Notas de la versión de Sentinel 8.0

Problema: SSDM en modo de alta disponibilidad no llena las direcciones IP adecuadas de los nodos del clúster de alta disponibilidad en los archivos de configuración del módulo auxiliar (plug-in) de seguridad de Elasticsearch. Como resultado, las búsquedas y las consolas de visualización de eventos muestran errores.

Solución: Después de instalar el módulo auxiliar (plug-in) de seguridad de Elasticsearch, realice los pasos siguientes en cada nodo del clúster Elasticsearch:

Problema: En entornos SSDM, si crea una visualización de mapa de mosaico con opciones predeterminadas, un problema relacionado con Kibana impide que la nueva visualización de mapa de mosaico funcione en la consola de visualización de eventos. Para obtener más información acerca del problema relacionado con Kibana, consulte la sección https://github.com/elastic/kibana/issues/7717. (Error 1001909)

Solución: Cuando se crea una nueva visualización de mapa de mosaico, en Opciones, seleccione Servidor de mapas compatible con WMS.

Problema: Un problema relacionado con Kibana impide que Internet Explorer 11 abra la consola de visualización de eventos. (Error 981308)

Solución: Utilice un navegador distinto para ver o modificar la consola de visualización.

Problema: Si intenta instalar Sentinel en un equipo que está ejecutando el sistema operativo SLES 11 SP4 en el modo FIPS, se producirá un error en el proceso de instalación. (Error 990201)

Solución: Asegúrese de que el sistema operativo no está en modo FIPS y, a continuación, realice los pasos siguientes:

Problema: Sentinel no recibe eventos a través del conector de Sentinel Link. (Error 989784)

Solución: La versión de Sentinel Link Connector 2011.1r4 soluciona este problema. Mientras no se publique oficialmente en el sitio Web de módulos auxiliares (plug-ins) de Sentinel, puede descargar la versión de vista previa del conector en la sección de vistas previas.

Problema: NetIQ eDirectory Instrumentation no puede conectarse con Conector de auditoría a través de Platform Agent. Como resultado, Sentinel no puede recibir eventos de eDirectory. Este problema se produce porque eDirectory Instrumentation utiliza el algoritmo de certificado MD5 RSA, que ha quedado obsoleto en la actualización 77 de Java 8 utilizada en Sentinel 8.0.(Error 985312)

Solución: Para habilitar eDirectory Instrumentation para que utilice un certificado personalizado, realice los pasos mencionados en el artículo de la base de conocimientos de NetIQ n.º 7017764.

Problema: Debido a un cambio en el almacenamiento de contraseñas de Sentinel 7.4 SP1, se muestra el siguiente error al actualizar el dispositivo desde versiones anteriores a 7.4 SP1:

Solución: Se trata de una advertencia prevista, por lo que puede ignorarla de forma segura. Esto no afecta a la actualización.

Problema: Después de habilitar SSDM, cuando se entra a la interfaz principal de Sentinel, el navegador mostrará una página en blanco. (Error 1006677)

Solución: Cierre el navegador y entre de nuevo a la interfaz principal de Sentinel. Este problema solo ocurre en una ocasión: la primera vez que entra a la interfaz principal de Sentinel después de habilitar SSDM.

Problema: La tarea com.novell.sentinel.spark.StreamingEventIndexer no es compatible con IPv6. Si un evento contiene una dirección IPv6, se produce un error en la tarea. (Error 1006975)

Solución: La solución es cambiar el tipo de IP en una cadena. Para efectuar este cambio, póngase en contacto con la asistencia técnica.

Problema: Después de habilitar el almacenamiento ampliable, los registros del servidor SSDM muestran varias instancias del siguiente mensaje:

Solución: Puede ignorar estos mensajes de forma segura. No tiene ninguna repercusión a nivel funcional.

Problema: Al actualizar Sentinel de la versión 7.3 a 7.3 SP1 e iniciar el servidor Sentinel, puede aparecer la siguiente excepción en el registro del servidor:

Solución: Ignore la excepción. Esta excepción no repercute en el rendimiento de Sentinel.

