Sentinel 8.1 incluye nuevas funciones, facilita el uso y resuelve varios problemas anteriores.
Muchas de estas mejoras se realizaron en respuesta directa a las sugerencias de nuestros clientes. A todos les agradecemos su tiempo y su valiosa aportación. Esperamos que sigan ayudándonos a garantizar que nuestros productos satisfagan todas sus necesidades. Puede publicar comentarios en el foro de Sentinel en Comunidades de NetIQ, nuestra comunidad en línea que también incluye información sobre productos, blogs y enlaces a recursos útiles.
La documentación de este producto está disponible en el sitio Web de NetIQ en formato HTML y PDF, en una página que no requiere entrar a una sesión. Si tiene sugerencias de mejoras para la documentación, haga clic en el icono de comentarios en cualquier página de la versión HTML de la documentación publicada en la documentación de Sentinel NetIQ . Para descargar este producto, consulte el sitio Web de actualizaciones del producto Sentinel.
Encontrará la versión más reciente de estas notas de la versión en Notas de la versión de Sentinel 8.1.
En las siguientes secciones se esbozan las principales características y funciones de esta versión, así como los problemas resueltos en ella:
Sección 1.1, Correcciones de las vulnerabilidades de seguridad
Sección 1.5, Eliminación de vistas de alertas y vistas de eventos en Sentinel principal.
Sección 1.6, Adiciones a la funcionalidad de almacenamiento ampliable
Sección 1.7, Configuración de orígenes de datos de inteligencia de amenazas
Sección 1.8, Gestión de listas dinámicas en Sentinel principal
Sentinel 8.1 proporciona revisiones adicionales para resolver la vulnerabilidad CVE-2016-1000031 descubierta por Jacob Baines de Tenable Network Security. Nos gustaría dar las gracias a Jacob Baines por encontrar e informarnos acerca de estas vulnerabilidades de seguridad.
Sentinel 8.1 presenta los siguientes nuevos métodos de autenticación:
La autenticación de Kerberos: criptografía de clave secreta que se utiliza para proporcionar una autenticación segura.
Autenticación multifactor (AMF): un método más avanzado de autenticación que utiliza una combinación de al menos dos factores. Por ejemplo, una combinación de una contraseña y un testigo o tarjeta inteligente y una huella digital.
Autenticación OAuth: permite a los usuarios entrar en Sentinel utilizando proveedores, como Google o Facebook.
Sentinel 8.1 introduce las nuevas consolas siguientes:
Consola de actividad de seguridad: proporciona una descripción general de la seguridad del sistema en lo relativo a las amenazas de direcciones IP de baja reputación, vulnerabilidades y posible explotación de las vulnerabilidades. La consola proporciona una descripción general sobre el estado actual de seguridad del sistema, incluida la información acerca de si el sistema es seguro o presenta riesgos.
Consola de descripción general de eventos: proporciona una descripción general de todos los eventos entrantes. El widget proporciona información sobre tipos específicos, como eventos de correlación, eventos del sistema y otros.
Sentinel 8.1 incluye la capacidad de gestionar varias consolas. La primera vez que entre a la sesión, Sentinel le dirigirá a la gestión de consolas. Desde aquí, podrá:
Acceder a cualquier consola para la que tenga permisos
Crear una nueva consola
Definir cualquier consola como la página principal
Con la disponibilidad de las consolas de descripción general de eventos e inteligencia de amenazas en (Mi Sentinel), las y en (Sentinel principal) quedarán obsoletas en un futuro para evitar la redundancia de interfaces de usuario para estas funciones.
Esta versión incluye varias adiciones que expanden la funcionalidad de almacenamiento ampliable de Sentinel:
Sentinel Scalable Data Manager (SSDM) ahora incluye las siguientes funciones de Sentinel Enterprise:
Correlación
Correlación de patrones de eventos en tiempo real
Acciones activadas por reglas de correlación
Clasificación de alertas y visualización
Integración de datos de identidad de usuario
Visualización y recopilación de NetFlow
Federación de datos
Solution Designer
Para obtener información acerca de los servicios y las funciones de Sentinel Enterprise no disponibles en SSDM, consulte la sección Configuración de almacenamiento ampliable
en la NetIQ Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
Ya no se debe realizar una instalación nueva de Sentinel para utilizar la capacidad de almacenamiento ampliable. Ahora puede habilitar el almacenamiento ampliable incluso en instalaciones de actualización de Sentinel. Para obtener información acerca de la habilitación del almacenamiento ampliable, consulte Configuring Scalable Storage
(Configuración del almacenamiento ampliable) en la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel).
