Sentinel 8.1 bietet neue Funktionen und ist einfacher in der Bedienung. Einige in früheren Versionen auftretende Probleme wurden behoben.
Viele der eingeführten Verbesserungen sind Umsetzungen von Vorschlägen unserer Kunden. Wir möchten uns auf diesem Wege bei Ihnen für Ihr wertvolles Feedback bedanken. Wir hoffen, Sie unterstützen uns weiterhin dabei, unsere Produkte optimal an Ihre Bedürfnisse anzupassen. Senden Sie uns Ihr Feedback als Beitrag im Sentinel-Forum in NetIQ Communities, unserer Online-Community. Hier finden Sie auch Produktinformationen, Blogs und Links zu weiteren nützlichen Ressourcen.
Die Dokumentation für dieses Produkt steht auf der NetIQ-Website im HTML- und PDF-Format zur Verfügung. Für den Zugriff auf diese Dokumentationsseite ist keine Anmeldung erforderlich. Wenn Sie uns einen Verbesserungsvorschlag in Bezug auf die Dokumentation mitteilen möchten, klicken Sie auf das Kommentierungssymbol auf einer beliebigen Seite der auf der Sentinel NetIQ-Dokumentationswebseite veröffentlichten HTML-Version unserer Dokumentation. Dieses Produkt steht auf der Website der Sentinel-Produktaufrüstung zum Herunterladen bereit.
Die aktuelle Fassung dieser Versionshinweise sind die Versionshinweise für Sentinel 8.1.
Die folgenden Abschnitte enthalten einen Überblick über die wichtigsten Funktionen, die in dieser Version bereitgestellt werden. Außerdem erfahren Sie hier, welche Probleme in dieser Version behoben wurden:
Abschnitt 1.5, Veraltete Warnmeldungs- und Ereignisansichten in Sentinel Main
Abschnitt 1.6, Hinzufügungen zur Funktionalität des skalierbaren Speichers
Abschnitt 1.7, Konfigurieren von Bedrohungsintelligenz-Datenquellen
Abschnitt 1.8, Verwalten dynamischer Listen in Sentinel Main
Abschnitt 1.9, Aktualisierungen der zertifizierten Plattformen
Sentinel 8.1 enthält zusätzliche Korrekturen zur Behebung der Schwachstelle CVE-2016-1000031, die von Jacob Baines von Tenable Network Security entdeckt wurde. Wir bedanken uns bei Jacob Baines, der diese Sicherheitsschwachstellen erkannt und uns gemeldet hat.
Sentinel 8.1 führt die folgenden neuen Authentifizierungsmethoden ein:
Kerberos-Authentifizierung: verwendet eine Geheimschlüssel-Kryptografie, um eine starke Authentifizierung bereitzustellen.
Mehr-Faktor-Authentifizierung (MFA): erweiterte Authentifizierungsmethode, die eine Kombination aus mindestens zwei Faktoren verwendet. Dies kann beispielsweise eine Kombination aus Passwort und Token oder aus Smartcard und Fingerabdruck sein.
OAuth-Authentifizierung: ermöglicht den Benutzern das Anmelden mit dem Konto eines Anbieters wie Google oder Facebook.
Sentinel 8.1 führt die folgenden neuen Dashboards ein:
Sicherheitszustands-Dashboard: bietet einen zusammenfassenden Überblick über die Systemsicherheit in Bezug auf Bedrohungen durch IP-Adressen mit geringer Reputation, Schwachstellen und potenzieller Ausnutzung von Schwachstellen. Das Dashboard bietet einen zusammenfassenden Überblick über den aktuellen Status der Systemsicherheit, einschließlich Informationen darüber, ob das System sicher oder gefährdet ist.
Ereignisüberblick-Dashboard: bietet einen zusammenfassenden Überblick über alle eingehenden Ereignisse. Die Widgets bieten Informationen zu verschiedenen Typen, wie Korrelationsereignisse oder Systemereignisse.
Sentinel 8.1 führt eine Funktion zum Verwalten mehrerer Dashboards ein. Bei der ersten Anmeldung öffnet Sentinel „Dashboards verwalten“. Hier können folgende Aufgaben ausgeführt werden:
Auf ein beliebiges Dashboard zugreifen, für das Sie über die entsprechenden Berechtigungen verfügen
Neues Dashboard erstellen
Beliebiges Dashboard als Startseite festlegen
Aufgrund der Verfügbarkeit der Bedrohungsintelligenz- und Ereignisüberblick-Dashboards in werden die und in in Zukunft als veraltet betrachtet, um redundante Benutzeroberflächen für diese Funktionen zu vermeiden.
