Sentinel 8.1 SP1 bietet neue Funktionen und ist einfacher in der Bedienung. Einige in früheren Versionen auftretende Probleme wurden behoben.
Viele der eingeführten Verbesserungen sind Umsetzungen von Vorschlägen unserer Kunden. Wir möchten uns auf diesem Wege bei Ihnen für Ihr wertvolles Feedback bedanken. Wir hoffen, Sie unterstützen uns weiterhin dabei, unsere Produkte optimal an Ihre Bedürfnisse anzupassen. Senden Sie uns Ihr Feedback als Beitrag im Sentinel-Forum, unserer Online-Community. Hier finden Sie auch Produktinformationen, Blogs und Links zu weiteren nützlichen Ressourcen.
Die Dokumentation für dieses Produkt steht auf der NetIQ-Website im HTML- und PDF-Format zur Verfügung. Für den Zugriff auf diese Dokumentationsseite ist keine Anmeldung erforderlich. Wenn Sie uns einen Verbesserungsvorschlag in Bezug auf die Dokumentation mitteilen möchten, klicken Sie auf das Kommentierungssymbol, das Sie auf jeder Seite der HTML-Version unserer auf der Sentinel-Dokumentationswebseite veröffentlichten Dokumentation finden. Dieses Produkt steht auf der Website der Sentinel-Produktaufrüstung zum Herunterladen bereit.
In den folgenden Abschnitten werden wichtige Funktionen und Verbesserungen in dieser Version sowie die behobenen Probleme vorgestellt:
Sentinel 8.1.1 bietet Korrekturen für die Sweet32-Schwachstelle (CVE-2016-2183).
Sentinel enthält Java 8 Update 152, das Korrekturen für verschiedene Sicherheitsschwachstellen bietet.
Sentinel 8.1.1 enthält die folgenden Verbesserungen:
Sentinel generiert nun Revisionsereignisse bei Nachrichten über fehlgeschlagene Korrelationen, die unter diesen Umständen auftreten:
Ereignisse kommen verspätet an; mit einer Verzögerung von mehr als 30 Sekunden.
Der Umsortierungspuffer ist voll.
(Bug 1018336)
Problem: Kunden wünschten sich eine Benutzerrolle, die das Anzeigen von Berichtergebnissen ermöglicht, nicht aber das Ausführen oder Löschen von Berichten. Die Berechtigung View Report Results (Berichtergebnisse anzeigen) gab es zwar bereits, sie konnte aber im Rahmen der Benutzer-/Rollenverwaltung keiner Rolle zugewiesen werden. (Bug 1047479)
Korrektur: Die Berechtigung View Report Results (Berichtergebnisse anzeigen) lässt sich jetzt bei der Benutzer-/Rollenverwaltung einblenden und damit auch Rollen zuweisen. Führen Sie die folgenden Schritte durch:
Öffnen Sie die Datei /etc/opt/novell/sentinel/config/ui-configuration.properties, um sie zu bearbeiten.
Fügen Sie die folgende Eigenschaft hinzu:
viewReportResults.hideUI=false
Speichern Sie die Änderungen.
Schließen Sie die Weboberfläche und starten Sie sie neu.
Leeren Sie außerdem den Browser-Cache mittels Strg-F5.
Navigieren Sie zur Benutzer-/Rollenverwaltung und erstellen Sie eine neue Rolle.
Die Berechtigung View Report Results (Berichtergebnisse anzeigen) sollte zu sehen sein.
Die Datumsauswahl beim Bearbeiten von Berichten zeigt nicht mehr das Datum, an dem der Bericht zuletzt ausgeführt wurde. Standardmäßig wird nun das jeweils aktuelle Datum vorgeschlagen. Damit entfällt das Wegklicken mehrerer Monate, falls die Anfangszeit vor dem aktuellen Datum liegt. (Bug 1016005)
Richtlinien für die Datensynchronisierung können jetzt um eine Endzeit ergänzt werden, wodurch sich die Datensynchronisierung auf bestimmte Zeiträume beschränken lässt. Diese Funktion ist nur für neue Datensynchronisierungs-Richtlinien verfügbar, nicht für bestehende. (Bug 1053484)
Beim Anlegen von Benutzern können Sie jetzt im Feld Benutzername bis zu 60 Zeichen eingeben. (Bug 1063025)
Folgende Verbesserungen beim Aktualisierungsintervall für die Kapazität der Rohdatenbeibehaltung finden sich jetzt unter Storage > Ereignisse > Datenbeibehaltung:
Standardmäßig wird die Kapazität der Rohdatenbeibehaltung jetzt alle 12 Stunden aktualisiert, um Leistungseinbußen bei großen Rohdatenmengen zu vermeiden.
Das standardmäßige Zeitüberschreitungsintervall beträgt nun alle 60 Minuten.
