Sentinel 8.0-Versionshinweise

Problem: Im Hochverfügbarkeitsmodus füllt der skalierbare Datenmanager von Sentinel die Konfigurationsdateien des Elasticsearch-Sicherheits-Plugins nicht mit den richtigen IP-Adressen der Clusterknoten. Aus diesem Grund zeigen die Suchen und Ereignisgrafik-Dashboards Fehler an.

Behelfslösung: Führen Sie nach der Installation des Elasticsearch-Sicherheits-Plugins auf jedem Knoten des Elasticsearch-Clusters die folgenden Schritte aus:

Problem: Wenn Sie in einer Umgebung mit einem skalierbaren Datenmanager von Sentinel eine Kachelübersichtsgrafik mit Standardoptionen erstellen, verhindert ein Problem mit Kibana, dass die neue Kachelübersichtsgrafik im Ereignisgrafik-Dashboard funktioniert. Weitere Informationen zu diesem Kibana-Problem finden Sie auf https://github.com/elastic/kibana/issues/7717. (Bug 1001909)

Behelfslösung: Wählen Sie beim Erstellen einer neuen Kachelübersichtsgrafik unter Options (Optionen) WMS compliant map server (WMS-kompatibler Übersichtsserver) aus.

Problem: Ein Problem mit Kibana verhindert das Öffnen des Ereginisgrafik-Dashboards in Internet Explorer 11 (Bug 981308)

Behelfslösung: Verwenden Sie zum Anzeigen und Bearbeiten des Grafik-Dashboards einen anderen Browser.

Problem: Wenn Sie Sentinel auf einem Computer installieren, auf dem das Betriebssystem SLES 11 SP4 im FIPS-Modus ausgeführt wird, tritt im Installationsprozess ein Fehler auf. (Bug 990201)

Behelfslösung: Stellen Sie sicher, dass das Betriebssystem nicht im FIPS-Modus ist, und führen Sie dann die folgenden Schritte aus:

Problem: Sentinel empfängt keine Ereignisse über Sentinel Link Connector. (Bug 989784)

Behelfslösung: Sentinel Link Connector Version 2011.1r4 behebt dieses Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie die Vorschauversion des Connectors aus dem Bereich Preview (Vorschau) herunterladen.

Problem: NetIQ eDirectory Instrumentation kann über den Plattform-Agenten keine Verbindung zum Audit-Connector herstellen. Aus diesem Grund empfängt Sentinel keine Ereignisse von eDirectory. Dieses Problem tritt auf, weil eDirectory Instrumentation den Zertifikatalgorithmus MD5 RSA verwendet, der seit dem in Sentinel 8.0 installierten Java 8.0 Update 77 veraltet ist (Bug 985312).

Behelfslösung: Um eDirectory Instrumentation zur Verwendung eines benutzerdefinierten Zertifikats einzurichten, führen Sie die im NetIQ-Knowledgebase-Artikel 7017764 aufgeführten Schritte aus.

Problem: Eine Änderung der Passwortspeicherung in Sentinel 7.4 SP1 führt beim Aufrüsten der Appliance von einer Version unter 7.4 SP1 zur Anzeige des folgenden Fehlers:

Behelfslösung: Die Warnmeldung wird erwartet und kann problemlos ignoriert werden. Sie beeinträchtigt die Aufrüstung nicht.

Problem: Nach der Aktivierung des skalierbaren Datenmanagers von Sentinel zeigt der Browser nach der Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche eine leere Seite an. (Bug 1006677)

Behelfslösung: Schließen Sie den Browser und melden Sie sich erneut bei der Sentinel-Dashboard-Benutzeroberfläche an. Das Problem tritt nur einmal bei der ersten Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche nach der Aktivierung des skalierbaren Datenmanagers auf.

Problem: Der com.novell.sentinel.spark.StreamingEventIndexer-Auftrag unterstützt IPv6 nicht. Wenn ein Ereignis eine IPv6-Adresse enthält, tritt beim Ausführen des Auftrags ein Fehler auf. (Bug 1006975)

Behelfslösung: Als Behelfslösung kann die IP-Adresse in eine Zeichenkette geändert werden. Wenden Sie sich an den technischer Support, um diese Änderung vorzunehmen.

Problem: Nach der Aktivierung des skalierbaren Speichers protokolliert der Server des skalierbaren Datenmanagers von Sentinel mehrere Instanzen der folgenden Meldung:

Behelfslösung: Diese Meldungen können ignoriert werden. Sie beeinträchtigen die Funktion nicht.