Diese Version enthält einige neue Funktionen des skalierbaren Speichers von Sentinel:
Der skalierbare Datenmanager von Sentinel (SSDM) enthält nun die folgenden Sentinel Enterprise-Funktionen:
Korrelation
Echtzeit-Ereignisschemakorrelation
Durch Korrelationsregeln ausgelöste Aktionen
Selektierung von Warnmeldungen und Grafik
Integration von Benutzeridentitätsdaten
Erfassung und Visualisierung von NetFlow-Daten
Datenverbund
Solution Designer
Informationen zu den Services und Funktionen von Sentinel Enterprise, die nicht in SSDM verfügbar sind, finden Sie in Scalable Storage Configuration
(Konfiguration des skalierbaren Speichers) im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Zur Verwendung des skalierbaren Speichers ist es nun nicht mehr erforderlich, Sentinel neu zu installieren. Sie können den skalierbaren Speicher nun auch in Aufrüstungsinstallationen von Sentinel aktivieren. Informationen zum Aktivieren des skalierbaren Speichers finden Sie in Configuring Scalable Storage
(Konfiguration des skalierbaren Speichers) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Wenn Sie Ihre in einem herkömmlichen Speicher vorhandenen Daten in einem skalierbaren Speicher von Sentinel nutzen möchten, können Sie die Daten nun vom herkömmlichen zum skalierbaren Speicher migrieren. Weitere Informationen finden Sie in Migrating Data from Sentinel with Traditional Storage
(Migrieren von Daten von Sentinel mit herkömmlichem Speicher) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
In einer Einrichtung mit skalierbarem Speicher und einer üblicherweise hohen EPS-Rate können Correlation Engine-Instanzen durch eine große Anzahl zu verarbeitender Ereignisse belastet werden. Standardmäßig werden alle Ereignisse an die Correlation Engine-Instanzen gesendet. Um eine Ereignisüberbelastung zu verhindern, können Sie die EPS-Auslastung der Correlation Engine-Instanz überprüfen und die Ereignislast dann bei Bedarf gleichmäßig über mehrere Correlation Engine-Instanzen verteilen. Durch das Verteilen der Ereignisse auf mehrere Correlation Engine-Instanzen können Sie nicht nur die Ereignislast ausgleichen, sondern auch Ereignisse mandantenweise einer bestimmten Correlation Engine-Instanz zuordnen. Beispielsweise können Sie in einer Umgebung mit mehreren Mandanten eine eigene Correlation Engine-Instanz je Mandant einrichten, sodass jede Correlation Engine-Instanz die Ereignisse eines bestimmten Mandanten verarbeitet.
Die Option zum Verteilen der Ereignisse über Correlation Engine-Instanzen ist nur in Sentinel mit skalierbarem Speicher verfügbar. Weitere Informationen finden Sie in Distributing Events Across Correlation Engines
(Verteilen von Ereignissen über Correlation Engine-Instanzen) im NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Das Bedrohungsintelligenz-Lösungspaket in früheren Versionen von Sentinel umfasst Datenquellen wie Palevo und ZeuS, die bekannte Listen von Botnetz-IP-Adressen bereitstellen. Ab Sentinel 8.1 sind diese Datenquellen nicht mehr im Lösungspaket enthalten und bei der Installation von Sentinel standardmäßig verfügbar. Neben Palevo und ZeuS bietet Sentinel zusätzliche Datenquellen für Informationen über vorhandene oder neu aufkommende Bedrohungen der Sicherheit eines Unternehmens. Viele dieser Datenquellen werden täglich aktualisiert. Sentinel bietet die Möglichkeit, diese Daten in eine Zuordnungsdatei herunterzuladen und in regelmäßigen Intervallen zu aktualisieren und die relevanten Bedrohungsinformationen in Korrelationsregeln zu integrieren. Die Option zum Verwalten dieser Bedrohungsintelligenz-Datenquellen ist nun unter > in Sentinel Main verfügbar.