Bei Bedarf können Sie diese Standardwerte folgendermaßen anpassen:
Melden Sie sich beim Sentinel-Server als der Benutzer „novell“ an.
Erstellen Sie im Verzeichnis /etc/opt/novell/sentinel/config eine Datei als: obj-component.DiskStatisticsCache.properties.
Ändern Sie in der Eigenschaftendatei die Werte nach folgendem Muster:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
Starten Sie den Sentinel-Server neu.
(Bug 1027773)
Die Spalte „summary_key“ in Ereigniszusammenfassungs-Tabellen ist nun der Primärschlüssel, durch den andere Datenbank-Tools von ordnungsgemäßen Metadaten profitieren können. (Bug 1048739)
Sentinel 8.1.1 enthält einige Softwarekorrekturen zur Behebung folgender Probleme:
Nicht funktionierende EventSearch-REST-API nach der Aufrüstung von Sentinel 7.4.3 zu Sentinel 8.0.1
Sentinel reagiert nicht nach Aktivierung der ISE-Integration
Dokumentation zur Sentinel-API enthält nicht alle erforderlichen Bibliotheken
Verlangsamte Ausführung der Berichte „Sentinel Core Top 10“ und „Sentinel Core Top 10 Dashboard“
Warnmeldungs-Ansicht mit korrektem Datenfilter für „All New Alerts“ (Alle neuen Warnmeldungen)
REST-API /SentinelRESTServices/objects/plugin liefert verschlüsselte Plugin-Informationen
Sentinel Agent Manager synchronisiert Agenten ohne Ausnahmen
Correlation Engine zeigt für Leerlauf den Status „Offline“ an
Fehler in Serverprotokollen, wenn das Nachrichtenfeld des Ereignisses mehr als 8.000 Zeichen enthält
Keine Datensynchronisierung nach der Aufrüstung auf Sentinel 8.1.0.1
Agentenmanagerbereich in der Sentinel-Hauptoberfläche ist ausgegraut
Berichterstellung bei Ereignissen mit Sonderzeichen schlägt fehl
Kein Neustart von Collector-Manager bei großen Ereignis-Offsets
Automatische Warnmeldung aktualisiert „EventThroughputUtilization“ stets mit 100 % Auslastung
Endgerät für REST-API „collectormgr-status“ zeigt falschen Status an
report_dev_setup.sh sichert die Firewall-Konfigurationsdatei nicht
Ping beim Testen der Konnektivität über die Sentinel-Agentenverwaltungskonsole
Warnmeldungen mit IPv6-Daten können nicht in Warnmeldungsansichten angezeigt werden
Problem: Beim Export von Suchergebnissen, die Ereignisse des sekundären Storage umfassen, enthält die CSV-Datei nur die Header, nicht aber die eigentlichen Suchergebnisse. (Bug 1043709, Bug 1073502)
Korrektur: Die CSV-Datei enthält jetzt alle exportierten Suchergebnisse.
Die E-Mail-Benachrichtigungen enthalten nun die korrekte Zeitangabe, mit AM für vormittags und PM für nachmittags. (Bug 1040423)
Die Sentinel-Hauptoberfläche wird jetzt ordnungsgemäß gestartet. (Bug 1047106)
Die EventSearch-REST-API wird ohne Ausnahmen abgeschlossen. (Bug 1038133)
Problem: Correlation Engine löst keine tagesaktuellen Ereignisse aus, wenn der Zeitstempel des vorherigen Ereignisses vom Epochendatum abweicht. Sie gibt die Ausnahme Correlation reorder buffer is full (Umsortierungspuffer für Korrelationen ist voll) aus und stürzt schließlich ab. (Bug 1036765)
Korrektur: Correlation Engine löst jetzt tagesaktuelle Ereignisse ohne Ausnahmen aus.
Problem: Zwei oder drei Tage nach erfolgter ISE-Integration friert Sentinel ein. Die Sentinel-Serverprotokolle enthielten die nachstehende Nachricht zu Ausnahmen wegen mangelnden Arbeitsspeichers und Fehlern bei der Thread-Erstellung:
java.lang.OutOfMemoryError: unable to create new native thread
Ursachen des Problems waren die große Anzahl an Zuordnungsaktualisierungen, ausgelöst durch die ISE-Integration, sowie Zuordnungen mit nur einem „RANGE“-Schlüssel (Bereich) plus mindestens einem „STRING“-Schlüssel (Zeichenkette). Trat dieser Fall ein, erstellte Sentinel ein separates h2temp-Verzeichnis für jeden einzigartigen Zeichenkettenschlüsselwert. Sobald die ISE-Datei ipmap.csv also mindestens 6.000 Einträge umfasste (nicht untypisch während der regulären Betriebszeit), erstellte Sentinel bei jeder alle 30 Sekunden stattfindenden Zuordnungsaktualisierung die mehr als 6.000 h2temp-Verzeichnisse neu. (Bug 1036765)
Korrektur: Bei der standardmäßigen Zuordnung zur Speicherung von Zuordnungen, die einen „RANGE“-Schlüssel (Bereich) plus mindestens einen „STRING“-Schlüssel (Zeichenkette) enthält, handelt es sich nun um eine In-Memory-Zuordnung. Die Zuordnung verwendet keine H2-Datenbank und muss daher auch nicht zahlreiche h2temp-Verzeichnisse erstellen.
