956278)
Gehen Sie wie folgt vor, wenn Sie von Sentinel 7.2.2 oder einer älteren Version aufrüsten:
Weisen Sie der Suchvertretungs-Benutzerrolle die Berechtigung
manuell zu, weil die Aufrüstung diese Berechtigung löscht. Die Rolle benötigt diese Berechtigung, um eine Remote-Suche nach Warnmeldungen auszuführen.Weitere Informationen finden Sie unter Configuring Roles and Users
(Konfigurieren von Rollen und Benutzern) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Zur Gewährleistung der Konsistenz mit neueren Versionen von Sentinel und der Sentinel-Dokumentation benennen Sie die Suchvertretungs-Role nach der Aufrüstung in „Datenvertretungsbenutzer“ um.
NetIQ Corporation ist bestrebt, Produkte zu bieten, die hochwertige Lösungen für die Softwarebedürfnisse Ihres Unternehmens darstellen. Die nachfolgend beschriebenen Probleme werden zurzeit untersucht. Wenden Sie sich an den Technischen Support, wenn Sie weitere Hilfe zu einem Problem benötigen.
Die Java 8-Aktualisierung und die Korrekturen von Sicherheitsschwachstellen, die in Sentinel 7.3.1 oder höher enthalten sind, können die folgenden Plugins beeinträchtigen:
Cisco SDEE Connector
SAP-Connector
Remedy Integrator
Probleme mit diesen Plugins werden bei NetIQ gemäß den Standardrichtlinien für die Mängelbehebung priorisiert und behoben. Weitere Informationen zu den Supportrichtlinien finden Sie auf der Website zu den Supportrichtlinien.
Abschnitt 5.1, Warnmeldung beim Aufrüstung der Sentinel-Appliance auf Version 7.4.1
Abschnitt 5.2, Berichte können nicht mit Sentinel SDK erstellt werden
Abschnitt 5.8, Warnmeldungen mit IPv6-Daten können nicht in Warnmeldungsansichten angezeigt werden
Abschnitt 5.9, Bar-Mitzvah-Sicherheitsschwachstelle im Sentinel Link-Connector
Abschnitt 5.11, Sentinel Agent Manager berücksichtigt die RawDataTapFileSize-Konfiguration nicht
Abschnitt 5.18, Laden von Sicherheitsintelligenz-Verlaufsdaten dauert lange
Abschnitt 5.27, Sentinel-Services starten nach der Installation unter Umständen nicht automatisch
Abschnitt 5.29, Die Anzeige von mehreren Berichten gleichzeitig ist nicht möglich
Abschnitt 5.31, Sentinel-Hochverfügbarkeitsinstallation im FIPS-140-2-Modus gibt einen Fehler zurück
Abschnitt 5.33, Fehler bei der Appliance-Aktualisierung in WebYaST von Versionen vor Sentinel 7.2
Abschnitt 5.34, Fehler beim Installieren von Korrelationsregeln
Abschnitt 5.35, Sentinel-Link-Aktion zeigt falsche Meldung an
Abschnitt 5.36, Dashboard und Abweichungsdefinitionen mit identischen Namen
Abschnitt 5.37, Ungenaue Angaben in den Spalten „Dauer“ und „Zugegriffen“ für aktive Suchaufträge
Problem: Beim Aufrüsten der Appliance auf Version 7.4.1 zeigt Sentinel die folgende Warnmeldung an:
Failed to set encrypted password (Fehler beim Festlegen des verschlüsselten Passworts)
(BUG 966406)
Behelfslösung: Ignorieren Sie die Warnmeldung. Sie beeinträchtigt die Aufrüstung nicht.
Problem: Mit Sentinel SDK können keine Berichte erstellt werden. (BUG 966406)
Behelfslösung: Führen Sie die im NetIQ-Knowledgebase-Artikel 7017293 beschriebenen Schritte aus, um Berichte mit Sentinel SDK zu erstellen.
Problem: Wird Sentinel in Sentinel High Availability (HA) durch die Aktualisierung von Konfigurationsdateien oder Änderungen an der Sentinel-Webschnittstelle im aktiven Knoten angepasst, werden die Änderungen nicht in den passiven Knoten übernommen. Die Synchronisierung muss manuell gestartet werden.
Beispielsweise müssen Sie die Synchronisierung in den folgenden Szenarien manuell starten:
Wenn Sie das Kommunikationsprotokoll in SSL ändern, indem Sie die Datei /etc/opt/novell/sentinel/config/databasePlatforms.xml für die folgende Eigenschaft aktualisieren:
ssl=require
Wenn für Sentinel der FIPS-Modus festgelegt ist, wird die Synchronisierung zur Konvertierung aller passiven Knoten in den FIPS-Modus nicht vollständig ausgeführt. Bei einem Failover in einem solchen Szenario startet die Sentinel-Webschnittstelle nicht.
