Sentinel 7.4 bietet neue Funktionen und ist einfacher in der Bedienung. Einige in früheren Versionen auftretende Probleme wurden behoben.
Viele der eingeführten Verbesserungen sind Umsetzungen von Vorschlägen unserer Kunden. Wir möchten uns auf diesem Wege bei Ihnen für Ihr wertvolles Feedback bedanken. Wir hoffen, Sie unterstützen uns weiterhin dabei, unsere Produkte optimal an Ihre Bedürfnisse anzupassen. Senden Sie uns Ihr Feedback als Beitrag im Sentinel-Forum in NetIQ Communities, unserer Online-Community. Hier finden Sie auch Produktinformationen, Blogs und Links zu weiteren nützlichen Ressourcen.
Die Dokumentation für dieses Produkt steht auf der NetIQ-Website im HTML- und PDF-Format zur Verfügung. Für den Zugriff auf diese Dokumentationsseite ist keine Anmeldung erforderlich. Wenn Sie uns einen Verbesserungsvorschlag in Bezug auf die Dokumentation mitteilen möchten, nutzen Sie die Schaltfläche comment on this topic (Kommentar zum Thema abgeben), die Sie unten auf jeder Seite der HTML-Version unserer auf der Sentinel NetIQ-Dokumentationswebseite veröffentlichten Dokumentation finden. Dieses Produkt steht auf der Website der Sentinel-Produktaufrüstung zum Herunterladen bereit.
Die aktuelle Fassung dieser Versionshinweise sind die Sentinel 7.4-Versionshinweise.
In den folgenden Abschnitten werden wichtige Funktionen und Verbesserungen in dieser Version sowie die behobenen Probleme vorgestellt:
Abschnitt 1.2, Zusätzliche Berechtigungen zur Berichtsverwaltung
Abschnitt 1.3, Freigabe und Zugriffsbeschränkungen für Berichte
Abschnitt 1.4, Eskalation von Warnmeldungen zu einem Vorfall
Abschnitt 1.5, Ausführung von Aktionen bei Warnmeldungsauslösungsereignissen
Abschnitt 1.6, Korrelationsregel für Sequenzzeitüberschreitung
Sentinel ist nun für die folgenden Plattformen getestet und zertifiziert:
Betriebssystem: SUSE Linux Enterprise Server (SLES) 11 Service Pack 4 (64-Bit).
SLES 11 SP4 ist nur für konventionelle Installationen zertifiziert.
Datensynchronisierung: Microsoft SQL Server 2014.
Weitere Informationen zu den zertifizierten Plattformen finden Sie unter Technical Information for Sentinel (Technische Informationen zu Sentinel).
Neben der Berechtigung Berichte verwalten stellt Sentinel nun Berichtsberechtigungen auf granularer Ebene bereit, mit denen Sie Benutzern Berechtigungen für einzelne Berichtsvorgänge zuweisen und andere Vorgänge ausschließen können:
Berichte importieren: Mit der Berechtigung Berichte verwalten können Benutzer Berichte nur erstellen, exportieren, ausführen und löschen. Um Berichte zu importieren, benötigen Benutzer nun die Berechtigung Berichte importieren.
Berichte ausführen: Mit dieser Berechtigung können Benutzer Berichte ausschließlich ausführen.
Berichte freigeben: Damit können Benutzer Berichte für andere Rollen freigeben.
Weitere Informationen zu Berechtigungen finden Sie unter Configuring Roles and Users
(Konfigurieren von Rollen und Benutzern) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Sie können Berichte nun für andere Rollen freigeben und steuern, wer auf Standardberichte zugreifen kann:
Freigabe von Berichten für andere Rollen: Sie können Berichte für andere Rollen freigeben, ohne die Eigentümerschaft für Ihre Berichte vollständig zu übertragen. Bei der Freigabe von Berichten für andere Rollen können die entsprechenden Benutzer Ihre Berichte je nach den ihnen zugewiesenen Berichtsberechtigungen anzeigen oder ausführen, aber nicht löschen.
Zugriffsbeschränkungen für Standardberichte: Standardmäßig werden Standardberichte allen Sentinel-Benutzern angezeigt. Die Ergebnisse dieser Berichte können vertrauliche Auditdaten enthalten, auf die möglicherweise nicht alle Benutzer zugreifen können sollen. Sie können die Sichtbarkeit je nach Bedarf auf sich selbst, auf Benutzer mit Ihrer Rolle oder Benutzer mit bestimmten Rollen einschränken.
HINWEIS:Nur Benutzer mit Verwalterfunktion können die Sichtbarkeit von Standardberichten einschränken.