HINWEIS:Sie können festlegen, ob Bereichs-/Schlüsselzuordnungen Objekte verwenden, für die temporäre Verzeichnisse erforderlich sind. Fügen Sie die Systemeigenschaft sentinel.mapping.h2.useDbRangeMap zur Sentinel-Datei configuration.properties hinzu. Diese Systemeigenschaft umfasst folgende Werte:
falsch: Verwendung von DataObjectKeyRangeMap-Objekten, die keine temporären Verzeichnisse erfordern (Standardwert)
wahr: Verwendung von DBRangeMapDataObjectStorage-Objekten, die temporäre Verzeichnisse erfordern
Problem: Wenn Sie nach Ereignissen suchen und auf die Schaltfläche Suche klicken, während die Suche läuft, wird im Einschränkungsbereich folgende Nachricht angezeigt:
Field counts based on the first 0 events. (Feldzähler basiert auf den ersten 0 Ereignissen.)
(Bug 999743)
Korrektur: Während die Suche läuft, ist die Schaltfläche Suche deaktiviert. Sobald alle Aufträge erledigt sind, kann Suche wieder angeklickt werden.
Problem: In der API-Dokumentation sind nicht alle Client-Downloadbibliotheken aufgeführt, die für den ordnungsgemäßen Betrieb der REST-API erforderlich sind. (Bug 1047684)
Korrektur: Die Dokumentation zur Sentinel-REST-API enthält jetzt alle erforderlichen Client-Downloadbibliotheken.
Problem: Bricht die Verbindung zwischen Sentinel und dem Collector-Manager ab, generiert der Server die internen Ereignisse LostContactWithCollectorManager und CollectorManagerDown. Die Felder CollectorNodeName(port) und CollectorManagerId(rv21) für diese internen Ereignisse enthalten keine Informationen zum Collector-Manager. (Bug 1050941)
Korrektur: Erwartungsgemäß enthalten die Ereignisfelder CollectorNodeName(port) und CollectorManagerId(rv21) jetzt den Namen und die ID des Collector-Managers.
Alle geplanten Berichte werden jetzt erfolgreich ausgeführt. (Bug 1051167)
Die Berichte „Sentinel Core Top 10“ und „Sentinel Core Top 10 Dashboard“ werden schneller ausgeführt. (Bug 1040660)
In dieser Version ist ein Fehler behoben, bei dem Sentinel nach Auswahl des Filters All New Alerts (Alle neuen Warnmeldungen) in der Warnmeldungs-Ansicht fälschlicherweise alle Warnmeldungen anzeigte, nicht nur die neuen. (Bug 991732)
Die REST-API /SentinelRESTServices/objects/plugin liefert jetzt Plugin-Informationen in lesbarer Form. (Bug 992162)
Geplante Suchaufträge werden nun ordnungsgemäß ausgeführt. (Bug 1049055)
Der Bericht „Sentinel Core Top 10“ wird nun ordnungsgemäß ausgeführt. (Bug 1055336)
Problem: Wenn Sie Ereignisse in einer verteilten Umgebung per Datenverbund suchen, werden auf der Seite Search Results (Suchergebnisse) Duplikate angezeigt. (Bug 1048000)
Korrektur: Auf der Seite Search Results (Suchergebnisse) werden keine Duplikate mehr angezeigt.
Mit dieser Version wurde ein Fehler im Synchronisierungsprozess für Agentendaten (ETL) behoben. Zuvor schlug der Prozess mit einer Ausnahme fehl, wenn ein hinzugefügter Agent mit Sentinel synchronisiert wurde, ehe der Sentinel Agent Manager die Attribute dieses Agenten erfassen konnte. (Bug 1050192)
Correlation Engine zeigt den Leerlauf jetzt auch tatsächlich als Leerlauf an. (Bug 1062386)
Problem: Umfasst das Feld Nachricht eines Ereignisses mehr als 8.000 Zeichen, kürzt Sentinel die Nachricht. Die ersten 8.000 Zeichen der Nachricht und die gekürzten Zeichen werden zusammen mit folgender Nachricht an die Protokolle übergeben, wodurch diese mit dem Nachrichtentext gefüllt sind:
Value for attribute msg is too long. Size is 4,096 utf-8 (each char may be multi-byte), max is 4,000 bytes, truncating <truncated_characters> (Wert für Attributnachricht zu lang. Größe beträgt 4.096 UTF-8, wobei jedes Zeichen mehrere Byte groß sein kann; das Maximum sind 4.000 Byte; <gekürzte_Zeichen> gekürzt)
(Bug 927550)
Korrektur: Sentinel zeigt nur 256 Zeichen der gekürzten Nachricht im Protokoll server0.0 an.