Problema: Las vistas y las consolas de alertas de Sentinel no muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP. (Error 924874)

Solución: Para ver alertas con direcciones IPv6 en Sentinel, efectúe los pasos que se indican en el artículo 7016555 de la base de conocimientos de NetIQ.

Problema: Hay una vulnerabilidad de seguridad Bar Mitzvah en el conector de Sentinel Link. El conector de Sentinel Link utiliza el algoritmo RC4 en los protocolos SSL y TSL, que no impiden los posibles ataques de recuperación de texto sin cifrar en los bytes iniciales de un flujo. Para obtener más información, consulte CVE-2015-2808. (Error 933741)

Solución: La versión de Sentinel Link Connector 2011.1r4 soluciona este problema. Mientras no se publique oficialmente en el sitio Web de módulos auxiliares (plug-ins) de Sentinel, puede descargar el conector en la sección de vistas previas.

Problema: La versión 2011.1r3 de Agent Manager Connector no ajusta la propiedad CONNECTION_MODE de los eventos si el recopilador que analiza los eventos admite varios modos de conexión. (Error 880564)

Solución: Este problema se ha solucionado en la versión 2011.1r5 de Agent Manager Connector y en las versiones posteriores. Mientras no se publique oficialmente en el sitio Web de módulos auxiliares (plug-ins) de Sentinel, puede descargar el conector en la sección de vistas previas.

Problema: Sentinel Agent Manager 7.3 ignora el valor especificado en el atributo RawDataTapFileSize del archivo SMServiceHost.exe.config para la configuración del tamaño de archivo de datos en bruto, y deja de escribir en el archivo de datos en bruto cuando su tamaño alcanza los 10 MB. (Error 867954)

Solución: Copie el contenido del archivo de datos en bruto en otro archivo de forma manual y bórrelo cuando su tamaño alcance los 10 MB, de modo que Sentinel Agent Manager pueda escribir datos nuevos en él.

Problema: En las instalaciones actualizadas de Sentinel, cuando se buscan atributos de alerta en la tabla Sugerencias de la interfaz principal, la búsqueda no devuelve la lista completa de campos de alerta. Sin embargo, los campos de alerta se muestran correctamente en la tabla Sugerencias al borrar la búsqueda. (Error 914755)

Solución: No existe ninguna solución por el momento.

Problema: La sincronización de datos falla cuando intenta sincronizar campos de dirección IPv6 en un formato legible para el ser humano con bases de datos externas. Para obtener más información acerca de cómo configurar Sentinel para que llene los campos de dirección IP en un formato de notación con punto legible para el ser humano, consulte la sección Creating a Data Synchronization Policy (Creación de una directiva de sincronización de datos) de la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel). (Error 913014)

Solución: Para solucionar este problema, cambie manualmente el tamaño máximo de los campos de dirección IP a al menos 46 caracteres en la base de datos de destino y vuelva a sincronizar la base de datos.

Problema: Si ejecuta una búsqueda de evento cuando no tiene seleccionado ningún filtro de seguridad para su función y dicha función no tiene permisos para ver eventos, la búsqueda no se llevará a cabo. La búsqueda no muestra ningún mensaje de error acerca de los permisos para ver eventos no válidos. (Error 908666)

Solución: Actualice la función con una de las opciones siguientes:

Problema: Cuando se edita una búsqueda guardada que se actualizó de Sentinel 7.2 a una versión posterior, la página Programación no muestra el panel Campos de evento, usado para especificar campos de salida en el archivo CSV de informe de la búsqueda. (Error 900293)

Solución: Después de actualizar Sentinel, vuelva a crear y programar la búsqueda para ver el panel Campos de evento en la página Programación.

Problema: Sentinel no devuelve ningún evento correlacionado cuando se buscan todos los eventos correlacionados que se generaron después de implantar o habilitar la regla, haciendo clic en el icono situado junto a Número de activaciones en el panel Estadísticas de actividad de la página de resumen de correlaciones para dicha regla. (Error 912820)

Solución: Cambie el valor del campo Desde en la página de búsqueda de eventos por una hora anterior a la que se muestra en el campo y vuelva a hacer clic en Buscar.