Si desea aprovechar los datos existentes en el almacenamiento tradicional de Sentinel con el almacenamiento ampliable, ahora puede migrar datos del almacenamiento tradicional al almacenamiento ampliable. Para obtener más información, consulte la sección Migrating Data from Sentinel with Traditional Storage
(Migración de datos de Sentinel con el almacenamiento tradicional) en la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel).
En una configuración de almacenamiento ampliable donde la tasa de EPS es generalmente elevada, las instancias de Correlation Engine se pudieron cargar con un gran número de eventos para procesar. Por defecto, todos los eventos se envían a todas las instancias de Correlation Engine. Para evitar la sobrecarga de eventos, puede comprobar el uso de EPS en el Correlation Engine y, a continuación, distribuir la carga de eventos de manera uniforme en varios motores de correlación según sea necesario. La distribución de eventos a través de las instancias de Correlation Engine no solo le ayuda a equilibrar la carga de eventos, también permite segregar eventos de tipo arrendatario en motores de correlación específicos. Por ejemplo, en un entorno de múltiples arrendatarios, puede configurar las instancias de Correlation Engine designadas para cada arrendatario de forma que Correlation Engine procese eventos específicos para cada arrendatario.
La opción de distribuir los eventos a través de las instancias de Correlation Engine está disponible solo en Sentinel con almacenamiento ampliable. Para obtener más información, consulte la sección Distributing Events Across Correlation Engines
(Distribución de eventos a través de las instancias de Correlation Engine) en la NetIQ Sentinel User Guide (Guía del usuario de NetIQ Sentinel).
El Threat Intelligence Solution Pack en versiones anteriores de Sentinel incluye orígenes de datos como Palevo y ZeuS, que proporcionan una lista conocida de direcciones IP de botnet. A partir de Sentinel 8.1, estos orígenes de datos ya no forman parte del paquete de soluciones y están disponibles de forma inmediata al instalar Sentinel. Además de Palevo y Zeus, Sentinel también ofrece orígenes de datos adicionales que proporcionan información sobre amenazas nuevas o existentes para la seguridad de una organización. Muchos de estos orígenes de datos se actualizan a diario. Sentinel ofrece la capacidad de descargar estos datos en un archivo de mapa y actualizarlos a intervalos programados o según sea preciso para incorporar la información relevante de amenazas en las reglas de correlación. La opción para gestionar estos orígenes de datos de inteligencia de amenazas está ahora disponible en > en Sentinel principal.
Para obtener más información, consulte la sección Configuring Threat Intelligence Data Sources
(Configuración de orígenes de datos de inteligencia de amenazas) en la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel).
Ya no necesita utilizar Sentinel Control Center para configurar o gestionar las listas dinámicas. La interfaz de usuario para configurar y gestionar las listas dinámicas está ahora disponible en Sentinel principal con mayor facilidad de uso. Para obtener más información, consulte Configuring Dynamic Lists
(Configuración de listas dinámicas) en la NetIQ Sentinel User Guide (Guía del usuario de NetIQ Sentinel).
Hay varias actualizaciones disponibles para las plataformas certificadas de Sentinel. Para obtener más información sobre las plataformas certificadas, consulte la página Technical Information for Sentinel (Información técnica de Sentinel).
Sentinel está certificado actualmente en las siguientes plataformas:
Instalación tradicional:
SUSE Linux Enterprise Server 12 SP2 de 64 bits
Red Hat Enterprise Linux Server 6.8 de 64 bits
Instalación de dispositivo:
VMware ESX 6.5 (para ISO y OVF)
Hyper-V Server 2016 (solo ISO)
Sincronización de datos: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Las nuevas instalaciones de Sentinel incluyen las versiones más recientes de varios módulos auxiliares (plug-ins) de Sentinel. Estas versiones incluyen las correcciones de software, actualizaciones de documentación y mejoras del módulo auxiliar (plug-in) más recientes. Para obtener más información, consulte la documentación específica del módulo auxiliar (plug-in) en el sitio Web de módulos auxiliares (plug-ins) de Sentinel.