Weitere Informationen finden Sie unter Configuring Threat Intelligence Data Sources
(Konfigurieren von Bedrohungsintelligenz-Datenquellen) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Es ist nicht mehr erforderlich, Sentinel Control Center zur Konfiguration oder Verwaltung dynamischer Listen zu verwenden. Die Benutzeroberfläche zur Konfiguration und Verwaltung dynamischer Listen ist nun mit größerer Benutzerfreundlichkeit in Sentinel Main verfügbar. Weitere Informationen finden Sie im Abschnitt Configuring Dynamic Lists
(Konfigurieren dynamischer Listen) im NetIQ Sentinel User Guide (NetIQ Sentinel-Benutzerhandbuch).
Es gibt mehrere Aktualisierungen in Bezug auf die für Sentinel zertifizierten Plattformen. Ausführliche Informationen zu den zertifizierten Plattformen finden Sie auf der Seite Technical Information for Sentinel (Technische Informationen zu Sentinel).
Sentinel ist nun für die folgenden Plattformen zertifiziert:
Herkömmliche Installation:
SUSE Linux Enterprise Server 12 SP2, 64 Bit
Red Hat Enterprise Linux Server 6.8, 64-Bit
Appliance-Installation:
VMware ESX 6.5 (für ISO und OVF)
Hyper-V Server 2016 (nur ISO)
Datensynchronisierung: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Neuinstallationen von Sentinel enthalten die aktuellen Versionen verschiedener Sentinel-Plugins. Diese Versionen enthalten die neuesten Softwarekorrekturen, Dokumentationsaktualisierungen und Erweiterungen für die Plugins. Weitere Informationen finden Sie in der Dokumentation zum jeweiligen Plugin auf der Website für Sentinel-Plugins.
Bei Aufrüstungsinstallationen von Sentinel werden die folgenden Plugins aktualisiert, um sicherzustellen, dass sie mit Sentinel 8.1 und höher kompatibel sind:
Sentinel Agent Manager Connector auf Version 2017.1r1
Sentinel Link Connector auf Version 2011.1r5
Sentinel 8.1 enthält einige Softwarekorrekturen zur Behebung mehrerer Probleme.
Bericht kann nicht erstellt werden, wenn das Datum „Von“ nach dem aktuellen Datum liegt
Festgelegte Feldreihenfolge wird beim Speichern einer Suche im CSV-Format nicht beibehalten
Einige Optionen zum Bearbeiten von Kriterien erzeugen ungültige Suchen
Benutzerdefiniertes Zertifikat verhindert die Verbindung von Sentinel Agent Manager zu Sentinel
API „/SentinelRESTServices/objects/alert/count“ gibt immer 0 zurück
Mehrere SEVERE-Meldungen in den Serverprotokollen nach der Aktivierung des skalierbaren Speichers
Sentinel Agent Manager 7.3 berücksichtigt die RawDataTapFileSize-Konfiguration nicht
Kachelübersichtsgrafiken funktionieren im skalierbaren Datenmanager von Sentinel nicht
Problem: Wenn bei einem Berichtauftrag ein Fehler auftritt, kann der Auftrag nicht als Ereignis gesucht werden. (Bug 1017358)
Korrektur: Es ist nun möglich, einen Berichtauftrag als Ereignis zu suchen, auch wenn beim Auftrag Fehler aufgetreten sind.
Problem: In Sentinel können Ereignisquellen protokolliert werden, von denen Ereignisse über einen bestimmten Schwellwert hinaus verzögert empfangen werden. Dies ist hilfreich für die Fehlersuche bei Problemen in Bezug auf verzögerten Empfang. Sentinel aktualisierte die Protokolldatei nicht mit den Ereignisquellen. (Bug 979931)
Korrektur: Sentinel aktualisiert nun die Protokolldatei im Rahmen des Leistungs-Snapshots.
Problem: Wenn eine Abweichungsdefinition zum Senden einer Email-Benachrichtigung bei Abweichung vom Grundwert konfiguriert ist, kann Sentinel die Email nicht senden und gibt den Fehler IllegalStateException zurück. (Bug 816622)
Korrektur: Sentinel sendet nun ordnungsgemäß die Email.
Problem: Wenn Sie einen Bericht zum Ausführen mit dem aktuellen Datumsbereich planen, das aber in der Zukunft liegt, tritt ein Fehler auf. (Bug 914094)
Korrektur: Sentinel ermöglicht das Festlegen des auf ein Datum in der Zukunft, damit Ereignisquellen mit nicht ordnungsgemäß synchronisierter Zeit in den Bericht aufgenommen werden können. Sentinel führt den Bericht jetzt ohne Fehler aus.