Bei Änderung der LDAP-Konfiguration im aktiven Knoten wird dieser nicht mit den passiven Knoten synchronisiert. Aus diesem Grund können Sie in den passiven Knoten keine LDAP-Konten authentifizieren.
(BUG 956702 und BUG 954472)
Behelfslösung: Bei Änderung einer Konfigurationsdatei oder Änderungen an Dateien aufgrund von Änderungen in der Sentinel-Webschnittstelle fügen Sie die betreffende Datei oder das betreffende Verzeichnis manuell für die Synchronisierung hinzu. Gehen Sie dazu wie folgt vor:
Melden Sie sich als root-Benutzer am aktiven Knoten an.
Fügen Sie die Datei oder das Verzeichnis für die Synchronisierung hinzu, indem Sie in die Datei /etc/csync2/csync2.cfg folgende Zeile einfügen:
include <Dateiname oder Verzeichnis>;
Beispiel:
Fügen Sie folgende Zeile hinzu, wenn Sie das Kommunikationsprotokoll in der Datei /etc/opt/novell/sentinel/config/databasePlatforms.xml in SSL geändert haben:
include /etc/opt/novell/sentinel/config/databasePlatforms.xml;
Fügen Sie folgende Zeile hinzu, wenn Sie passive Knoten mit dem FIPS-Modus synchronisieren möchten:
include /etc/opt/novell/sentinel/config/nonfips_backup;
Fügen Sie folgende Zeile hinzu, wenn Sie die LDAP-Konfiguration geändert haben:
include /etc/opt/novell/sentinel/config/auth.login;
Starten Sie die Synchronisierung manuell, indem Sie folgenden Befehl ausführen:
csync2 -x -v
Damit werden alle passiven Knoten mit den Aktualisierungen synchronisiert.
Problem: Im Rahmen der in Sentinel 7.3.1 enthaltenen Korrekturen für Sicherheitsschwachstellen wurden Änderungen am Kommunikationsmechanismus für gesicherte Verbindungen eingeführt. Diese Änderungen sind nicht mit dem Sentinel-UNIX-Agenten 7.4 kompatibel. Daher kann Sentinel keine Ereignisse vom Sentinel-UNIX-Agenten 7.4 empfangen. (BUG 953990)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen. Das Problem wird behoben, sobald eine kompatible Version des Sentinel-UNIX-Agenten verfügbar ist.
Problem: Sentinel zeigt einen Fehler an, wenn Sie versuchen, NFS weiterhin als Sekundärspeicher zu nutzen, nachdem Sie die Sentinel-Appliance auf Version 7.3.1 oder höher aufgerüstet haben. (BUG 934851)
Behelfslösung: Starten Sie das SLES-Betriebssystem nach dem Aufrüsten auf die Sentinel-Appliance mit dem folgenden Befehl neu:
init 6
Problem: Wenn Sie Sentinel von Version 7.3 auf Version 7.3.1 aufrüsten und dann den Sentinel-Server starten, wird die folgende Ausnahme im Serverprotokoll angezeigt:
Invalid length of data object ......
(BUG 933640)
Behelfslösung: Ignorieren Sie die Ausnahme. Diese Ausnahme wirkt sich nicht auf die Leistung von Sentinel aus.
Problem: Sentinel kommuniziert über das Diffie-Hellman-Protokoll mit Secure Configuration Manager. Im Rahmen der Behebung der Logjam-Schwachstelle wurde die Größe des Zertifikatsschlüssels für das Diffie-Hellman-Protokoll in Sentinel auf 2048 erhöht. Secure Configuration Manager verwendet jedoch weiterhin die standardmäßige Zertifikatsschlüsselgröße (1024). Aufgrund dieser Abweichung kann Secure Configuration Manager nicht mehr mit Sentinel kommunizieren. (BUG 935987)
Behelfslösung: Bis zur Bereitstellung einer Korrektur für Secure Configuration Manager führen Sie die folgenden Schritte aus:
ACHTUNG:Diese Behelfslösung hebt die Korrektur der Logjam-Schwachstelle auf, die im Abschnitt Korrekturen von Sicherheitsschwachstellen
in den Sentinel 7.3.1-Versionshinweisen beschrieben ist.
Melden Sie sich als Benutzer novell an und öffnen Sie die Datei /etc/opt/novell/sentinel/config/configuration.properties.