Weitere Informationen finden Sie unter Working with Reports
(Arbeiten mit Berichten) im NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Nach der ordnungsgemäßen Untersuchung einer Warnmeldung stellen Sie möglicherweise fest, dass ein ernst zu nehmendes Problem vorliegt und die Warnmeldung genauer durch den Sicherheitsanalysten untersucht werden muss. Sie können solche Warnmeldungen in Sentinel nun zu einem Vorfall eskalieren, ohne die bereits geleistete Arbeit im Rahmen der Untersuchung der Warnmeldung zu verlieren. Weitere Informationen zur Eskalation von Warnmeldungen zu einem Vorfall finden Sie unter Escalating Alerts to an Incident
(Eskalation von Warnmeldungen zu einem Vorfall) im NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Sentinel umfasst nun ein Suchsymbol auf der Seite „Warnmeldungsdetails“, mit dem Sie nach Ereignissen suchen können, die die Warnmeldung ausgelöst haben. Die erforderlichen Aktionen für die angezeigten Warnmeldungsauslösungsereignisse können Sie auf ähnliche Weise wie bei anderen Ereignissen auf der Suchseite ausführen. Informationen zur Anzeige der Seite „Warnmeldungsdetails“ finden Sie unter Viewing Alerts
(Anzeigen von Warnmeldungen) m NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Sentinel umfasst nun einen neuen Korrelationsregeltyp namens „Sequenzzeitüberschreitung“. Diese Regel erkennt, wenn eines oder mehrere Ereignisse nicht in der angegebenen Reihenfolge auftreten. Die Sequenzzeitüberschreitungsregel wird ausgelöst, wenn auf Ereignisse, die mit der ersten untergeordneten Regel übereinstimmen, innerhalb eines angegebenen Zeitraums keine Ereignisse folgen, die der zweiten untergeordneten Regel entsprechen. Sie können beispielsweise eine Sequenzzeitüberschreitungsregel erstellen, um Szenarien zu erkennen, bei denen ein Server angehalten, aber nicht innerhalb von 5 Minuten wieder gestartet wurde. Weitere Informationen zur Sequenzzeitüberschreitungsregel finden Sie unter Sequence Timeout Rule
(Sequenzzeitüberschreitungsregel) im NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Bei der Installation und Konfiguration des Collector-Managers und der Correlation Engine muss die Benutzerberechtigung nicht mehr aus der Datei activemqusers.properties kopiert werden. Zur Verbesserung von Sicherheit und Benutzerfreundlichkeit können Sie in Sentinel nun die admin-Benutzerberechtigung verwenden, um Collector Manager und Correlation Engine zu konfigurieren. Weitere Informationen finden Sie unter Installing Sentinel
(Installation von Sentinel) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und Konfigurationshandbuch).
Sie können nun eine SSL-Verbindung herstellen, um einen sicheren, verschlüsselten Kommunikationskanal zwischen dem Sentinel-Server und einer externen Datenbank herzustellen. Weitere Informationen finden Sie unter Enabling SSL Communication for Data Synchronization
(Aktivierung der SSL-Kommunikation für die Datensynchronisierung) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Sentinel 7.4 enthält nun Java 8 Update 60, das Korrekturen für verschiedene Sicherheitsschwachstellen bietet.
HINWEIS:Die entsprechenden Korrekturen der Java-Sicherheitsschwachstellen sind mit NetIQ Change Guardian 4.2 und höher verfügbar. Um Ereignisse von Change Guardian empfangen zu können, müssen Sie daher Change Guardian 4.2 oder höher installieren. Wenn ein Change Guardian-Server bereits vor der Aufrüstung auf Sentinel 7.4 Ereignisse an Sentinel sendet, müssen Sie zunächst den Change Guardian-Server, die Agenten und den Richtlinieneditor auf Version 4.2 aufrüsten, damit Sentinel auch nach der Aufrüstung weiterhin Ereignisse von Change Guardian empfängt.
Sentinel 7.4 enthält nun PostgreSQL 9.4.1, das Korrekturen für verschiedene Sicherheitsschwachstellen bietet.
Sentinel 7.4 umfasst neue und aktualisierte Versionen der Sentinel-Plugins. Die aktuelle Version der Collectors und Connectors ist erst nach einer Neuinstallation verfügbar. Die aktuelle Version der Integratoren und Aktionen ist sowohl nach einer Neuinstallation als auch nach einer Aufrüstung verfügbar. Bei der Aufrüstung auf Sentinel 7.4 informieren Sie sich am besten zunächst auf der Website der Sentinel-Plugins über den Versionsverlauf der aktuellen Collectors und Connectors in der zugehörigen Dokumentation und entscheiden dann, welche Plugins heruntergeladen und installiert werden sollen.
Sentinel 7.4 enthält einige Softwarekorrekturen zur Behebung mehrerer Probleme.
Eine Liste der Softwarekorrekturen und Erweiterungen in früheren Versionen finden Sie in den entsprechenden Versionshinweisen.
Protokollierung von Ausnahmen bei mehrfachem Klicken auf „Speichern“ während der Benutzererstellung
Collector Manager kann nicht installiert werden, wenn das Passwort Sonderzeichen enthält
Nach Deinstallation von Sentinel keine Neuinstallation möglich
Fehlerhafte Anzeige von Ereignisfeldnamen für Ereignisfelder mit Kundenvariablen
Unbrauchbare Echtzeit-Ereignisansichten bei großer Zahl von Werten für das Serienelement „Sonstiges“
Bei Flächendiagrammen keine klare Anzeige von Ereignisansichten in Sentinel
Erstellung bezugsloser Dateideskriptoren bei Verwendung der EPSHistory-REST-API
Problem: Wenn Sie beim Erstellen eines neuen Benutzers mehrfach auf Speichern klicken, versucht Sentinel, mehrere Benutzer für denselben Benutzereintrag zu erstellen und protokolliert Ausnahmen. (BUG 944475)
Korrektur: Speichern wird in Sentinel nun nach dem Klicken deaktiviert, bis der neue Benutzerdatensatz gespeichert ist. Sie können in Sentinel außerdem zu einem Zeitpunkt jeweils immer nur einen Benutzereintrag erstellen. Dadurch ist sichergestellt, dass nicht mehrere Einträge für denselben Benutzer gespeichert werden können.