Nach der Aufrüstung auf Sentinel 8.1.0.1 funktioniert die Datensynchronisierung wieder. (Bug 1052566)
Problem: Auf der Registerkarte Datenerfassung > Ereignisquellen ist der Bereich des Agentenmanagers ausgegraut. Vorgänge müssen über das Sentinel-Kontrollzentrum durchgeführt werden. (Bug 1008335)
Korrektur: Der Agentenmanagerbereich ist in der Sentinel-Hauptoberfläche nun aktiviert.
Berichte werden nun auch erstellt, wenn die Ereignisse Sonderzeichen enthalten. (Bug 1060132)
Collector-Manager wird neu gestartet und verarbeitet Ereignisquellen-Offsets wie erwartet. (Bug 1049771)
Problem: Die automatische Warnmeldung aktualisiert „EventThroughputUtilization“ stets mit 100 % Auslastung, auch wenn gerade keine Warnmeldungen generiert werden. (Bug 1065679)
Korrektur: Automatische Warnmeldungen zeigen nach der Aktualisierung den tatsächlichen Prozentwert von „EventThroughputUtilization“ an.
Problem: Wenn für einen Sentinel-Server mehrere Collector-Manager eingerichtet sind, zeigt das collectormgr-status-API-Endgerät einen 404-Fehler (nicht gefunden) an, obwohl die Collector-Manager vorhanden sind. (Bug 1011921)
Korrektur: Die collectormgr-status-API zeigt den Status jetzt korrekt an.
Das Skript report_dev_setup.sh sichert jetzt die Firewall-Konfigurationsdatei, damit Sie bei Fehlern einfach zu einer funktionierenden Version zurücksetzen können. Zudem enthält das Skript Verbesserungen für die Benutzerfreundlichkeit. (Bug 752657)
HINWEIS:Die Datei SuSEfirewall2 wird nur gesichert, wenn der PostgreSQL-Port nicht Teil der SUSE-Firewall-Konfiguration ist.
Problem: Der Konnektivitätstest initiiert sich mit einem Ping und das stellt ein Sicherheitsrisiko dar.(Bug 1009722)
Korrektur: Die Schaltfläche zum Testen der Konnektivität verzichtet beim Testen auf ICMP-Pakete (Pings), die von einem HTTP-Befehl an den Anschlussport gefolgt werden. Die Verbindung wird jetzt nur noch per HTTP-Befehl bestätigt. Dadurch kann der Konnektivitätstest bis zu eine Minute länger dauern, wenn das Remote-Ende nicht aktiv ist oder nicht ordnungsgemäß reagiert.
Problem: Eine Änderung der Passwortspeicherung in Sentinel 7.4 SP1 führt beim Aufrüsten der Appliance von einer Version unter 7.4 SP1 zur Anzeige des folgenden Fehlers:
Failed to set encrypted password
(Bug 967764)
Korrektur: Sentinel zeigt die Warnmeldung nicht mehr an.
Problem: Wenn Sie Sentinel von Version 7.3 auf Version 7.3 SP1 aufrüsten und dann den Sentinel-Server starten, kann die folgende Ausnahme im Serverprotokoll angezeigt werden:
Invalid length of data object ......
(Bug 933640)
Korrektur: Bei der Aufrüstung zeigt Sentinel die Ausnahme nicht mehr an.
Problem: In den Warnmeldungsansichten und Warnmeldungs-Dashboards von Sentinel werden keine Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten. (Bug 924874)
Korrektur: In den Warnmeldungsansichten und Warnmeldungs-Dashboards werden jetzt Warnmeldungen angezeigt, die eine IPv6-Adresse im Feld „IP-Adresse“ enthalten.
Weitere Informationen zu den Hardwarevoraussetzungen und den unterstützten Betriebssystemen und Browsern finden Sie auf der Website mit technischen Daten zu Sentinel.
Informationen zur Installation von Sentinel 8.1.1 finden Sie im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
Sie können von Sentinel 7.4 und höher auf Sentinel 8.1.1 aufrüsten. Weitere Informationen zur Aufrüstung auf Sentinel 8.1.1 finden Sie im NetIQ Sentinel Installation and Configuration Guide (NetIQ Sentinel-Installations- und -Konfigurationshandbuch).