Problem: Wenn Sie Sentinel von Version 7.3 auf Version 7.3 SP1 aufrüsten und dann den Sentinel-Server starten, kann die folgende Ausnahme im Serverprotokoll angezeigt werden:

Behelfslösung: Ignorieren Sie die Ausnahme. Diese Ausnahme wirkt sich nicht auf die Leistung von Sentinel aus.

Problem: In den Warnmeldungsansichten und Warnmeldungs-Dashboards von Sentinel werden keine Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (Bug 924874)

Behelfslösung: Zum Anzeigen von Warnmeldungen mit IPv6-Adressen in Sentinel führen Sie die Schritte im NetIQ-Knowledgebase-Artikel 7016555 aus.

Problem: In Sentinel Link-Connector ist die Bar-Mitzvah-Sicherheitsschwachstelle vorhanden. Der Sentinel Link-Connector verwendet den RC4-Algorithmus im SSL- und TSL-Protokoll, so dass unter Umständen Plaintext-Recovery-Angriffe auf die ersten Byte in einem Datenstrom möglich sind. Weitere Informationen finden Sie unter CVE-2015-2808. (Bug 933741)

Behelfslösung: Sentinel Link Connector Version 2011.1r4 behebt dieses Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.

Problem: Der Agent Manager-Connector Version 2011.1r3 legt die Eigenschaft CONNECTION_MODE in den Ereignissen nicht fest, wenn der Collector, der die Ereignisse analysiert, mehrere Verbindungsmodi unterstützt. (Bug 880564)

Behelfslösung: Der Agent Manager-Connector Version 2011.1r5 und höher behebt das Problem. Bis zur offiziellen Freigabe auf der Sentinel-Plugins-Website können Sie den Connector aus dem Bereich Preview (Vorschau) herunterladen.

Problem: Sentinel Agent Manager 7.3 ignoriert den Wert, der für das Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config für die Konfiguration der Rohdatendateigröße angegeben ist, und schreibt nicht mehr in die Rohdatendatei, wenn die Dateigröße 10 MB erreicht. (Bug 867954)

Behelfslösung: Kopieren Sie den Inhalt der Rohdatendatei in eine andere Datei und löschen Sie die Datei, wenn ihre Größe 10 MB erreicht, damit Sentinel Agent Manager erneut Daten in die Datei schreiben kann.

Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel in der Tipps-Tabelle in der Sentinel-Dashboard-Benutzeroberfläche Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt. (Bug 914755)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Weitere Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy (Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (Bug 913014)

Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.

Problem: Wenn Sie eine Ereignissuche ausführen, während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (Bug 908666)

Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:

Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich Ereignisfelder, in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden. (Bug 900293)

Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich Ereignisfelder auf der Zeitplanseite angezeigt wird.

Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich Aktivitätsstatistik auf das Symbol Ausgelöste Anzahl klicken. (Bug 912820)

Behelfslösung: Ändern Sie den Wert im Feld Von auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf Suchen.

Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt. (Bug 912009)

Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.

Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (Bug 913599)

Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.

Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (Bug 914874)

Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:

Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkt um 50 %, wenn Remote-Instanzen von Collector Manager Ereignisse senden. (Bug 906715)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.

Problem: Wenn Sie Sentinel im FIPS-140-2-Modus installieren, kann der Connector zur Sicherheitsintelligenzdatenbank nicht gestartet werden, und Sentinel hat keinen Zugriff auf Sicherheitsintelligenzdaten, NetFlow-Daten und Warnmeldungsdaten. (Bug 915241)

Behelfslösung: Starten Sie Sentinel neu, nachdem Sie es im FIPS-140-2-Modus installiert und konfiguriert haben.

Problem: Beim Exportieren von Suchergebnissen in Sentinel wird im Webbrowser ggf. ein Fehler angezeigt, wenn Sie die Spracheinstellungen für das Betriebssystem ändern. (Bug 834874)

Behelfslösung: Zum fehlerfreien Exportieren der Suchergebnisse führen Sie einen der folgenden Schritte aus:

Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (Bug 804683)

Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.

Problem: Wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (Bug 814452)

Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist.

Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:

Behelfslösung: Der Fehler wird erwartet und kann problemlos ignoriert werden. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.

Problem: Die Sentinel-Dashboard-Benutzeroberfläche zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche hinter der Uhrzeit des Sentinel-Servers liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (Bug 719875)

Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Dashboard-Benutzeroberfläche verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.

Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (Bug 870609)

Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.