Problem: Der Sentinel Agent Manager-Connector zeigt im Ereignisfeld ObserverEventTime falsche Daten an, wenn Sentinel Agent Manager auf das Standard-Systemgebietsschema festgelegt ist. Daten- und Zeitwerte ändern sich daher mit der Systemsprache. (BUG 929551)
Korrektur: Der Sentinel Agent Manager-Connector zeigt im Ereignisfeld ObserverEventTime nun unabhängig von der Systemsprache in Sentinel Agent Manager die richtigen Daten an.
Problem: Potenzielle Angreifer können über die Sentinel-Webschnittstelle Inhalte einschließen, die Clickjacking verursachen können. (BUG 949924)
Korrektur: Es können nun keine externen Inhalte mehr über die Sentinel-Webschnittstelle eingeschlossen werden.
Problem: Angepasste korrelierte Ereignisfelder gehen beim Verknüpfen oder Trennen einer Aktion (alle Aktionen außer Warnmeldung erstellen) mit bzw. von der Korrelationsregel verloren. (BUG 949389)
Korrektur: Beim Verknüpfen oder Trennen einer Aktion (alle Aktionen außer Warnmeldung erstellen) mit bzw. von der Korrelationsregel gehen keine angepassten korrelierten Ereignisfelder mehr verloren.
Problem: Wenn Sie bei der Installation eines Collector-Managers ein Passwort angeben, das Sonderzeichen wie „$“, „"“, „\“ oder „/“ enthält, tritt bei der Installation ein Fehler tritt auf. (BUG 812111)
Korrektur:
Der Collector-Manager-Installationsvorgang wurde geändert. Sie müssen die Benutzerberechtigung für den Collector-Manager nicht mehr angeben. Sie müssen nun das admin-Benutzerpasswort eingeben, das Sonderzeichen enthalten kann. Weitere Informationen finden Sie im Abschnitt Installing Collector Managers and Correlation Engines
(Installation von Collector-Managern und Correlation Engines) im NetIQ Sentinel Installation and Configuration Guide > Installing Sentinel (NetIQ Sentinel-Installations- und Konfigurationshandbuch > Installation von Sentinel).
Problem: Nach der Migration von NetIQ Security Manager auf Sentinel Agent Manager bleiben bestimmte Security Manager-Datenbanken bestehen. Diese Datenbanken müssen in Sentinel Agent Manager getrennt werden. (BUG 920939)
Korrektur: Security Manager-Datenbanken werden nun nach Abschluss der Migration in Sentinel Agent Manager getrennt.
Problem: Sentinel kann nach der Deinstallation nicht mehr installiert werden. (BUG 924567)
Korrektur: Der Sentinel-Installationsvorgang wurde zur Lösung dieses Problems aktualisiert. Sentinel kann nun nach der Deinstallation neu installiert werden.
Problem: Sentinel zeigt in den Suchergebnissen statt der Anzeigenamen für die Ereignisfelder Kurznamen für Ereignisfelder mit Kundenvariablen an. (BUG 950361)
Korrektur: Sentinel zeigt in den Suchergebnissen nun den vollständigen Namen für Ereignisfelder an.
Problem: Liegen für das Serienelement Sonstiges viele Werte vor, werden Echtzeit-Ereignisansichten unbrauchbar, weil die richtige Datenperspektive verloren geht. (BUG 948003)
Korrektur: Das Serienelement Sonstiges ist standardmäßig deaktiviert. Wenn Sie das Serienelement Sonstiges verwenden möchten, klicken Sie in den Ereignisansichten auf Sonstiges, um das Element zu aktivieren.
Problem: Flächendiagramme sind in den Ereignisansichten bei hohem EPS-Wert nicht klar zu sehen. (BUG 947891)
Korrektur: Sentinel zeigt Ereignisansichten nun in Form gestapelter Flächendiagramme an.
Problem: Die Anzahl der verfügbaren Dashboards wird nicht im Navigationsbereich angezeigt. (BUG 948081)
Korrektur: Sentinel zeigt die Anzahl der verfügbaren Dashboards nun an.
Problem: Wenn Legendennamen zu lang sind, nehmen sie zu viel Platz ein und das Diagramm wird nicht richtig angezeigt. (BUG 949310)
Korrektur: Sentinel schneidet zu lange Legendennamen nun nach 24 Zeichen ab.
Problem: Bei Aufruf der EPSHistory-REST-API wird ein neuer Dateideskriptor zum Lesen von eps.data erstellt und nicht wieder geschlossen. Dadurch werden bezugslose Dateideskriptoren erstellt. (BUG 947974)
Korrektur: Sentinel schließt Dateideskriptoren nun richtig.