Las instalaciones de actualización de Sentinel actualizan los módulos auxiliares (plug-ins) siguientes para asegurarse de que estos módulos auxiliares (plug-ins) son compatibles con Sentinel 8.1 y versiones posteriores:
Sentinel Agent Manager Connector a la versión 2017.1r1
Sentinel Link Connector a la versión 2011.1r5
Sentinel 8.1 incluye correcciones de software que solucionan varios problemas.
Se produce un error en el informe si la ‘Fecha de inicio’ es posterior a la fecha actual
Guardar una búsqueda en CSV no mantiene el orden especificado de los campos
Algunas opciones de criterios de edición crean búsquedas no válidas
El certificado personalizado impide que Sentinel Agent Manager se conecte a Sentinel
/SentinelRESTServices/objects/alert/count API Always Returns 0
Los campos de detalle de eventos muestran fechas con un formato incorrecto
Sentinel Agent Manager 7.3 no tiene en cuenta la configuración de RawDataTapFileSize
Las visualizaciones de mapa de mosaico no funcionan en Sentinel Scalable Data Manager
Problema: Cuando se produce un error en una tarea de informe, no es posible buscarla como un evento. (Error 1017358)
Solución: Ahora es posible buscar una tarea de informe fallida como un evento.
Problema: Sentinel le permite registrar los orígenes de eventos desde los que llegan los eventos que se retrasan más allá de un umbral especificado. Esto resulta útil para resolver problemas relacionados con la llegada aplazada. Sentinel no actualizaba el archivo de registro con los orígenes de eventos. (Error 979931)
Solución: Ahora Sentinel actualiza el archivo de registro como parte de la instantánea de rendimiento.
Problema: Si configura una definición de anomalía para enviar una notificación por correo electrónico cuando hay una desviación respecto a la línea de base, Sentinel no puede enviar el mensaje de correo electrónico y se devuelve un error IllegalStateException. (Error 816622)
Solución: Ahora Sentinel envía correctamente el correo electrónico.
Problema: Si programa un informe para ejecutarlo con el intervalo de fechas actual, pero el campo está en el futuro, se produce un error en el informe. (Error 914094)
Solución: Sentinel le permite definir en el futuro para informar sobre los orígenes de eventos que no están sincronizados correctamente en el tiempo. Ahora, Sentinel ejecuta el informe sin errores.
Problema: Al guardar una búsqueda en un archivo CSV, el archivo CSV no mantiene el orden especificado de los campos. (Error 979916)
Solución: Al guardar una búsqueda en un archivo CSV, ahora este mantiene el orden especificado de los campos.
Problema: Si se reinicia el servicio de Sentinel en un equipo de Collector Manager que disponga de varios recopiladores de la base de datos, algunos de los recopiladores no podrán volver a conectarse a los orígenes de eventos. (Errores 1015375 y 1041866)
Solución: Ahora todos los recopiladores se reconectan después de reiniciar el servicio de Sentinel.
Problema: Si modifica los criterios de búsqueda y selecciona , o (Hora de proceso de Sentinel), los resultados de búsqueda no son válidos. (Error 894421)
Solución: Las opciones , o (Hora de proceso de Sentinel) ya no están disponibles cuando se editan los criterios de búsqueda.
Problema: Si un tema de certificado personalizado contiene varios atributos o caracteres especiales, Sentinel Agent Manager no puede conectarse a Sentinel. (Error 1018133)
Solución: Sentinel Agent Manager ahora puede conectarse a Sentinel cuando el tema de certificado personalizado contiene varios atributos o caracteres especiales.
Problema: Cuando se actualiza Sentinel 8.0 y versiones posteriores, el instalador muestra el siguiente error:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Error 1025512)
Solución: Ya no ocurre este error durante el proceso de actualización.
Problema: Ejecutar la API /SentinelRESTServices/objects/alert/count siempre devuelve el valor 0, incluso si hay varias alertas. (Error 1028317)
Solución: La API /SentinelRESTServices/objects/alert/count ahora devuelve el número correcto de alertas.
Problema: Al visualizar todos los detalles del evento, las fechas y horas presentan un formato incorrecto en formato UTC (Hora universal coordinada). (Errores 1031523 y 1034531)
Solución: Ahora, los campos de detalle de evento mostrarán todas las fechas en el formato apropiado de la configuración regional especificada en el navegador.