Problem: Wenn Sie eine Suche in eine CSV-Datei speichern, wird die angegebene Feldreihenfolge in der CSV-Datei nicht beibehalten. (Bug 979916)
Korrektur: Beim Speichern einer Suche in einer CSV-Datei wird nun die festgelegte Feldreihenfolge in der CSV-Datei beibehalten.
Problem: Wenn Sie den Sentinel-Service auf einer Collector Manager-Instanz mit mehreren Datenbank-Collector-Instanzen neu starten, können einige Collector-Instanzen keine neue Verbindung zu den Ereignisquellen herstellen. (Bug 1015375, Bug 1041866)
Korrektur: Alle Collector-Instanzen stellen nun nach dem Neustart des Sentinel-Service wieder eine Verbindung her.
Problem: Wenn Sie die Kriterien für eine Suche bearbeiten und , oder auswählen, sind die Suchergebnisse ungültig. (Bug 894421)
Korrektur: Die Optionen , und sind beim Bearbeiten der Suchkriterien nicht mehr verfügbar.
Problem: Wenn ein benutzerdefiniertes Zertifikat mehrere Attribute oder Sonderzeichen enthält, kann Sentinel Agent Manager keine Verbindung zu Sentinel herstellen. (Bug 1018133)
Korrektur: Sentinel Agent Manager kann nun eine Verbindung zu Sentinel herstellen, auch wenn das benutzerdefinierte Zertifikat mehrere Attribute oder Sonderzeichen enthält.
Problem: Wenn Sie Sentinel 8.0 oder höher aufrüsten, zeigt das Installationsprogramm den folgenden Fehler an:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Bug 1025512)
Korrektur: Dieser Fehler tritt während der Aufrüstung nicht mehr auf.
Problem: Beim Ausführen der API „/SentinelRESTServices/objects/alert/count“ wird immer 0 zurückgegeben, auch wenn mehrere Warnmeldungen vorhanden sind. (Bug 1028317)
Korrektur: Die API „/SentinelRESTServices/objects/alert/count“ gibt nun die richtige Warnmeldungszahl zurück.
Problem: Beim Anzeigen aller Ereignisdetails werden Datum und Uhrzeit falsch im UTC-Format (koordinierte Weltzeit) formatiert. (Bug 1031523, Bug 1034531)
Korrektur: Die Ereignisdetailfelder zeigen die Daten nun in einem Format an, das für das im Browser festgelegte Gebietsschema geeignet ist.
Problem: Nach der Aktivierung des skalierbaren Speichers protokolliert der Server des skalierbaren Datenmanagers von Sentinel mehrere Instanzen der folgenden Meldung:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
Diese Meldungen können ignoriert werden. Sie beeinträchtigen die Funktion nicht. (Bug 1009662)
Korrektur: Die SSDM-Serverprotokolle zeigen diese Meldung nicht mehr an.
Problem: Im Hochverfügbarkeitsmodus füllt der skalierbare Datenmanager von Sentinel die Konfigurationsdateien des Elasticsearch-Sicherheits-Plugins nicht mit den richtigen IP-Adressen der Clusterknoten. Aus diesem Grund zeigen die Suchen und Ereignisgrafik-Dashboards Fehler an. (Bug 1012251)
Korrektur: Im Hochverfügbarkeitsmodus füllt der skalierbare Datenmanager von Sentinel nun die Konfigurationsdateien des Elasticsearch-Sicherheits-Plugins mit den richtigen IP-Adressen der Clusterknoten.
Problem: In einer RPM-basierten Installation von Elasticsearch funktionieren die Ereignisgrafik-Dashboards und die Suchen im skalierbaren Datenmanager von Sentinel nicht. (Bug 1014448)
Korrektur: Die Ereignisgrafik-Dashboards und die die Suchen im skalierbaren Datenmanager von Sentinel funktionieren nun.
Problem: NetIQ eDirectory Instrumentation kann über den Plattform-Agenten keine Verbindung zum Audit-Connector herstellen. Aus diesem Grund empfängt Sentinel keine Ereignisse von eDirectory. Dieses Problem tritt auf, weil eDirectory Instrumentation den Zertifikatalgorithmus MD5 RSA verwendet, der seit dem in Sentinel 8.1 installierten Java 8 Update 77 veraltet ist (Bug 985312).