Kommentieren Sie die folgende Zeile mit dem Präfix # aus:
jdk.tls.ephemeralDHKeySize=2048
Starten Sie Sentinel neu.
Problem: In den Warnmeldungsansichten und Warnmeldungs-Dashboards von Sentinel werden keine Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (BUG 924874)
Behelfslösung: Zum Anzeigen von Warnmeldungen mit IPv6-Adressen in Sentinel führen Sie die Schritte im NetIQ-Knowledgebase-Artikel 7016555 aus.
Problem: In Sentinel Link-Connector ist die Bar-Mitzvah-Sicherheitsschwachstelle vorhanden. Der Sentinel Link-Connector verwendet den RC4-Algorithmus im SSL- und TSL-Protokoll, so dass unter Umständen Plaintext-Recovery-Angriffe auf die ersten Byte in einem Datenstrom möglich sind. Weitere Informationen finden Sie unter CVE-2015-2808. (BUG 933741)
Behelfslösung: Der Sentinel Link-Connector Version 2011.1r4 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.
Problem: Der Agent Manager-Connector Version 2011.1r3 legt die Eigenschaft CONNECTION_MODE in den Ereignissen nicht fest, wenn der Collector, der die Ereignisse analysiert, mehrere Verbindungsmodi unterstützt. (BUG 880564)
Behelfslösung: Der Agent Manager-Connector Version 2011.1r5 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.
Problem: Sentinel Agent Manager ignoriert den Wert, der für das Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config für die Konfiguration der Rohdatendateigröße angegeben ist, und schreibt nicht mehr in die Rohdatendatei, wenn die Dateigröße 10 MB erreicht. (BUG 867954)
Behelfslösung: Kopieren Sie den Inhalt der Rohdatendatei in eine andere Datei und löschen Sie die Datei, wenn ihre Größe 10 MB erreicht, damit Sentinel Agent Manager erneut Daten in die Datei schreiben kann.
Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel in der Tipps-Tabelle in der Weboberfläche Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt. (BUG 914755)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem:
Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Weitere Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy
(Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (BUG 913014)
Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.
Problem: Wenn Sie eine Ereignissuche ausführen während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (BUG 908666)
Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:
Geben Sie im Feld
ein Kriterium an. Wenn die Benutzer der Rolle keine Ereignisse sehen sollen, können Sie eingeben.Wählen Sie
aus.Wählen Sie
aus.Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich (BUG 900293)
, in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden.Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich
auf der Zeitplanseite angezeigt wird.Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich (BUG 912820)
auf das Symbol klicken.Behelfslösung: Ändern Sie den Wert im Feld
auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf .Problem: Wenn Sie in der Warnmeldungsansicht auf (BUG 904830)
klicken, um Warnmeldungen auszuwählen, und dann die Auswahl einiger Warnmeldungen aufheben und diese Warnmeldungen bearbeiten, sind neue eingehende Warnmeldungen in der aktualisierten Warnmeldungsansicht ebenfalls ausgewählt. Dies führt zu einer falschen Anzahl der zur Bearbeitung ausgewählten Warnmeldungen und es könnte angenommen werden, dass neue eingehende Warnmeldungen ebenfalls geändert werden. Es werden jedoch nur die ursprünglich ausgewählten Warnmeldungen bearbeitet.Behelfslösung: Wenn Sie die Warnmeldungsansicht mit einem benutzerdefinierten Zeitraum erstellen, werden keine neuen Warnmeldungen in der Warnmeldungsansicht angezeigt.
Problem: Das Laden von Verlaufsdaten der Sicherheitsintelligenz (SI) in Sentinel-Systeme mit hoher EPS-Last dauert lange. (BUG 908599)
Behelfslösung: Wenn Sie ein Sicherheitsintelligenz-Dashboard mit Verlaufsdaten erstellen, planen Sie die Bereitstellung des Dashboards wenn möglich für einen Zeitpunkt mit niedriger Systemlast. Momentan lässt sich dieses Problem nicht anders umgehen.
Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt. (BUG 912009)
Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.
Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (BUG 913599)
Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.
Sie können Beibehaltungsrichtlinien erstellen, die Ereignisse auf Grundlage des Felds estzhour filtern. Dieses Feld dient der Nachverfolgung der Stunde des Tages. Sie können also eine Beibehaltungsrichtlinie mit dem Filter estzhour:[0 TO 11] und eine weitere Beibehaltungsrichtlinie mit dem Filter estzhour:[12 TO 23] erstellen.
Weitere Informationen finden Sie im Abschnitt Configuring Data Retention Policies
(Datenbeibehaltungsrichtlinien konfigurieren) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (BUG 914874)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:
Öffnen Sie die Datei /etc/sysconfig/SuSEfirewall2.