Problema: Después de habilitar el almacenamiento ampliable, los registros del servidor SSDM muestran varias instancias del siguiente mensaje:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearch Se ha producido un error al inicializar la llamada de búsqueda de asignación de kibana con el código de estado 400
Puede ignorar estos mensajes de forma segura. No tiene ninguna repercusión a nivel funcional. (Error 1009662)
Solución: Los registros del servidor SSDM ya no mostrarán este mensaje.
Problema: SSDM en modo de HA (alta disponibilidad) no llena las direcciones IP adecuadas de los nodos del clúster de alta disponibilidad en los archivos de configuración del módulo auxiliar (plug-in) de seguridad de Elasticsearch. Como resultado, las búsquedas y las consolas de visualización de eventos muestran errores. (Error 1012251)
Solución: Ahora, SSDM en modo de alta disponibilidad llena las direcciones IP adecuadas de los nodos del clúster de alta disponibilidad en los archivos de configuración del módulo auxiliar (plug-in) de seguridad de Elasticsearch.
Problema: En una instalación de Elasticsearch basada en RPM, las consolas de visualización de eventos y las búsquedas en SSDM no funcionarán. (Error 1014448)
Solución: Las consolas de visualización de eventos y las búsquedas en SSDM ahora funcionan.
Problema: NetIQ eDirectory Instrumentation no puede conectarse con Conector de auditoría a través de Platform Agent. Como resultado, Sentinel no puede recibir eventos de eDirectory. Este problema se produce porque eDirectory Instrumentation utiliza el algoritmo de certificado MD5 RSA, que ha quedado obsoleto en la actualización 77 de Java 8 utilizada en Sentinel 8.1.(Error 985312)
Solución: Una nueva versión del conector de auditoría permite a Sentinel recibir eventos de eDirectory.
Problema: La tarea com.novell.sentinel.spark.StreamingEventIndexer no es compatible con IPv6. Si un evento contiene una dirección IPv6, se produce un error en la tarea. (Error 1006975)
Solución: La tarea com.novell.sentinel.spark.StreamingEventIndexer ahora es compatible con IPv6.
Problema: Sentinel Agent Manager 7.3 ignora el valor especificado en el atributo RawDataTapFileSize del archivo SMServiceHost.exe.config para la configuración del tamaño de archivo de datos en bruto y deja de escribir en el archivo de datos en bruto cuando su tamaño alcanza los 10 MB. (Error 867954)
Solución: Sentinel Agent Manager utiliza correctamente los valores especificados en el atributo RawDataTapFileSize del archivo SMServiceHost.exe.config y escribe datos nuevos en el archivo de datos en bruto.
Problema: En entornos SSDM, si crea una visualización de mapa de mosaico con opciones predeterminadas, un problema relacionado con Kibana impide que la nueva visualización de mapa de mosaico funcione en la consola de visualización de eventos. Para obtener más información acerca del problema relacionado con Kibana, consulte la sección https://github.com/elastic/kibana/issues/7717. (Error 1001909)
Solución: Las visualizaciones de mapa de mosaico con opciones por defecto ahora funcionan correctamente en el panel de visualización de eventos.
Para obtener información acerca de los requisitos de hardware y los sistemas operativos y navegadores compatibles, consulte la página de información técnica de Sentinel.
Para obtener información acerca de la instalación de Sentinel 8.1, consulte la NetIQ Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
La actualización a Sentinel 8.1 puede realizarse desde Sentinel 7.4 y versiones posteriores.
Para obtener más información sobre la actualización a Sentinel 8.1, consulte la NetIQ Sentinel Installation and Configuration Guide (Guía de instalación y configuración de NetIQ Sentinel).
NetIQ Corporation se esfuerza por garantizar que nuestros productos ofrezcan soluciones de calidad para sus necesidades de software empresarial. Se están investigando los siguientes asuntos. Si necesita más ayuda con algún problema, póngase en contacto con el departamento de Asistencia técnica.
La actualización de Java 8 incluida en Sentinel podría afectar a los siguientes módulos auxiliares:
Cisco SDEE Connector
Conector SAP (XAL)
Remedy Integrator
Si tiene problemas con estos módulos auxiliares (plug-ins), NetIQ priorizará y corregirá los problemas de acuerdo con las directivas estándar de gestión de defectos. Para obtener más información sobre las directivas de servicio técnico, consulte el sitio Web sobre directivas de servicio técnico.