Weitere Informationen zu den Hardwarevoraussetzungen und den unterstützten Betriebssystemen und Browsern finden Sie auf der Website mit technischen Daten zu Sentinel.
Informationen zur Installation von Sentinel 7.4 finden Sie im NetIQ Sentinel Installation an Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Sie können von Sentinel 7.0 oder höher auf Sentinel 7.4 aufrüsten.
Sentinel 7.4 ist mit Change Guardian 4.2 und höher kompatibel. Wenn ein Change Guardian-Server vor der Aufrüstung auf Sentinel 7.4 Ereignisse an Sentinel sendet, müssen Sie zunächst den Change Guardian-Server, die Agenten und den Richtlinieneditor auf Version 4.2 aufrüsten, damit Sentinel auch nach der Aufrüstung weiterhin Ereignisse von Change Guardian empfängt.
Laden Sie das Sentinel-Installationsprogramm von der NetIQ-Download-Website herunter. Weitere Informationen zur Aufrüstung auf Sentinel 7.4 finden Sie unter Aufrüsten von Sentinel
im Installations- und Konfigurationshandbuch für NetIQ Sentinel.
Sie können die Appliance mit WebYaST nur ab Sentinel-Version 7.3.2 und nur dann aufrüsten, wenn Sie NetIQ Change Guardian RPM wie in Upgrading NetIQ Change Guardian RPM
(Aufrüstung von NetIQ Change Guardian RPM) in den Sentinel 7.3.2-Versionshinweisen beschrieben manuell aufgerüstet haben.
Appliance-Aufrüstungen von Versionen unter Sentinel 7.3.2 müssen mit dem zypper-Befehlszeilenprogramm ausgeführt werden, weil zum Abschließen der Aufrüstung eine Benutzerinteraktion erforderlich ist. In WebYaST ist die hierfür erforderliche Benutzerinteraktion nicht möglich. Informationen zur Aufrüstung der Appliance mit zypper finden Sie unter Upgrading the Appliance by Using zypper
(Aufrüstung der Appliance mit zypper) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und Konfigurationshandbuch).
(BUG 956278)
Gehen Sie wie folgt vor, wenn Sie Sentinel 7.2.2 oder eine ältere Version aufrüsten:
Nach der Aufrüstung verfügt die Suchvertretungs-Rolle nicht über die Berechtigung Benutzern erlauben, Warnmeldungen zu verwalten. Die Rolle benötigt diese Berechtigung, um eine Remote-Suche nach Warnmeldungen auszuführen. Weisen Sie der Suchvertretungs-Rolle die Berechtigung Benutzern erlauben, Warnmeldungen zu verwalten manuell zu.
Weitere Informationen finden Sie unter Configuring Roles and Users
(Konfigurieren von Rollen und Benutzern) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Zur Gewährleistung der Konsistenz mit neueren Versionen von Sentinel und der Sentinel-Dokumentation benennen Sie die Suchvertretungs-Role nach der Aufrüstung in „Datenvertretungsbenutzer“ um.
NetIQ Corporation ist bestrebt, Produkte zu bieten, die hochwertige Lösungen für die Softwarebedürfnisse Ihres Unternehmens darstellen. Die nachfolgend beschriebenen Probleme werden zurzeit untersucht. Wenden Sie sich an den Technischen Support, wenn Sie weitere Hilfe zu einem Problem benötigen.
Die Java 8-Aktualisierung und die Korrekturen von Sicherheitsschwachstellen, die in Sentinel 7.3.1 oder höher enthalten sind, können die folgenden Plugins beeinträchtigen:
Cisco SDEE Connector
SAP-Connector
Remedy Integrator
Probleme mit diesen Plugins werden bei NetIQ gemäß den Standardrichtlinien für die Mängelbehebung priorisiert und behoben. Weitere Informationen zu den Supportrichtlinien finden Sie auf der Website zu den Supportrichtlinien.
Abschnitt 5.7, Warnmeldungen mit IPv6-Daten können nicht in Warnmeldungsansichten angezeigt werden
Abschnitt 5.8, Bar-Mitzvah-Sicherheitsschwachstelle im Sentinel Link-Connector
Abschnitt 5.10, Sentinel Agent Manager berücksichtigt die RawDataTapFileSize-Konfiguration nicht
Abschnitt 5.17, Laden von Sicherheitsintelligenz-Verlaufsdaten dauert lange
Abschnitt 5.26, Sentinel-Services starten nach der Installation unter Umständen nicht automatisch
Abschnitt 5.28, Die Anzeige von mehreren Berichten gleichzeitig ist nicht möglich
Abschnitt 5.30, Sentinel-Hochverfügbarkeitsinstallation im FIPS-140-2-Modus gibt einen Fehler zurück
Abschnitt 5.32, Fehler bei der Appliance-Aktualisierung in WebYaST von Versionen vor Sentinel 7.2
Abschnitt 5.33, Fehler beim Installieren von Korrelationsregeln
Abschnitt 5.34, Sentinel-Link-Aktion zeigt falsche Meldung an
Abschnitt 5.35, Dashboard und Abweichungsdefinitionen mit identischen Namen
Abschnitt 5.36, Ungenaue Angaben in den Spalten „Dauer“ und „Zugegriffen“ für aktive Suchaufträge
Problem: Bei Ausführung des configure.sh-Skripts bei benutzerdefinierten Installationen von Collector Managers und Correlation Engines zeigt Sentinel folgenden Fehler an:
Error getting the client keystore file. Refer to /two/var/opt/novell/sentinel/log/install.log for detailed error messages.