Ändern Sie die folgende Zeile:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
in
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Starten Sie Sentinel neu.
Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkd um 50 %, wenn Remote-Collector-Manager Ereignisse senden. (BUG 906715)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn Sie Sentinel im FIPS-140-2-Modus installieren, kann der Connector zur Sicherheitsintelligenzdatenbank nicht gestartet werden, und Sentinel hat keinen Zugriff auf Sicherheitsintelligenzdaten, NetFlow-Daten und Warnmeldungsdaten. (BUG 915241)
Behelfslösung: Starten Sie Sentinel neu, nachdem Sie es im FIPS-140-2-Modus installiert und konfiguriert haben.
Problem: Wenn Sie von einer benutzerdefinierten Installation von Sentinel, die mit einem Nicht-root-Benutzer installiert und im FIPS-140-2-Modus konfiguriert wurde, auf Sentinel aufrüsten, werden die Sicherheitsintelligenzdatenbank und das Warnmeldungs-Dashboard gelegentlich nicht gestartet. (BUG 916285)
Behelfslösung: Führen Sie die folgenden Schritte aus:
Wechseln Sie zu <benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin, um den Sentinel-Indexdienst zu ermitteln.
Führen Sie den folgenden Befehl aus:
./si_db.sh status
Überprüfen Sie, ob die folgende Ausgabe angezeigt wird:
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
Wenn einer der drei oben genannten Dienste nicht ausgeführt wird, führen Sie die folgenden Schritte aus:
Führen Sie folgenden Befehl aus, um Sentinel zu stoppen:
rcsentinel stop
Melden Sie sich beim Sentinel-Server als der Benutzer novell an.
Führen Sie den folgenden Befehl aus:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/si_db.sh startnoauth
Führen Sie folgenden Befehl aus, um die Benutzer „dbauser“ und „appuser“ hinzuzufügen:
cd <benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
Stoppen Sie die MongoDB-Datenbank:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/si_db.sh stop
Führen Sie die folgenden Schritte aus, um verschlüsselte Passwortfelder hinzuzufügen:
Führen Sie folgenden Befehl aus, um das verschlüsselte Passwort für den Benutzer novell abzurufen:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/encryptpwd -e novell
Das verschlüsselte Passwort wird angezeigt. Beispiel:
bVWOzu6okMmMCkgM0aHeQ==
Aktualisieren Sie in der Datei configuration.properties die Eigenschaften baselining.sidb.password und baselining.sidb.dbpassword mit dem verschlüsselten Passwort. Beispiel:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
Melden Sie sich vom novell-Benutzerkonto ab und starten Sie Sentinel mit dem folgenden Befehl mit dem root-Benutzer:
rcsentinel start
HINWEIS:Führen Sie immer bei Bedarf das Skript configure.sh aus, um das Passwort zurückzusetzen. Weitere Informationen zum Ausführen des Skripts configure.sh finden Sie unter Modifying the Configuration after Installation
(Bearbeiten der Konfiguration nach der Installation) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Problem: Die Sentinel-Appliance-Netzwerkschnittstelle ist nicht standardmäßig konfiguriert. (BUG 867013)
Behelfslösung: So konfigurieren Sie die Netzwerkschnittstelle:
Klicken Sie auf der Seite Netzwerkkonfiguration auf
(Netzwerkschnittstellen).Wählen Sie die Netzwerkschnittstelle aus und klicken Sie auf
.Wählen Sie
(Dynamische Adresse) und dann entweder oder (Statisch zugewiesene IP-Adresse).Klicken Sie auf
und dann auf .Problem: Beim Exportieren von Suchergebnissen in Sentinel wird im Webbrowser ggf. ein Fehler angezeigt, wenn Sie die Spracheinstellungen für das Betriebssystem ändern. (BUG 834874)
Behelfslösung: Zum fehlerfreien Exportieren der Suchergebnisse führen Sie einen der folgenden Schritte aus:
Entfernen Sie beim Exportieren der Suchergebnisse alle Sonderzeichen (außerhalb der ASCII-Zeichen) aus dem Exportdateinamen.
Aktivieren Sie UTF-8 in den Spracheinstellungen des Betriebssystems, starten Sie den Computer neu und starten Sie dann den Sentinel-Server neu.