NetIQ Corporation ist bestrebt, Produkte zu bieten, die hochwertige Lösungen für die Softwarebedürfnisse Ihres Unternehmens darstellen. Die nachfolgend beschriebenen Probleme werden zurzeit untersucht. Wenden Sie sich an den Technischen Support, wenn Sie weitere Hilfe zu einem Problem benötigen.
Die in Sentinel enthaltene Java 8-Aktualisierung kann die folgenden Plugins beeinträchtigen:
Cisco SDEE Connector
SAP (XAL)-Connector
Remedy Integrator
Probleme mit diesen Plugins werden bei NetIQ gemäß den Standardrichtlinien für die Mängelbehebung priorisiert und behoben. Weitere Informationen zu den Supportrichtlinien finden Sie auf der Website zu den Supportrichtlinien.
Abschnitt 5.1, Sentinel kann lokale Berichte nicht mit standardmäßiger EPS-Lizenz ausführen
Abschnitt 5.3, Correlation Engine ist nach der Aufrüstung getrennt
Abschnitt 5.5, Ereignisgrafik-Dashboard kann nicht gestartet werden
Abschnitt 5.6, Sentinel kann auf SLES 11 SP4 im FIPS-Modus nicht installiert werden
Abschnitt 5.17, Ungenaue Angaben in den Spalten „Dauer“ und „Zugegriffen“ für aktive Suchaufträge
Abschnitt 5.21, Die Anzeige von mehreren Berichten gleichzeitig ist nicht möglich
Problem: Wenn Ihre Umgebung eine standardmäßige 25-EPS-Lizenz hat und Sie einen Bericht ausführen, tritt beim Ausführen des Berichts der folgende Fehler auf:
License for Distributed Search feature is expired (Lizenz für Funktion der verteilten Suche ist abgelaufen)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Berichte in der gleichen JVM wie Sentinel auszuführen:
Melden Sie sich am Sentinel-Server an und öffnen Sie die Datei /etc/opt/novell/sentinel/config/server.xml.
Suchen Sie die folgende Eigenschaft:
<property name="reporting.process.oktorunstandalone">true</property>
Ändern Sie die Einstellung in false (falsch):
<property name="reporting.process.oktorunstandalone">false</property>
Starten Sie Sentinel neu.
Problem: Wenn Sie Sentinel (Server, RCM oder RCE) während oder nach der Installation in den FIPS-Modus konvertieren möchten, verhindert ein Problem der Mozilla NSS-Pakete, die vom SLES 12-Betriebssystem bereitgestellt werden, den erfolgreichen Abschluss der Konvertierung. Die Konvertierung endet bei der Aufforderung zur Eingabe des FIPS-Keystore-Datenbankpassworts. Dies ist auch der Fall, wenn das angegebene Passwort den vorgegebenen Kriterien entspricht. (Bug 1065329)
Behelfslösung: Gehen Sie zur Konvertierung von Sentinel in den FIPS-Modus wie folgt vor:
Melden Sie sich als root-Benutzer bei Sentinel (Server, RCM oder RCE) an.
Starten Sie den YaST-Softwaremanager:
yast sw_single
Suchen Sie nach folgenden Paketen und installieren Sie die neueste Version (bzw. rüsten Sie darauf auf):
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
Bereinigen Sie die Artefakte der vorherigen FIPS-Konvertierungsversuche:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
Wiederholen Sie die FIPS-Konvertierung.
Problem: Neue Änderungen an der Art und Weise, wie Sentinel Regeln validiert, führen dazu, dass Correlation Engine keine Verbindung herstellen kann, wenn Ihre Umgebung eine ältere Bereitstellungsregel mit falscher Syntax hat. (Bug 1039598)
Behelfslösung: Um Correlation Engine erneut zu verbinden, korrigieren Sie die Syntax der Regel, die das Problem verursacht, und starten Sie Sentinel dann neu.
Führen Sie die folgenden Schritte aus, um die Regel zu suchen und ihre Syntax zu korrigieren:
Suchen Sie in der Datei „server.log“ nach Failed to initialize CorrelationEngine (Fehler beim Initialisieren von Correlation Engine).
Wenn Sie beispielsweise nach Failed to initialize CorrelationEngine (Fehler beim Initialisieren von Correlation Engine) suchen, wird eine Protokollmeldung folgender Art angezeigt:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
Blättern Sie zur vorigen Protokollmeldung nach oben, die die Regel und ihre Syntax angibt. Der Eintrag ähnelt dem folgenden:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
In diesem Beispiel zeigt die Protokollnachricht an, dass das Problem durch die Angabe einer Dauer von mehr als einem Tag verursacht wurde. Die Syntax der Regel gibt eine größere Anzahl Sekunden (86460) an als in einem Tag enthalten sind (86400).
Melden Sie sich bei Sentinel an.