Sección 5.2, Sentinel no puede ejecutar informes locales con una licencia EPS por defecto
Sección 5.3, Correlation Engine se desconecta tras la actualización
Sección 5.6, No se puede iniciar la consola de visualización de eventos
Sección 5.7, No es posible instalar Sentinel en SLES 11 SP4 en el modo FIPS
Sección 5.11, No se pueden ver las alertas con datos IPv6 en las vistas de alertas
Sección 5.14, La búsqueda de eventos no responde si no dispone de permisos para ver eventos
Sección 5.22, No es posible ver más de un resultado de informe a la vez
Sección 5.25, Inexactitudes en las columnas Duración y Accedido de las tareas de búsqueda activas
Problema: La instalación de la aplicación Collector Manager y Correlation Engine genera errores en el modo MFA si el sistema operativo está en un idioma que no sea inglés. (Error 1045967)
Solución: Instale las aplicaciones Collector Manager y Correlation Engine en inglés. Una vez finalizada la instalación, cambie el idioma según corresponda.
Problema: Si su entorno tiene la licencia por defecto de 25 EPS y ejecuta un informe, este generará el siguiente error:
License for Distributed Search feature is expired (La licencia de búsqueda distribuida ha caducado)
Solución: Para ejecutar informes en el mismo JVM que Sentinel, realice los siguientes pasos:
Entre en el servidor Sentinel y abra el archivo /etc/opt/novell/sentinel/config/server.xml.
Busque la siguiente propiedad:
<property name="reporting.process.oktorunstandalone">verdadero</property>
Cambie el valor de configuración a falso:
<property name="reporting.process.oktorunstandalone">falso</property>
Reinicie Sentinel.
Problema: Los cambios recientes en el procedimiento de validación de reglas de Sentinel provocan un error en la conexión del Correlation Engine si su entorno tiene una regla anterior implementada con una sintaxis incorrecta. (Error 1039598)
Solución: Para volver a conectar el Correlation Engine, puede corregir la sintaxis en la regla que está causando el problema y, a continuación, reiniciar a Sentinel.
Para buscar la regla y la sintaxis correcta, realice los pasos siguientes:
En el archivo server.log, busque Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine).
Por ejemplo, si busca Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine), verá un mensaje de registro similar al siguiente:
Mié May 17 10:58:09 CDT 2017|INFO|Hilo de inicio de contenedor|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (Error al inicializar Correlation Engine)
Desplácese hacia arriba para ver el mensaje de registro anterior, que especifica la regla y muestra la sintaxis. Será similar al siguiente:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate (Mié May 17 10:58:09 CDT 2017|SEVERE|Hilo de inicio de contenedor|esecurity.base.ccs.proxy.ComponentElementProxy.activate)
Root cause: Duration must be within a day (antlr.RecognitionException) (Causa raíz: la duración máxima debe ser de un día (antlr. RecognitionException))
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
En este ejemplo, el mensaje de registro indica que el problema se ha producido porque el intervalo de tiempo especificado era superior a un día. La sintaxis de la regla especifica más segundos (86460) que los contenidos en un día (86400).
Entre en Sentinel.
Abra una pestaña nueva del navegador.
En la pestaña nueva, vaya a la siguiente dirección URL:
https://<SU IP DE SENTINEL>:8443/SentinelRESTServices/objects/correlation-rule
Para buscar el nombre de la regla y el identificador en la lista de reglas de correlación, busque un elemento único de la sintaxis de regla, como 86460.
(Condicional) Si no puede encontrar el nombre de la regla y el identificador en la lista de reglas de correlación, siga los pasos siguientes:
En un indicador de comandos, cambie al usuario novell. Utilice el comando siguiente:
su - novell
Cambie al directorio /opt/novell/sentinel/bin.
Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
Donde UniqueText es una parte exclusiva de la sintaxis de regla, como 86460.
(Condicional) Si ya no ha cambiado el usuario de novell, abra un indicador de comandos y cambie al usuario novell. Utilice el comando siguiente:
su - novell
Cambie al directorio /opt/novell/sentinel/bin.