(BUG 956466)
Behelfslösung: Ignorieren Sie den Fehler. Die Konfiguration kann wie normal fortgesetzt werden.
Problem: Wird Sentinel in Sentinel High Availability (HA) durch die Aktualisierung von Konfigurationsdateien oder Änderungen an der Sentinel-Webschnittstelle im aktiven Knoten angepasst, werden die Änderungen nicht in den passiven Knoten übernommen. Die Synchronisierung muss manuell gestartet werden.
Beispielsweise müssen Sie die Synchronisierung in den folgenden Szenarien manuell starten:
Wenn Sie das Kommunikationsprotokoll in SSL ändern, indem Sie die Datei /etc/opt/novell/sentinel/config/databasePlatforms.xml für die folgende Eigenschaft aktualisieren:
ssl=require
Wenn für Sentinel der FIPS-Modus festgelegt ist, wird die Synchronisierung zur Konvertierung aller passiven Knoten in den FIPS-Modus nicht vollständig ausgeführt. Bei einem Failover in einem solchen Szenario startet die Sentinel-Webschnittstelle nicht.
Bei Änderung der LDAP-Konfiguration im aktiven Knoten wird dieser nicht mit den passiven Knoten synchronisiert. Aus diesem Grund können Sie in den passiven Knoten keine LDAP-Konten authentifizieren.
(BUG 956702 und BUG 954472)
Behelfslösung: Bei Änderung einer Konfigurationsdatei oder Änderungen an Dateien aufgrund von Änderungen in der Sentinel-Webschnittstelle fügen Sie die betreffende Datei oder das betreffende Verzeichnis manuell für die Synchronisierung hinzu. Gehen Sie dazu wie folgt vor:
Melden Sie sich als root-Benutzer am aktiven Knoten an.
Fügen Sie die Datei oder das Verzeichnis für die Synchronisierung hinzu, indem Sie in die Datei /etc/csync2/csync2.cfg folgende Zeile einfügen:
include <Dateiname oder Verzeichnis>;
Beispiel:
Fügen Sie folgende Zeile hinzu, wenn Sie das Kommunikationsprotokoll in der Datei /etc/opt/novell/sentinel/config/databasePlatforms.xml in SSL geändert haben:
include /etc/opt/novell/sentinel/config/databasePlatforms.xml;
Fügen Sie folgende Zeile hinzu, wenn Sie passive Knoten mit dem FIPS-Modus synchronisieren möchten:
include /etc/opt/novell/sentinel/config/nonfips_backup;
Fügen Sie folgende Zeile hinzu, wenn Sie die LDAP-Konfiguration geändert haben:
include /etc/opt/novell/sentinel/config/auth.login;
Starten Sie die Synchronisierung manuell, indem Sie folgenden Befehl ausführen:
csync2 -x -v
Damit werden alle passiven Knoten mit den Aktualisierungen synchronisiert.
Problem: Im Rahmen der in Sentinel 7.3.1 enthaltenen Korrekturen für Sicherheitsschwachstellen wurden Änderungen am Kommunikationsmechanismus für gesicherte Verbindungen eingeführt. Diese Änderungen sind nicht mit dem Sentinel-UNIX-Agenten 7.4 kompatibel. Daher kann Sentinel keine Ereignisse vom Sentinel-UNIX-Agenten 7.4 empfangen. (BUG 953990)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen. Das Problem wird behoben, sobald eine kompatible Version des Sentinel-UNIX-Agenten verfügbar ist.
Problem: Sentinel zeigt einen Fehler an, wenn Sie versuchen, NFS weiterhin als Sekundärspeicher zu nutzen, nachdem Sie die Sentinel-Appliance auf Version 7.3.1 oder höher aufgerüstet haben. (BUG 934851)
Behelfslösung: Starten Sie das SLES-Betriebssystem nach dem Aufrüsten auf die Sentinel-Appliance mit dem folgenden Befehl neu:
init 6
Problem: Wenn Sie Sentinel von Version 7.3 auf Version 7.3.1 aufrüsten und dann den Sentinel-Server starten, wird die folgende Ausnahme im Serverprotokoll angezeigt:
Invalid length of data object ......
(BUG 933640)
Behelfslösung: Ignorieren Sie die Ausnahme. Diese Ausnahme wirkt sich nicht auf die Leistung von Sentinel aus.