Öffnen Sie eine neue Registerkarte im Browser.
Öffnen Sie in der neuen Registerkarte die folgende URL:
https://<IHRE SENTINEL-IP>:8443/SentinelRESTServices/objects/correlation-rule
Um den Regelnamen und die ID in der Liste der Korrelationsregeln zu finden, suchen Sie nach einem eindeutigen Teil der Regelsyntax, hier beispielsweise nach 86460.
(Bedingt) Wenn Sie den Regelnamen und die ID in der Liste der Korrelationsregeln nicht finden, führen Sie die folgenden Schritte aus:
Wechseln Sie über die Eingabeaufforderung zum Benutzer „novell“. Verwenden Sie den folgenden Befehl:
su -novell
Wechseln Sie in das Verzeichnis /opt/novell/sentinel/bin.
Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%eindeutiger Text%'"
Ersetzen Sie die Zeichenfolge eindeutiger Text durch einen eindeutigen Teil der Regelsyntax, beispielsweise 86460.
(Bedingt) Wenn Sie nicht bereits zum Benutzer „novell“ gewechselt haben, öffnen Sie eine Eingabeaufforderung und wechseln Sie zum Benutzer „novell“. Verwenden Sie den folgenden Befehl:
su -novell
Wechseln Sie in das Verzeichnis /opt/novell/sentinel/bin.
Überprüfen Sie, ob die Regel in der Datenbank enthalten ist. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Aktualisieren Sie die Regel mit einem neuen Filter, der bei der Validierung keinen Fehler auslöst. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Überprüfen Sie, ob der Filter in der Datenbank geändert wurde. Verwenden Sie den folgenden SQL-Befehl:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=Regel-ID"
Ersetzen Sie Regel-ID durch die ID der zuvor gefundenen Regel.
Stoppen Sie Sentinel. Verwenden Sie den folgenden Befehl:
./server.sh stop
Starten Sie Sentinel neu. Verwenden Sie den folgenden Befehl:
./server.sh start
Problem: Wenn Sie in Sentinal HA den aktiven Knoten in den FIPS 140-2-Modus konvertieren, wird die Synchronisierung zur Konvertierung aller passiven Knoten in den FIPS 140-2-Modus nicht richtig ausgeführt. Sie müssen die Synchronisierung manuell starten. (Bug 1014472)
Behelfslösung: Synchronisieren Sie alle passiven Knoten auf folgende Weise manuell auf FIPS 140-2:
Melden Sie sich mit dem Benutzer „root“ am aktiven Knoten an.
Öffnen Sie die Datei /etc/csync2/csync2.cfg.
Ändern Sie die folgende Zeile:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
in
include /etc/opt/novell/sentinel/3rdparty/nss;
Speichern Sie die Datei csync2.cfg.
Starten Sie die Synchronisierung manuell, indem Sie folgenden Befehl ausführen:
csync2 -x -v
Problem: Ein Problem verhindert das Öffnen des Ereginisgrafik-Dashboards in Internet Explorer 11. (Bug 981308)
Behelfslösung: Verwenden Sie zum Anzeigen und Bearbeiten des Grafik-Dashboards einen anderen Browser.
Problem: Wenn Sie Sentinel auf einem Computer installieren, auf dem das Betriebssystem SLES 11 SP4 im FIPS-Modus ausgeführt wird, tritt im Installationsprozess ein Fehler auf. (Bug 990201)
Behelfslösung: Stellen Sie sicher, dass das Betriebssystem nicht im FIPS-Modus ist, und führen Sie dann die folgenden Schritte aus:
Installieren Sie Sentinel. Weitere Informationen finden Sie unter Installing Sentinel
(Installation von Sentinel) im Sentinel Installation and Configuration Guide (Sentinel-Installations- und Konfigurationshandbuch).
Aktivieren Sie den Sentinel-Server zur Ausführung im FIPS-Modus. Weitere Informationen finden Sie unter Enabling Sentinel Server to Run in FIPS 140-2 Mode
(Aktivieren von Sentinel Server zur Ausführung im FIPS 140-2-Modus) im Sentinel Installation and Configuration Guide (Sentinel-Installations- und Konfigurationshandbuch).
Aktivieren Sie die Ausführung des Betriebssystems im FIPS-Modus mit folgendem Befehl:
fips=1 /boot/grub/menu.lst
Problem: Nach der Aktivierung des skalierbaren Datenmanagers von Sentinel zeigt der Browser nach der Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche eine leere Seite an. (Bug 1006677)
Behelfslösung: Schließen Sie den Browser und melden Sie sich erneut bei der Sentinel-Dashboard-Benutzeroberfläche an. Das Problem tritt nur einmal bei der ersten Anmeldung bei der Sentinel-Dashboard-Benutzeroberfläche nach der Aktivierung des skalierbaren Datenmanagers auf.