Problema: Durante la regeneración de la línea de base de inteligencia de seguridad, las fechas de inicio y fin de la línea de base son incorrectas y se muestra 1/1/1970. (Error 912009)

Solución: Las fechas correctas se actualizan al finalizar la regeneración de la línea de base.

Problema: El servidor Sentinel se apaga al ejecutar una búsqueda si hay muchos eventos indexados en una sola partición. (Error 913599)

Solución: Cree directivas de retención de modo que haya al menos dos particiones abiertas en un día. El hecho de tener más de una partición abierta contribuye a reducir el número de eventos indexados en las particiones.

Problema: Sentinel muestra un error cuando se utiliza el guion report_dev_setup.sh para configurar los puertos de Sentinel para excepciones de cortafuegos. (Error 914874)

Solución: Siga estos pasos para configurar los puertos de Sentinel para excepciones de cortafuegos:

Problema: El rendimiento del recopilador genérico de Sentinel se deteriora cuando se habilita el recopilador genérico de servicios de resolución de nombres de host en Microsoft Active Directory y Windows Collector. El EPS se reduce en un 50% cuando las instancias remotas de Collector Manager envían eventos. (Error 906715)

Solución: No existe ninguna solución por el momento.

Problema: Cuando se instala Sentinel en modo FIPS 140-2, el conector para la base de datos de Inteligencia de seguridad no se inicia y Sentinel no puede acceder a los datos de Inteligencia de seguridad, NetFlow y alertas. (Error 915241)

Solución: Reinicie Sentinel después de realizar la instalación y configuración en modo FIPS 140-2.

Problema: Cuando se exportan los resultados de la búsqueda en Sentinel, es posible que el navegador Web muestre un error si se modifican los ajustes de idioma del sistema operativo. (Error 834874)

Solución: Para exportar los resultados de la búsqueda correctamente, realice una de las siguientes operaciones:

Problema: Mientras espera a que se abra el archivo PDF de resultado de informe, especialmente en el caso de los resultados de informe de 1 millón de eventos, el resultado no se mostrará si hace clic en otro archivo PDF de resultado de informe. (Error 804683)

Solución: Vuelva a hacer clic en el segundo archivo PDF de resultado de informe para ver el resultado.

Problema: Si tiene el modo FIPS 140-2 habilitado en su entorno de Sentinel, la autenticación de Windows para Agent Manager impide la sincronización con la base de datos de Agent Manager. (Error 814452)

Solución: Utilice la autenticación de SQL para Agent Manager cuando tenga el modo FIPS 140-2 habilitado en su entorno de Sentinel.

Problema: La instalación de alta disponibilidad de Sentinel en un modo diferente de FIPS 140-2 se realiza correctamente, pero muestra el error siguiente dos veces:

Solución: Se trata de un error previsto y puede ignorarlo de forma segura. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo diferente de FIPS 140-2.

Problema: La interfaz principal de Sentinel muestra números negativos en las columnas Accedido y Duración de tareas de búsqueda activas cuando el reloj del ordenador de la interfaz principal de Sentinel está atrasado con respecto al reloj del servidor Sentinel. Por ejemplo, las columnas Duración y Accedido muestran números negativos cuando el reloj de la interfaz principal de Sentinel está fijado en la 1:30 PM y el reloj del servidor de Sentinel en las 2:30 PM. (Error 719875)

Solución: Asegúrese de que la hora en el ordenador que utiliza para acceder a la interfaz principal de Sentinel sea igual o posterior a la hora del ordenador del servidor Sentinel.

Problema: Cuando entra a la consola de seguridad y realiza una búsqueda en el evento de auditoría IssueSAMLToken, el evento IssueSAMLToken muestra un nombre de host (InitiatorUserName) o una IP de origen (dirección IP) incorrectos. (Error 870609)

Solución: No existe ninguna solución por el momento.