Problem: Sentinel kommuniziert über das Diffie-Hellman-Protokoll mit Secure Configuration Manager. Im Rahmen der Behebung der Logjam-Schwachstelle wurde die Größe des Zertifikatsschlüssels für das Diffie-Hellman-Protokoll in Sentinel auf 2048 erhöht. Secure Configuration Manager verwendet jedoch weiterhin die standardmäßige Zertifikatsschlüsselgröße (1024). Aufgrund dieser Abweichung kann Secure Configuration Manager nicht mehr mit Sentinel kommunizieren. (BUG 935987)
Behelfslösung: Bis zur Bereitstellung einer Korrektur für Secure Configuration Manager führen Sie die folgenden Schritte aus:
ACHTUNG:Diese Behelfslösung hebt die Korrektur der Logjam-Schwachstelle auf, die im Abschnitt Korrekturen von Sicherheitsschwachstellen
in den Sentinel 7.3.1-Versionshinweisen beschrieben ist.
Melden Sie sich als Benutzer novell an und öffnen Sie die Datei /etc/opt/novell/sentinel/config/configuration.properties.
Kommentieren Sie die folgende Zeile mit dem Präfix # aus:
jdk.tls.ephemeralDHKeySize=2048
Starten Sie Sentinel neu.
Problem: In den Warnmeldungsansichten und Warnmeldungs-Dashboards von Sentinel werden keine Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (BUG 924874)
Behelfslösung: Zum Anzeigen von Warnmeldungen mit IPv6-Adressen in Sentinel führen Sie die Schritte im NetIQ-Knowledgebase-Artikel 7016555 aus.
Problem: In Sentinel Link-Connector ist die Bar-Mitzvah-Sicherheitsschwachstelle vorhanden. Der Sentinel Link-Connector verwendet den RC4-Algorithmus im SSL- und TSL-Protokoll, so dass unter Umständen Plaintext-Recovery-Angriffe auf die ersten Byte in einem Datenstrom möglich sind. Weitere Informationen finden Sie unter CVE-2015-2808. (BUG 933741)
Behelfslösung: Der Sentinel Link-Connector Version 2011.1r4 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.
Problem: Der Agent Manager-Connector Version 2011.1r3 legt die Eigenschaft CONNECTION_MODE in den Ereignissen nicht fest, wenn der Collector, der die Ereignisse analysiert, mehrere Verbindungsmodi unterstützt. (BUG 880564)
Behelfslösung: Der Agent Manager-Connector Version 2011.1r5 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.
Problem: Sentinel Agent Manager ignoriert den Wert, der für das Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config für die Konfiguration der Rohdatendateigröße angegeben ist, und schreibt nicht mehr in die Rohdatendatei, wenn die Dateigröße 10 MB erreicht. (BUG 867954)
Behelfslösung: Kopieren Sie den Inhalt der Rohdatendatei in eine andere Datei und löschen Sie die Datei, wenn ihre Größe 10 MB erreicht, damit Sentinel Agent Manager erneut Daten in die Datei schreiben kann.
Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel in der Tipps-Tabelle in der Weboberfläche Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt. (BUG 914755)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem:
Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Weitere Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy
(Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (BUG 913014)
Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.
Problem: Wenn Sie eine Ereignissuche ausführen während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (BUG 908666)
Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:
Geben Sie im Feld Nur Ereignisse, die mit diesen Kriterien übereinstimmen ein Kriterium an. Wenn die Benutzer der Rolle keine Ereignisse sehen sollen, können Sie NOT sev:[0 TO 5] eingeben.
Wählen Sie Systemereignisse anzeigen aus.
Wählen Sie Alle Ereignisdaten anzeigen (einschließlich Rohdaten und NetFlow-Daten) aus.
Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich Ereignisfelder, in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden. (BUG 900293)
Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich Ereignisfelder auf der Zeitplanseite angezeigt wird.
Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich Aktivitätsstatistik auf das Symbol Ausgelöste Anzahl klicken. (BUG 912820)
Behelfslösung: Ändern Sie den Wert im Feld Von auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf Suchen.
Problem: Wenn Sie in der Warnmeldungsansicht auf Alle auswählen klicken, um Warnmeldungen auszuwählen, und dann die Auswahl einiger Warnmeldungen aufheben und diese Warnmeldungen bearbeiten, sind neue eingehende Warnmeldungen in der aktualisierten Warnmeldungsansicht ebenfalls ausgewählt. Dies führt zu einer falschen Anzahl der zur Bearbeitung ausgewählten Warnmeldungen und es könnte angenommen werden, dass neue eingehende Warnmeldungen ebenfalls geändert werden. Es werden jedoch nur die ursprünglich ausgewählten Warnmeldungen bearbeitet. (BUG 904830)
Behelfslösung: Wenn Sie die Warnmeldungsansicht mit einem benutzerdefinierten Zeitraum erstellen, werden keine neuen Warnmeldungen in der Warnmeldungsansicht angezeigt.
Problem: Das Laden von Verlaufsdaten der Sicherheitsintelligenz (SI) in Sentinel-Systeme mit hoher EPS-Last dauert lange. (BUG 908599)
Behelfslösung: Wenn Sie ein Sicherheitsintelligenz-Dashboard mit Verlaufsdaten erstellen, planen Sie die Bereitstellung des Dashboards wenn möglich für einen Zeitpunkt mit niedriger Systemlast. Momentan lässt sich dieses Problem nicht anders umgehen.
Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt. (BUG 912009)
Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.
Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (BUG 913599)
Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.
Sie können Beibehaltungsrichtlinien erstellen, die Ereignisse auf Grundlage des Felds estzhour filtern. Dieses Feld dient der Nachverfolgung der Stunde des Tages. Sie können also eine Beibehaltungsrichtlinie mit dem Filter estzhour:[0 TO 11] und eine weitere Beibehaltungsrichtlinie mit dem Filter estzhour:[12 TO 23] erstellen.
Weitere Informationen finden Sie im Abschnitt Configuring Data Retention Policies
(Datenbeibehaltungsrichtlinien konfigurieren) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (BUG 914874)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:
Öffnen Sie die Datei /etc/sysconfig/SuSEfirewall2.
Ändern Sie die folgende Zeile:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
in
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Starten Sie Sentinel neu.
Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkd um 50 %, wenn Remote-Collector-Manager Ereignisse senden. (BUG 906715)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn Sie Sentinel im FIPS-140-2-Modus installieren, kann der Connector zur Sicherheitsintelligenzdatenbank nicht gestartet werden, und Sentinel hat keinen Zugriff auf Sicherheitsintelligenzdaten, NetFlow-Daten und Warnmeldungsdaten. (BUG 915241)
Behelfslösung: Starten Sie Sentinel neu, nachdem Sie es im FIPS-140-2-Modus installiert und konfiguriert haben.
Problem: Wenn Sie von einer benutzerdefinierten Installation von Sentinel, die mit einem Nicht-root-Benutzer installiert und im FIPS-140-2-Modus konfiguriert wurde, auf Sentinel aufrüsten, werden die Sicherheitsintelligenzdatenbank und das Warnmeldungs-Dashboard gelegentlich nicht gestartet. (BUG 916285)
Behelfslösung: Führen Sie die folgenden Schritte aus:
Wechseln Sie zu <benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin, um den Sentinel-Indexdienst zu ermitteln.
Führen Sie den folgenden Befehl aus:
./si_db.sh status
Überprüfen Sie, ob die folgende Ausgabe angezeigt wird:
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
Wenn einer der drei oben genannten Dienste nicht ausgeführt wird, führen Sie die folgenden Schritte aus:
Führen Sie folgenden Befehl aus, um Sentinel zu stoppen:
rcsentinel stop
Melden Sie sich beim Sentinel-Server als der Benutzer novell an.
Führen Sie den folgenden Befehl aus:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/si_db.sh startnoauth
Führen Sie folgenden Befehl aus, um die Benutzer „dbauser“ und „appuser“ hinzuzufügen:
cd <benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
exit
Stoppen Sie die MongoDB-Datenbank:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/si_db.sh stop
Führen Sie die folgenden Schritte aus, um verschlüsselte Passwortfelder hinzuzufügen:
Führen Sie folgenden Befehl aus, um das verschlüsselte Passwort für den Benutzer novell abzurufen:
<benutzerdefiniertes Installationsverzeichnis>/opt/novell/sentinel/bin/encryptpwd -e novell
Das verschlüsselte Passwort wird angezeigt. Beispiel:
bVWOzu6okMmMCkgM0aHeQ==
Aktualisieren Sie in der Datei configuration.properties die Eigenschaften baselining.sidb.password und baselining.sidb.dbpassword mit dem verschlüsselten Passwort. Beispiel:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
Melden Sie sich vom novell-Benutzerkonto ab und starten Sie Sentinel mit dem folgenden Befehl mit dem root-Benutzer:
rcsentinel start
HINWEIS:Führen Sie immer bei Bedarf das Skript configure.sh aus, um das Passwort zurückzusetzen. Weitere Informationen zum Ausführen des Skripts configure.sh finden Sie unter Modifying the Configuration after Installation
(Bearbeiten der Konfiguration nach der Installation) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Problem: Die Sentinel-Appliance-Netzwerkschnittstelle ist nicht standardmäßig konfiguriert. (BUG 867013)
Behelfslösung: So konfigurieren Sie die Netzwerkschnittstelle:
Klicken Sie auf der Seite Netzwerkkonfiguration auf Network Interfaces (Netzwerkschnittstellen).
Wählen Sie die Netzwerkschnittstelle aus und klicken Sie auf Bearbeiten.
Wählen Sie Dynamic Address (Dynamische Adresse) und dann entweder DHCP oder Static assigned IP Address (Statisch zugewiesene IP-Adresse).
Klicken Sie auf Weiter und dann auf OK.
Problem: Beim Exportieren von Suchergebnissen in Sentinel wird im Webbrowser ggf. ein Fehler angezeigt, wenn Sie die Spracheinstellungen für das Betriebssystem ändern. (BUG 834874)
Behelfslösung: Zum fehlerfreien Exportieren der Suchergebnisse führen Sie einen der folgenden Schritte aus:
Entfernen Sie beim Exportieren der Suchergebnisse alle Sonderzeichen (außerhalb der ASCII-Zeichen) aus dem Exportdateinamen.
Aktivieren Sie UTF-8 in den Spracheinstellungen des Betriebssystems, starten Sie den Computer neu und starten Sie dann den Sentinel-Server neu.