Verifique que la regla se encuentra en la base de datos. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Actualice la regla con un filtro nuevo que no active un error durante la validación. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Verifique que el filtro se ha cambiado en la base de datos. Utilice el comando SQL siguiente:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Donde RuleID es el ID de la regla que figura anteriormente.
Detenga Sentinel. Utilice el comando siguiente:
./server.sh stop
Reinicie Sentinel. Utilice el comando siguiente:
./server.sh start
Problema: SSDM en modo de alta disponibilidad no llena las direcciones IP adecuadas de los nodos del clúster de alta disponibilidad en los archivos de configuración del módulo auxiliar (plug-in) de seguridad de Elasticsearch. Como resultado, las búsquedas y las consolas de visualización de eventos muestran errores.
Solución: Después de instalar el módulo auxiliar (plug-in) de seguridad de Elasticsearch, realice los pasos siguientes en cada nodo del clúster Elasticsearch:
Entre en el nodo Elasticsearch como el usuario en el que se ha instalado Elasticsearch.
Añada entradas para la dirección IP física de cada nodo activo y pasivo del clúster de alta disponibilidad en el archivo <directorio_instalación_elasticsearch> /plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt como se indica a continuación:
<direcciónIP_física_nodo_clúster>: <puerto_HTTP_destino_Elasticsearch>
Añada cada entrada en una línea nueva y guarde el archivo.
En el archivo <directorio_instalación_elasticsearch> /plugins/elasticsearch-security-plugin/plugin-configuration.properties, establezca la propiedad authServer.host con la dirección IP virtual del clúster de alta disponibilidad de la siguiente manera:
authServer.host= <IP_virtual_clúster>
Reinicie Elasticsearch.
Problema: Al convertir el nodo activo al modo FIPS 140-2 en la configuración de alta disponibilidad de Sentinel, la sincronización para convertir todos los nodos pasivos al modo FIPS 140-2 no se realiza por completo. Debe iniciar manualmente la sincronización. (Error 1014472)
Solución: Sincronice manualmente todos los nodos pasivos al modo FIPS 140-2 de la siguiente forma:
Entre a la sesión como usuario root en el nodo activo.
Abra el archivo /etc/csync2/csync2.cfg.
Cambie la línea siguiente:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
a
include /etc/opt/novell/sentinel/3rdparty/nss;
Guarde el archivo csync2.cfg.
Ejecute el comando siguiente para iniciar la sincronización de forma manual:
csync2 -x -v
Problema: Un problema impide que Internet Explorer 11 abra la consola de visualización de eventos. (Error 981308)
Solución: Utilice un navegador distinto para ver o modificar la consola de visualización.
Problema: Si intenta instalar Sentinel en un equipo que está ejecutando el sistema operativo SLES 11 SP4 en el modo FIPS, se producirá un error en el proceso de instalación. (Error 990201)
Solución: Asegúrese de que el sistema operativo no está en modo FIPS y, a continuación, realice los pasos siguientes:
Instale Sentinel. Para obtener más información, consulte la sección Installing Sentinel
(Instalación de Sentinel) en la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de Sentinel).
Habilite el servidor de Sentinel para su ejecución en modo FIPS. Para obtener más información, consulte la sección Enabling Sentinel Server to Run in FIPS 140-2 Mode
(Habilitación del servidor de Sentinel para su ejecución en el modo FIPS 140-2) en la Sentinel Installation and Configuration Guide (Guía de instalación y configuración de Sentinel).
Utilice el siguiente comando con el fin de habilitar el sistema operativo para que se ejecute en modo FIPS:
fips=1 /boot/grub/menu.lst
Problema: Debido a un cambio en el almacenamiento de contraseñas de Sentinel 7.4 SP1, se muestra el siguiente error al actualizar el dispositivo desde versiones anteriores a 7.4 SP1:
Failed to set encrypted password
(Error 967764)
Solución: Se trata de una advertencia prevista, por lo que puede ignorarla de forma segura. Esto no afecta a la actualización.
Problema: Después de habilitar SSDM, cuando se entra a la interfaz principal de Sentinel, el navegador mostrará una página en blanco. (Error 1006677)
Solución: Cierre el navegador y entre de nuevo a la interfaz principal de Sentinel. Este problema solo ocurre en una ocasión: la primera vez que entra a la interfaz principal de Sentinel después de habilitar SSDM.