Problem: Wenn Sie in aufgerüsteten Installationen von Sentinel in der Tipps-Tabelle in der Sentinel-Dashboard-Benutzeroberfläche Warnmeldungsattribute suchen, gibt die Suche nicht die vollständige Liste der Warnmeldungsfelder zurück. Wenn Sie die Suche löschen, werden die Warnmeldungsfelder jedoch richtig in der Tipps-Tabelle angezeigt. (Bug 914755)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn Sie eine Ereignissuche ausführen, während der Sicherheitsfilter Ihrer Rolle leer ist und die Rolle über keine Berechtigungen zur Ereignisanzeige verfügt, wird die Suche nicht abgeschlossen. Die Suche zeigt keine Fehlermeldung zu den ungültigen Berechtigungen für die Ereignisanzeige an. (Bug 908666)
Behelfslösung: Aktualisieren Sie die Rolle auf eine der folgenden Weisen:
Geben Sie im Feld Nur Ereignisse, die mit diesen Kriterien übereinstimmen ein Kriterium an. Wenn die Benutzer der Rolle keine Ereignisse sehen sollen, können Sie NOT sev:[0 TO 5] eingeben.
Wählen Sie Systemereignisse anzeigen aus.
Wählen Sie Alle Ereignisdaten anzeigen (einschließlich Rohdaten und NetFlow-Daten) aus.
Problem: Wenn Sie eine gespeicherte Suche bearbeiten, die von Sentinel 7.2 auf eine spätere Version aufgerüstet wurde, fehlt auf der Zeitplanseite der Bereich Ereignisfelder, in dem die Ausgabefelder für die CSV-Datei mit den Suchergebnissen festgelegt werden. (Bug 900293)
Behelfslösung: Erstellen und planen Sie die Suche nach der Aufrüstung von Sentinel neu, damit der Bereich Ereignisfelder auf der Zeitplanseite angezeigt wird.
Problem: Sentinel gibt keine korrelierten Ereignisse zurück, wenn Sie zum Suchen aller korrelierten Ereignisse, die nach dem Bereitstellen oder Aktivieren der Regel generiert wurden, auf der Korrelationsübersichtsseite der Regel im Bereich Aktivitätsstatistik auf das Symbol Ausgelöste Anzahl klicken. (Bug 912820)
Behelfslösung: Ändern Sie den Wert im Feld Von auf der Seite der Ereignissuche in einen Wert, der einen Zeitpunkt vor der im Feld aufgefüllten Zeit darstellt, und klicken Sie erneut auf Suchen.
Problem: Während der erneuten Generierung der Sicherheitsintelligenz-Grundkonfiguration werden das Start- und Enddatum falsch als „1.1.1970“ angezeigt. (Bug 912009)
Behelfslösung: Wenn die Neugenerierung der Grundkonfiguration abgeschlossen ist, werden die richtigen Daten angezeigt.
Problem: Sentinel zeigt einen Fehler an, wenn Sie Sentinel-Ports für Firewall-Ausnahmen mit dem Skript report_dev_setup.sh konfigurieren. (Bug 914874)
Behelfslösung: Führen Sie die folgenden Schritte aus, um Sentinel-Ports für Firewall-Ausnahmen zu konfigurieren:
Öffnen Sie die Datei /etc/sysconfig/SuSEfirewall2.
Ändern Sie die folgende Zeile:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
in
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Starten Sie Sentinel neu.
Problem: Die Leistung des generischen Sentinel-Collectors sinkt, wenn der generische Collector für den Hostnamen-Auflösungsdienst unter Microsoft Active Directory und Windows Collector aktiviert wird. Die EPS sinkt um 50 %, wenn Remote-Instanzen von Collector Manager Ereignisse senden. (Bug 906715)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist, führt die Windows-Authentifizierung mit dem Agentenmanager dazu, dass die Synchronisierung mit der Agentenmanager-Datenbank fehlschlägt. (Bug 814452)
Behelfslösung: Verwenden Sie die SQL-Authentifizierung für den Agentenmanager, wenn der FIPS-140-2-Modus in der Sentinel-Umgebung aktiviert ist.
Problem: Die Sentinel-Hochverfügbarkeitsinstallation im Nicht-FIPS-140-2-Modus wird erfolgreich abgeschlossen, es wird jedoch zweimal der folgende Fehler angezeigt:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Behelfslösung: Der Fehler wird erwartet und kann problemlos ignoriert werden. Die Sentinel-Hochverfügbarkeitskonfiguration funktioniert problemlos im Nicht-FIPS-140-2-Modus, obwohl das Installationsprogramm den Fehler zurückgibt.