Korrektur: Eine neue Version des Audit-Connectors ermöglicht Sentinel das Empfangen von Ereignissen von eDirectory.
Problem: Der com.novell.sentinel.spark.StreamingEventIndexer-Auftrag unterstützt IPv6 nicht. Wenn ein Ereignis eine IPv6-Adresse enthält, tritt beim Ausführen des Auftrags ein Fehler auf. (Bug 1006975)
Korrektur: Der Auftrag „com.novell.sentinel.spark.StreamingEventIndexer“ unterstützt nun IPv6.
Problem: Sentinel Agent Manager 7.3 ignoriert den Wert, der für das Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config für die Konfiguration der Rohdatendateigröße angegeben ist, und schreibt nicht mehr in die Rohdatendatei, wenn die Dateigröße 10 MB erreicht. (Bug 867954)
Korrektur: Sentinel Agent Manager verwendet die im Attribut RawDataTapFileSize in der Datei SMServiceHost.exe.config angegebenen Werte nun korrekt und schreibt neue Daten in die Rohdatendatei.
Problem: Wenn Sie in einer Umgebung mit einem skalierbaren Datenmanager von Sentinel eine Kachelübersichtsgrafik mit Standardoptionen erstellen, verhindert ein Problem mit Kibana, dass die neue Kachelübersichtsgrafik im Ereignisgrafik-Dashboard funktioniert. Weitere Informationen zu diesem Kibana-Problem finden Sie auf https://github.com/elastic/kibana/issues/7717. (Bug 1001909)
Korrektur: Kachelübersichtsgrafiken mit standardmäßigen Optionen funktionieren nun im Ereignisgrafik-Dashboard richtig.
Weitere Informationen zu den Hardwarevoraussetzungen und den unterstützten Betriebssystemen und Browsern finden Sie auf der Website mit technischen Daten zu Sentinel.
Informationen zur Installation von Sentinel 8.1 finden Sie im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Sie können von Sentinel 7.4 und höher auf Sentinel 8.1 aufrüsten.
Weitere Informationen zur Aufrüstung auf Sentinel 8.1 finden Sie im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
NetIQ Corporation ist bestrebt, Produkte zu bieten, die hochwertige Lösungen für die Softwarebedürfnisse Ihres Unternehmens darstellen. Die nachfolgend beschriebenen Probleme werden zurzeit untersucht. Wenden Sie sich an den Technischen Support, wenn Sie weitere Hilfe zu einem Problem benötigen.
Die in Sentinel enthaltene Java 8-Aktualisierung kann die folgenden Plugins beeinträchtigen:
Cisco SDEE Connector
SAP (XAL)-Connector
Remedy Integrator
Probleme mit diesen Plugins werden bei NetIQ gemäß den Standardrichtlinien für die Mängelbehebung priorisiert und behoben. Weitere Informationen zu den Supportrichtlinien finden Sie auf der Website zu den Supportrichtlinien.
Abschnitt 5.2, Sentinel kann lokale Berichte nicht mit standardmäßiger EPS-Lizenz ausführen
Abschnitt 5.3, Correlation Engine ist nach der Aufrüstung getrennt
Abschnitt 5.6, Ereignisgrafik-Dashboard kann nicht gestartet werden
Abschnitt 5.7, Sentinel kann auf SLES 11 SP4 im FIPS-Modus nicht installiert werden
Abschnitt 5.11, Warnmeldungen mit IPv6-Daten können nicht in Warnmeldungsansichten angezeigt werden
Abschnitt 5.22, Die Anzeige von mehreren Berichten gleichzeitig ist nicht möglich
Abschnitt 5.25, Ungenaue Angaben in den Spalten „Dauer“ und „Zugegriffen“ für aktive Suchaufträge
Problem: Bei der Installation der Collector Manager- und der Correlation Engine-Appliace im MFA-Modus tritt ein Fehler auf, wenn die Betriebssystemsprache nicht Englisch ist. (Bug 1045967)
Behelfslösung: Installieren Sie die Collector Manager- und Correlation Engine-Appliance auf Englisch. Bei Bedarf können Sie die Sprach nach Abschluss der Installation ändern.
Problem: Wenn Ihre Umgebung eine standardmäßige 25-EPS-Lizenz hat und Sie einen Bericht ausführen, tritt beim Ausführen des Berichts der folgende Fehler auf:
License for Distributed Search feature is expired (Lizenz für Funktion der verteilten Suche ist abgelaufen)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Berichte in der gleichen JVM wie Sentinel auszuführen:
Melden Sie sich am Sentinel-Server an und öffnen Sie die Datei /etc/opt/novell/sentinel/config/server.xml.