Problema: Al actualizar Sentinel de la versión 7.3 a 7.3 SP1 e iniciar el servidor Sentinel, puede aparecer la siguiente excepción en el registro del servidor:
Invalid length of data object ......
(Error 933640)
Solución: Ignore la excepción. Esta excepción no repercute en el rendimiento de Sentinel.
Problema: Las vistas y las consolas de alertas de Sentinel no muestran las alertas que tienen direcciones IPv6 en los campos de dirección IP. (Error 924874)
Solución: Para ver alertas con direcciones IPv6 en Sentinel, efectúe los pasos que se indican en el artículo 7016555 de la base de conocimientos de NetIQ.
Problema: En las instalaciones actualizadas de Sentinel, cuando se buscan atributos de alerta en la tabla Sugerencias de la interfaz principal, la búsqueda no devuelve la lista completa de campos de alerta. Sin embargo, los campos de alerta se muestran correctamente en la tabla Sugerencias al borrar la búsqueda. (Error 914755)
Solución: No existe ninguna solución por el momento.
Problema:
La sincronización de datos falla cuando intenta sincronizar campos de dirección IPv6 en un formato legible para el ser humano con bases de datos externas. Para obtener más información acerca de cómo configurar Sentinel para que llene los campos de dirección IP en un formato de notación con punto legible para el ser humano, consulte la sección Creating a Data Synchronization Policy
(Creación de una directiva de sincronización de datos) de la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel). (Error 913014)
Solución: Para solucionar este problema, cambie manualmente el tamaño máximo de los campos de dirección IP a al menos 46 caracteres en la base de datos de destino y vuelva a sincronizar la base de datos.
Problema: Si ejecuta una búsqueda de evento cuando no tiene seleccionado ningún filtro de seguridad para su función y dicha función no tiene permisos para ver eventos, la búsqueda no se llevará a cabo. La búsqueda no muestra ningún mensaje de error acerca de los permisos para ver eventos no válidos. (Error 908666)
Solución: Actualice la función con una de las opciones siguientes:
Especifique un criterio en el campo . Si los usuarios de la función no deben ver ningún evento, puede introducir .
Seleccione .
Seleccione .
Problema: Cuando se edita una búsqueda guardada que se actualizó de Sentinel 7.2 a una versión posterior, la página Programación no muestra el panel , usado para especificar campos de salida en el archivo CSV de informe de la búsqueda. (Error 900293)
Solución: Después de actualizar Sentinel, vuelva a crear y programar la búsqueda para ver el panel en la página Programación.
Problema: Sentinel no devuelve ningún evento correlacionado cuando se buscan todos los eventos correlacionados que se generaron después de implantar o habilitar la regla, haciendo clic en el icono situado junto a en el panel de la página de resumen de correlaciones para dicha regla. (Error 912820)
Solución: Cambie el valor del campo en la página de búsqueda de eventos por una hora anterior a la que se muestra en el campo y vuelva a hacer clic en .
Problema: Durante la regeneración de la línea de base de inteligencia de seguridad, las fechas de inicio y fin de la línea de base son incorrectas y se muestra 1/1/1970. (Error 912009)
Solución: Las fechas correctas se actualizan al finalizar la regeneración de la línea de base.
Problema: El servidor Sentinel se apaga al ejecutar una búsqueda si hay muchos eventos indexados en una sola partición. (Error 913599)
Solución: Cree directivas de retención de modo que haya al menos dos particiones abiertas en un día. El hecho de tener más de una partición abierta contribuye a reducir el número de eventos indexados en las particiones.
Puede crear directivas de retención que filtren los eventos en función del campo estzhour, que rastrea la hora del día. Por lo tanto, puede crear una directiva de retención con el filtro estzhour:[0 TO 11] y otra con el filtro estzhour:[12 TO 23].
Para obtener más información, consulte Configuring Data Retention Policies
(Configuración de directivas de retención de datos) en la NetIQ Sentinel Administration Guide (Guía de administración de NetIQ Sentinel).
Problema: Sentinel muestra un error cuando se utiliza el guion report_dev_setup.sh para configurar los puertos de Sentinel para excepciones de cortafuegos. (Error 914874)
Solución: Siga estos pasos para configurar los puertos de Sentinel para excepciones de cortafuegos:
Abra el archivo /etc/sysconfig/SuSEfirewall2.