Problem: Auf Systemen mit mehr als 2 TB Speicherplatz wird Sentinel nach der Installation unter Umständen nicht automatisch gestartet. (BUG 846296)
Behelfslösung: Starten Sie die Sentinel-Services einmalig manuell, indem Sie den folgenden Befehl eingeben:
rcsentinel start
Problem: Wenn Sie in Sentinel-Appliance-Installationen im Kerberos-Modul die Kerberos-Authentifizierung konfigurieren, wird in der Konsole eine Bestätigungsmeldung zur erfolgreichen Konfiguration des Kerberos-Client angezeigt. Wenn Sie das Kerberos-Modul jedoch erneut anzeigen, ist die Option Kerberos-Authentifizierung aktivieren nicht ausgewählt. (BUG 843623)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (BUG 804683)
Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.
Problem: Wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (BUG 814452)
Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist.
Problem: Wenn der FIPS-140-2-Modus aktiviert ist, wird bei der Sentinel-Hochverfügbarkeitsinstallation der folgende Fehler angezeigt:
Die Datei 'configuration.properties' von Sentinel ist falsch. Überprüfen Sie die Konfigurationsdatei und führen Sie das Skript 'convert_to_fips.sh' erneut aus, um den FIPS-Modus in Sentinel-Server zu aktivieren.
Die Installation wird jedoch erfolgreich abgeschlossen. (BUG 817828)
Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: zu viele Argumente
(BUG 810764)
Behelfslösung: Momentan lässt sich dieses Problem nicht beheben oder umgehen. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Bei Appliance-Aktualisierungen von Versionen vor Sentinel 7.2 tritt ein Fehler auf, weil der Hersteller der Aktualisierungspakete von Novell zu NetIQ geändert wurde. (BUG 780969)
Behelfslösung:
Rüsten Sie die Appliance mit dem Befehl "zypper" auf. Weitere Informationen finden Sie unter Upgrading the Appliance by Using zypper
(Aufrüsten der Appliance mit zypper) im NetIQ Sentinel Installation and Configuration Guide (Installations- und Konfigurationshandbuch für NetIQ Sentinel).
Problem: Solution Manager installiert keine Korrelationsregeln, wenn eine Korrelationsregel mit einem identischen Namen bereits im System vorhanden ist. In der Konsole wird der Fehler NullPointerException protokolliert. (BUG 713962)
Behelfslösung: Stellen Sie sicher, dass alle Korrelationsregeln einen eindeutigen Namen haben.
Problem: Beim Ausführen einer Sentinel-Link-Aktion über die Sentinel-Weboberfläche zeigt Sentinel eine Meldung zum erfolgreichen Abschluss an, auch wenn bei der Sentinel-Link-Connector-Integrationsprüfung vom Sentinel Control Center Fehler aufgetreten sind. (BUG 710305)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn ein Sicherheitsintelligenz-Dashboard und eine Abweichungsdefinition identische Namen haben, wird der Dashboard-Link auf der Abweichungsdetailseite deaktiviert. (BUG 715986)
Behelfslösung: Stellen Sie sicher, dass Sie beim Erstellen von Dashboards und Abweichungsdefinitionen eindeutige Namen verwenden.
Problem: Die Sentinel-Weboberfläche zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Sentinel-Weboberflächencomputers hinter der Sentinel-Serveruhrzeit liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Sentinel-Weboberflächencomputers 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (BUG 719875)
Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Weboberfläche verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.
Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (BUG 870609)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Beim Sammeln von Ereignisdaten erfasst der Sentinel Agent Manager keine Windows-Einfügungszeichenketten, die den Wert „null“ enthalten. (BUG 838825)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Wir möchten Ihnen stets eine nützliche, aussagekräftige Dokumentation an die Hand geben. Sie haben Verbesserungsvorschläge? Dann senden Sie sie uns per Email an Documentation-Feedback@netiq.com. Wir freuen uns auf Ihre Rückmeldung.
Ausführliche Kontaktinformationen finden Sie auf der Website mit den Support-Kontaktangaben.
Allgemeine Informationen zu unserem Unternehmen und unseren Produkten finden Sie auf der NetIQ-Firmenwebsite.
Werden Sie Mitglied in unserer Community, und führen Sie interaktive Gespräche mit Fachkollegen und NetIQ-Experten. In der NetIQ-Online-Community finden Sie Produktinformationen, Links zu nützlichen Ressourcen, Blogs und Social-Media-Kanäle.
Informationen zu rechtlichen Hinweisen, Haftungsausschlüssen, Gewährleistungen, Ausfuhrbeschränkungen und sonstigen Nutzungseinschränkungen für NetIQ, Einschränkungen von Rechten und Patentrichtlinien der US-Regierung und Erfüllung von FIPS finden Sie unter http://www.netiq.com/company/legal/.
Copyright © 2015 NetIQ Corporation. Alle Rechte vorbehalten.
Weitere Informationen zu den Marken von NetIQ finden Sie im Internet unter http://www.netiq.com/company/legal/. Die Rechte für alle Marken von Drittanbietern liegen bei den jeweiligen Eigentümern.