Suchen Sie die folgende Eigenschaft:
<property name="reporting.process.oktorunstandalone">true</property>
Ändern Sie die Einstellung in false (falsch):
<property name="reporting.process.oktorunstandalone">false</property>
Starten Sie Sentinel neu.
Problem: Neue Änderungen an der Art und Weise, wie Sentinel Regeln validiert, führen dazu, dass Correlation Engine keine Verbindung herstellen kann, wenn Ihre Umgebung eine ältere Bereitstellungsregel mit falscher Syntax hat. (Bug 1039598)
Behelfslösung: Um Correlation Engine erneut zu verbinden, korrigieren Sie die Syntax der Regel, die das Problem verursacht, und starten Sie Sentinel dann neu.
Führen Sie die folgenden Schritte aus, um die Regel zu suchen und ihre Syntax zu korrigieren:
Suchen Sie in der Datei „server.log“ nach Failed to initialize CorrelationEngine (Fehler beim Initialisieren von Correlation Engine).
Wenn Sie beispielsweise nach Failed to initialize CorrelationEngine (Fehler beim Initialisieren von Correlation Engine) suchen, wird eine Protokollmeldung folgender Art angezeigt:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
Blättern Sie zur vorigen Protokollmeldung nach oben, die die Regel und ihre Syntax angibt. Der Eintrag ähnelt dem folgenden:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
In diesem Beispiel zeigt die Protokollnachricht an, dass das Problem durch die Angabe einer Dauer von mehr als einem Tag verursacht wurde. Die Syntax der Regel gibt eine größere Anzahl Sekunden (86460) an als in einem Tag enthalten sind (86400).
Melden Sie sich bei Sentinel an.
Öffnen Sie eine neue Registerkarte im Browser.
Öffnen Sie in der neuen Registerkarte die folgende URL:
https://<IHRE SENTINEL-IP>:8443/SentinelRESTServices/objects/correlation-rule
Um den Regelnamen und die ID in der Liste der Korrelationsregeln zu finden, suchen Sie nach einem eindeutigen Teil der Regelsyntax, hier beispielsweise nach 86460.
(Bedingt) Wenn Sie den Regelnamen und die ID in der Liste der Korrelationsregeln nicht finden, führen Sie die folgenden Schritte aus:
Wechseln Sie über die Eingabeaufforderung zum Benutzer „novell“. Verwenden Sie den folgenden Befehl:
su -novell
Wechseln Sie in das Verzeichnis /opt/novell/sentinel/bin.
Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%eindeutiger Text%'"
Ersetzen Sie die Zeichenfolge eindeutiger Text durch einen eindeutigen Teil der Regelsyntax, beispielsweise 86460.
(Bedingt) Wenn Sie nicht bereits zum Benutzer „novell“ gewechselt haben, öffnen Sie eine Eingabeaufforderung und wechseln Sie zum Benutzer „novell“. Verwenden Sie den folgenden Befehl:
su -novell
Wechseln Sie in das Verzeichnis /opt/novell/sentinel/bin.
Überprüfen Sie, ob die Regel in der Datenbank enthalten ist. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Aktualisieren Sie die Regel mit einem neuen Filter, der bei der Validierung keinen Fehler auslöst. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Überprüfen Sie, ob der Filter in der Datenbank geändert wurde. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Stoppen Sie Sentinel. Verwenden Sie den folgenden Befehl:
./server.sh stop
Starten Sie Sentinel neu. Verwenden Sie den folgenden Befehl:
./server.sh start
Problem: Im Hochverfügbarkeitsmodus füllt der skalierbare Datenmanager von Sentinel die Konfigurationsdateien des Elasticsearch-Sicherheits-Plugins nicht mit den richtigen IP-Adressen der Clusterknoten. Aus diesem Grund zeigen die Suchen und Ereignisgrafik-Dashboards Fehler an.
Behelfslösung: Führen Sie nach der Installation des Elasticsearch-Sicherheits-Plugins auf jedem Knoten des Elasticsearch-Clusters die folgenden Schritte aus:
Melden Sie sich am Elasticsearch-Knoten mit dem Benutzer an, mit dem Elasticsearch installiert wurde.