Cambie la línea siguiente:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
a
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie Sentinel.
Problema: El rendimiento del recopilador genérico de Sentinel se deteriora cuando se habilita el recopilador genérico de servicios de resolución de nombres de host en Microsoft Active Directory y Windows Collector. El EPS se reduce en un 50% cuando las instancias remotas de Collector Manager envían eventos. (Error 906715)
Solución: No existe ninguna solución por el momento.
Problema: Cuando se exportan los resultados de la búsqueda en Sentinel, es posible que el navegador Web muestre un error si se modifican los ajustes de idioma del sistema operativo. (Error 834874)
Solución: Para exportar los resultados de la búsqueda correctamente, realice una de las siguientes operaciones:
Durante la exportación, elimine los caracteres especiales (que no sean ASCII) del nombre de archivo de exportación.
Habilite UTF-8 en los ajustes de idioma del sistema operativo, reinicie el equipo y, a continuación, reinicie el servidor Sentinel.
Problema: Mientras espera a que se abra el archivo PDF de resultado de informe, especialmente en el caso de los resultados de informe de 1 millón de eventos, el resultado no se mostrará si hace clic en otro archivo PDF de resultado de informe. (Error 804683)
Solución: Vuelva a hacer clic en el segundo archivo PDF de resultado de informe para ver el resultado.
Problema: Si tiene el modo FIPS 140-2 habilitado en su entorno de Sentinel, la autenticación de Windows para Agent Manager impide la sincronización con la base de datos de Agent Manager. (Error 814452)
Solución: Utilice la autenticación de SQL para Agent Manager cuando tenga el modo FIPS 140-2 habilitado en su entorno de Sentinel.
Problema: La instalación de alta disponibilidad de Sentinel en un modo diferente de FIPS 140-2 se realiza correctamente, pero muestra el error siguiente dos veces:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Error 810764)
Solución: Se trata de un error previsto y puede ignorarlo de forma segura. A pesar de que el instalador muestra un error, la configuración de alta disponibilidad de Sentinel funciona correctamente en el modo diferente de FIPS 140-2.
Problema: La interfaz principal de Sentinel muestra números negativos en las columnas Accedido y Duración de tareas de búsqueda activas cuando el reloj del ordenador de la interfaz principal de Sentinel está atrasado con respecto al reloj del servidor Sentinel. Por ejemplo, las columnas Duración y Accedido muestran números negativos cuando el reloj de la interfaz principal de Sentinel está fijado en la 1:30 PM y el reloj del servidor de Sentinel en las 2:30 PM. (Error 719875)
Solución: Asegúrese de que la hora en el ordenador que utiliza para acceder a la interfaz principal de Sentinel sea igual o posterior a la hora del ordenador del servidor Sentinel.
Problema: Cuando entra a la consola de seguridad y realiza una búsqueda en el evento de auditoría IssueSAMLToken, el evento IssueSAMLToken muestra un nombre de host (InitiatorUserName) o una IP de origen (dirección IP) incorrectos. (Error 870609)
Solución: No existe ninguna solución por el momento.
Nuestro objetivo es proporcionar documentación que satisfaga sus necesidades. Si tiene sugerencias para mejorar, envíelas por correo electrónico a Documentation-Feedback@netiq.com. Agradecemos sus comentarios y estamos deseando oír sus sugerencias.
Para obtener información de contacto detallada, consulte el sitio web de Información de contacto del servicio técnico.
Para obtener información general sobre productos y la empresa, consulte el sitio web corporativo de NetIQ.
Para mantener conversaciones interactivas con sus colegas y con expertos de NetIQ, hágase miembro activo de nuestra comunidad. La comunidad en línea de NetIQ proporciona información sobre productos, enlaces útiles a recursos interesantes, blogs y canales de redes sociales.
Para obtener información acerca de los avisos legales, las marcas comerciales, las renuncias de responsabilidad, las garantías, la exportación y otras restricciones de uso de NetIQ, los derechos restringidos del Gobierno estadounidense, la directiva de patentes y el cumplimiento de la norma FIPS, consulte el sitio http://www.netiq.com/company/legal/.
Copyright © 2017 NetIQ Corporation. Todos los derechos reservados.