Problem: Auf Systemen mit mehr als 2 TB Speicherplatz wird Sentinel nach der Installation unter Umständen nicht automatisch gestartet. (BUG 846296)
Behelfslösung: Starten Sie die Sentinel-Services einmalig manuell, indem Sie den folgenden Befehl eingeben:
rcsentinel start
Problem: Wenn Sie in Sentinel-Appliance-Installationen im Kerberos-Modul die Kerberos-Authentifizierung konfigurieren, wird in der Konsole eine Bestätigungsmeldung zur erfolgreichen Konfiguration des Kerberos-Client angezeigt. Wenn Sie das Kerberos-Modul jedoch erneut anzeigen, ist die Option (BUG 843623)
nicht ausgewählt.Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (BUG 804683)
Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.
Problem: Wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (BUG 814452)
Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist.
Problem: Wenn der FIPS-140-2-Modus aktiviert ist, wird bei der Sentinel-Hochverfügbarkeitsinstallation der folgende Fehler angezeigt:
Die Datei 'configuration.properties' von Sentinel ist falsch. Überprüfen Sie die Konfigurationsdatei und führen Sie das Skript 'convert_to_fips.sh' erneut aus, um den FIPS-Modus in Sentinel-Server zu aktivieren.
Die Installation wird jedoch erfolgreich abgeschlossen. (BUG 817828)
Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: zu viele Argumente
(BUG 810764)
Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Bei Appliance-Aktualisierungen von Versionen vor Sentinel 7.2 tritt ein Fehler auf, weil der Hersteller der Aktualisierungspakete von Novell zu NetIQ geändert wurde. (BUG 780969)
Behelfslösung:
Rüsten Sie die Appliance mit dem Befehl "zypper" auf. Weitere Informationen finden Sie unter Upgrading the Appliance by Using zypper
(Aufrüsten der Appliance mit zypper) im NetIQ Sentinel Installation and Configuration Guide (Installations- und Konfigurationshandbuch für NetIQ Sentinel).
Problem: Solution Manager installiert keine Korrelationsregeln, wenn eine Korrelationsregel mit einem identischen Namen bereits im System vorhanden ist. In der Konsole wird der Fehler NullPointerException protokolliert. (BUG 713962)
Behelfslösung: Stellen Sie sicher, dass alle Korrelationsregeln einen eindeutigen Namen haben.
Problem: Beim Ausführen einer Sentinel-Link-Aktion über die Sentinel-Weboberfläche zeigt Sentinel eine Meldung zum erfolgreichen Abschluss an, auch wenn bei der Sentinel-Link-Connector-Integrationsprüfung vom Sentinel Control Center Fehler aufgetreten sind. (BUG 710305)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn ein Sicherheitsintelligenz-Dashboard und eine Abweichungsdefinition identische Namen haben, wird der Dashboard-Link auf der Abweichungsdetailseite deaktiviert. (BUG 715986)
Behelfslösung: Stellen Sie sicher, dass Sie beim Erstellen von Dashboards und Abweichungsdefinitionen eindeutige Namen verwenden.
Problem: Die Sentinel-Weboberfläche zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Sentinel-Weboberflächencomputers hinter der Sentinel-Serveruhrzeit liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Sentinel-Weboberflächencomputers 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (BUG 719875)
Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Weboberfläche verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.
Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (BUG 870609)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Beim Sammeln von Ereignisdaten erfasst der Sentinel Agent Manager keine Windows-Einfügungszeichenketten, die den Wert „null“ enthalten. (BUG 838825)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Wir möchten Ihnen stets eine nützliche, aussagekräftige Dokumentation an die Hand geben. Sie haben Verbesserungsvorschläge? Dann senden Sie sie uns per Email an Documentation-Feedback@netiq.com. Wir freuen uns auf Ihre Rückmeldung.
Ausführliche Kontaktinformationen finden Sie auf der Website mit den Support-Kontaktangaben.
Allgemeine Informationen zu unserem Unternehmen und unseren Produkten finden Sie auf der NetIQ-Firmenwebsite.
Werden Sie Mitglied in unserer Community, und führen Sie interaktive Gespräche mit Fachkollegen und NetIQ-Experten. In der NetIQ-Online-Community finden Sie Produktinformationen, Links zu nützlichen Ressourcen, Blogs und Social-Media-Kanäle.
Informationen zu rechtlichen Hinweisen, Haftungsausschlüssen, Gewährleistungen, Ausfuhrbeschränkungen und sonstigen Nutzungseinschränkungen für NetIQ, Patentrichtlinien und Einschränkungen von Rechten der US-Regierung und Erfüllung von FIPS finden Sie unter http://www.netiq.com/company/legal/.
Copyright © 2016 NetIQ Corporation. Alle Rechte vorbehalten.
Weitere Informationen zu den Marken von NetIQ finden Sie im Internet unter http://www.netiq.com/company/legal/. Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.