Fügen Sie für jeden aktiven und jeden passiven Knoten des Hochverfügbarkeits-Clusters wie folgt Einträge für die physische IP-Adresse in der Datei <Elasticsearch_Installationsverzeichnis>/plugins/Elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt ein:
<physische_IP-Adresse_des_Clusters>:<Elasticsearch_HTTP-Port_des_Ziels>
Fügen Sie jeden Eintrag in einer neuen Zeile ein und speichern Sie die Datei.
Legen Sie in der Datei <Elasticsearch_Installationsverzeichnis>/plugins/elasticsearch-security-plugin/plugin-configuration.propertiesdie Eigenschaft authServer.host wie folgt auf die virtuelle IP-Adresse des Hochverfügbarkeits-Clusters fest:
authServer.host=<virtuelle_IP_des_Clusters>
Starten Sie Elasticsearch neu.
Problem: Wenn Sie in Sentinal HA den aktiven Knoten in den FIPS 140-2-Modus konvertieren, wird die Synchronisierung zur Konvertierung aller passiven Knoten in den FIPS 140-2-Modus nicht richtig ausgeführt. Sie müssen die Synchronisierung manuell starten. (Bug 1014472)
Behelfslösung: Synchronisieren Sie alle passiven Knoten auf folgende Weise manuell auf FIPS 140-2:
Melden Sie sich mit dem Benutzer „root“ am aktiven Knoten an.
Öffnen Sie die Datei /etc/csync2/csync2.cfg.
Ändern Sie die folgende Zeile:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
in
include /etc/opt/novell/sentinel/3rdparty/nss;
Speichern Sie die Datei csync2.cfg.
Starten Sie die Synchronisierung manuell, indem Sie folgenden Befehl ausführen:
csync2 -x -v
Problem: Ein Problem verhindert das Öffnen des Ereginisgrafik-Dashboards in Internet Explorer 11. (Bug 981308)
Behelfslösung: Verwenden Sie zum Anzeigen und Bearbeiten des Grafik-Dashboards einen anderen Browser.
Problem: Wenn Sie Sentinel auf einem Computer installieren, auf dem das Betriebssystem SLES 11 SP4 im FIPS-Modus ausgeführt wird, tritt im Installationsprozess ein Fehler auf. (Bug 990201)
Behelfslösung: Stellen Sie sicher, dass das Betriebssystem nicht im FIPS-Modus ist, und führen Sie dann die folgenden Schritte aus:
Installieren Sie Sentinel. Weitere Informationen finden Sie unter Installing Sentinel
(Installation von Sentinel) im Sentinel Installation and Configuration Guide (Sentinel-Installations- und Konfigurationshandbuch).
Aktivieren Sie den Sentinel-Server zur Ausführung im FIPS-Modus. Weitere Informationen finden Sie unter Enabling Sentinel Server to Run in FIPS 140-2 Mode
(Aktivieren von Sentinel Server zur Ausführung im FIPS 140-2-Modus) im Sentinel Installation and Configuration Guide (Sentinel-Installations- und Konfigurationshandbuch).
Aktivieren Sie die Ausführung des Betriebssystems im FIPS-Modus mit folgendem Befehl:
fips=1 /boot/grub/menu.lst
Problem: Eine Änderung der Passwortspeicherung in Sentinel 7.4 SP1 führt beim Aufrüsten der Appliance von einer Version unter 7.4 SP1 zur Anzeige des folgenden Fehlers:
Failed to set encrypted password
(Bug 967764)
Behelfslösung: Die Warnmeldung wird erwartet und kann problemlos ignoriert werden. Sie beeinträchtigt die Aufrüstung nicht.
Problem: Nach der Aktivierung des skalierbaren Datenmanagers von Sentinel zeigt der Browser nach der Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche eine leere Seite an. (Bug 1006677)
Behelfslösung: Schließen Sie den Browser und melden Sie sich erneut bei der Sentinel-Dashboard-Benutzeroberfläche an. Das Problem tritt nur einmal bei der ersten Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche nach der Aktivierung des skalierbaren Datenmanagers auf.
Problem: Wenn Sie Sentinel von Version 7.3 auf Version 7.3 SP1 aufrüsten und dann den Sentinel-Server starten, kann die folgende Ausnahme im Serverprotokoll angezeigt werden:
Invalid length of data object ......
(Bug 933640)
Behelfslösung: Ignorieren Sie die Ausnahme. Diese Ausnahme wirkt sich nicht auf die Leistung von Sentinel aus.