Problem: Die Sentinel-Dashboard-Benutzeroberfläche zeigt negative Zahlen in der Spalte mit der Dauer der aktiven Suchaufträge und in der Spalte „Zugegriffen“ an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche hinter der Uhrzeit des Sentinel-Servers liegt. Beispielsweise zeigen die Spalten „Dauer“ und „Zugegriffen“ negative Zahlen an, wenn die Uhrzeit des Computers mit der Sentinel-Dashboard-Benutzeroberfläche 13:30 Uhr und die des Sentinel-Servers 14:30 Uhr ist. (Bug 719875)
Behelfslösung: Stellen Sie sicher, dass die Uhrzeit auf dem Computer, den Sie zum Zugriff auf die Sentinel-Dashboard-Benutzeroberfläche verwenden, der Uhrzeit des Sentinel-Servers entspricht bzw. nach der Uhrzeit des Sentinel-Servers liegt.
Problem: Wenn Sie sich beim Sicherheits-Dashboard anmelden und nach dem IssueSAMLToken-Auditereignis suchen, zeigt das IssueSAMLToken-Auditereignis einen falschen Hostnamen (InitiatorUserName) oder eine falsche IP-Adresse (SourceIP) an. (Bug 870609)
Behelfslösung: Momentan lässt sich dieses Problem nicht umgehen.
Problem: Der Sentinel-Server wird heruntergefahren, wenn eine Suche ausgeführt wird und eine einzelne Partition eine große Anzahl Ereignisse enthält. (Bug 913599)
Behelfslösung: Erstellen Sie Beibehaltungsrichtlinien so, dass an einem Tag mindestens zwei Partitionen geöffnet sind. Wenn mehrere Partitionen geöffnet sind, wird die Anzahl der in den Partitionen indexierten Ereignisse reduziert.
Sie können Beibehaltungsrichtlinien erstellen, die Ereignisse auf Grundlage des Felds estzhour filtern. Dieses Feld dient der Nachverfolgung der Stunde des Tages. Sie können also eine Beibehaltungsrichtlinie mit dem Filter estzhour:[0 TO 11] und eine weitere Beibehaltungsrichtlinie mit dem Filter estzhour:[12 TO 23] erstellen.
Weitere Informationen finden Sie im Abschnitt Configuring Data Retention Policies
(Datenbeibehaltungsrichtlinien konfigurieren) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch).
Problem:
Bei der Datensynchronisierung tritt ein Fehler auf, wenn Sie versuchen, IPv6-Adressfelder im menschenlesbaren Format für externe Datenbanken zu synchronisieren. Weitere Informationen über das Konfigurieren von Sentinel zum Auffüllen der IP-Adressfelder in menschenlesbarer Dezimalpunktschreibweise finden Sie unter Creating a Data Synchronization Policy
(Erstellen einer Datensynchronisierungsrichtlinie) im NetIQ Sentinel Administration Guide (NetIQ Sentinel-Administrationshandbuch). (Bug 913014)
Behelfslösung: Ändern Sie zur Behebung dieses Problems die maximale Größe der IP-Adressfelder in der Zieldatenbank auf mindestens 46 Zeichen und synchronisieren Sie die Datenbank erneut.
Problem: Wenn Sie darauf warten, dass eine PDF-Datei mit Berichtergebnissen angezeigt wird (insbesondere Berichtsergebnisse von 1 Million Ereignissen) und währenddessen auf eine andere PDF-Datei mit Berichtergebnissen klicken, um diese anzuzeigen, dann werden die Berichtergebnisse nicht angezeigt. (Bug 804683)
Behelfslösung: Klicken Sie erneut auf die zweite PDF-Datei mit Berichtergebnissen, um diese anzuzeigen.
Wir möchten Ihnen stets eine nützliche, aussagekräftige Dokumentation an die Hand geben. Sie haben Verbesserungsvorschläge? Dann senden Sie sie uns per Email an Documentation-Feedback@netiq.com. Wir freuen uns auf Ihre Rückmeldung.
Ausführliche Kontaktinformationen finden Sie auf der Website mit den Support-Kontaktangaben.
Allgemeine Informationen zu unserem Unternehmen und unseren Produkten finden Sie auf der NetIQ-Firmenwebsite.
Werden Sie Mitglied in unserer Community, und führen Sie interaktive Gespräche mit Fachkollegen und NetIQ-Experten. In der NetIQ-Online-Community finden Sie Produktinformationen, Links zu nützlichen Ressourcen, Blogs und Social-Media-Kanäle.
Informationen zu rechtlichen Hinweisen, Marken, Haftungsausschlüssen, Gewährleistungen, Ausfuhrbeschränkungen und sonstigen Nutzungseinschränkungen für NetIQ, Einschränkungen von Rechten und Patentrichtlinien der US-Regierung und Erfüllung von FIPS finden Sie unter http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Alle Rechte vorbehalten.