Problem: In den Warnmeldungsansichten und Warnmeldungs-Dashboards von Sentinel werden keine Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (Bug 924874)
Behelfslösung: Zum Anzeigen von Warnmeldungen mit IPv6-Adressen in Sentinel führen Sie die Schritte im NetIQ-Knowledgebase-Artikel 7016555 aus.
Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel in der Tipps-Tabelle in der Sentinel-Dashboard-Benutzeroberfläche Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt. (Bug 914755)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem:
Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Weitere Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy
(Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (Bug 913014)
Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.
Problem: Wenn Sie eine Ereignissuche ausführen, während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (Bug 908666)
Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:
Geben Sie im Feld ein Kriterium an. Wenn die Benutzer der Rolle keine Ereignisse sehen sollen, können Sie eingeben.
Wählen Sie aus.
Wählen Sie aus.
Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich , in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden. (Bug 900293)
Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich auf der Zeitplanseite angezeigt wird.
Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich auf das Symbol klicken. (Bug 912820)
Behelfslösung: Ändern Sie den Wert im Feld auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf .
Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt. (Bug 912009)
Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.
Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (Bug 913599)
Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.
Sie können Beibehaltungsrichtlinien erstellen, die Ereignisse auf Grundlage des Felds estzhour filtern. Dieses Feld dient der Nachverfolgung der Stunde des Tages. Sie können also eine Beibehaltungsrichtlinie mit dem Filter estzhour:[0 TO 11] und eine weitere Beibehaltungsrichtlinie mit dem Filter estzhour:[12 TO 23] erstellen.
Weitere Informationen finden Sie im Abschnitt Configuring Data Retention Policies
(Datenbeibehaltungsrichtlinien konfigurieren) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (Bug 914874)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:
Öffnen Sie die Datei /etc/sysconfig/SuSEfirewall2.
Ändern Sie die folgende Zeile:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
in
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Starten Sie Sentinel neu.
Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkt um 50 %, wenn Remote-Instanzen von Collector Manager Ereignisse senden. (Bug 906715)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Beim Exportieren von Suchergebnissen in Sentinel wird im Webbrowser ggf. ein Fehler angezeigt, wenn Sie die Spracheinstellungen für das Betriebssystem ändern. (Bug 834874)
Behelfslösung: Zum fehlerfreien Exportieren der Suchergebnisse führen Sie einen der folgenden Schritte aus:
Entfernen Sie beim Exportieren der Suchergebnisse alle Sonderzeichen (außerhalb der ASCII-Zeichen) aus dem Exportdateinamen.
Aktivieren Sie UTF-8 in den Spracheinstellungen des Betriebssystems, starten Sie den Computer neu und starten Sie dann den Sentinel-Server neu.
Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (Bug 804683)
Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.
Problem: Wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (Bug 814452)
Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist.
Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Behelfslösung: Der Fehler wird erwartet und kann problemlos ignoriert werden. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Die Sentinel-Dashboard-Benutzeroberfläche zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche hinter der Uhrzeit des Sentinel-Servers liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (Bug 719875)
Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Dashboard-Benutzeroberfläche verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.
Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (Bug 870609)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Wir möchten Ihnen stets eine nützliche, aussagekräftige Dokumentation an die Hand geben. Sie haben Verbesserungsvorschläge? Dann senden Sie sie uns per Email an Documentation-Feedback@netiq.com. Wir freuen uns auf Ihre Rückmeldung.
Ausführliche Kontaktinformationen finden Sie auf der Website mit den Support-Kontaktangaben.
Allgemeine Informationen zu unserem Unternehmen und unseren Produkten finden Sie auf der NetIQ-Firmenwebsite.
Werden Sie Mitglied in unserer Community, und führen Sie interaktive Gespräche mit Fachkollegen und NetIQ-Experten. In der NetIQ-Online-Community finden Sie Produktinformationen, Links zu nützlichen Ressourcen, Blogs und Social-Media-Kanäle.
Informationen zu rechtlichen Hinweisen, Marken, Haftungsausschlüssen, Gewährleistungen, Ausfuhrbeschränkungen und sonstigen Nutzungseinschränkungen für NetIQ, Einschränkungen von Rechten und Patentrichtlinien der US-Regierung und Erfüllung von FIPS finden Sie unter http://www.netiq.com/company/legal/.
Copyright © 2017 NetIQ Corporation. Alle Rechte vorbehalten.