Léame de Novell Sentinel 7.0

31 de octubre de 2011

Sentinel 7.0 es una solución de gestión de información de seguridad y eventos (SIEM) y de supervisión del cumplimiento. Sentinel supervisa automáticamente los entornos TI más complejos y ofrece la información de seguridad requerida para protegerlos.

Sección 1.0, Novedades
Sección 2.0, Problemas conocidos
Sección 3.0, Mejoras y defectos corregidos en Sentinel 7.0
Sección 4.0, Documentación
Sección 5.0, Información legal

1.0 Novedades

Las siguientes secciones delinean las funciones y características principales que ofrece esta versión de Sentinel.

Sección 1.1, Instalación simplificada
Sección 1.2, Dispositivo de software listo para su ejecución
Sección 1.3, Detección de anomalías
Sección 1.4, Solución única unificada
Sección 1.5, Almacenamiento de datos mejorado
Sección 1.6, Correlación mejorada
Sección 1.7, Búsqueda distribuida
Sección 1.8, Limitaciones a la compatibilidad de recopiladores legados

1.1 Instalación simplificada

Las mejoras de este programa de instalación le permiten instalar Sentinel más fácilmente. Para obtener más información, consulte la Guía de instalación de Sentinel 7.0.

1.2 Dispositivo de software listo para su ejecución

Esta versión ofrece un dispositivo de software listo para ejecutarse integrado en SUSE Studio. Suministrado como VMWare, Xen, o imagen ISO, y certificado para ejecutarse en los principales hipervisores, el dispositivo de software le permite implementar una solución de SIEM económica y fácil de usar reduciendo el coste y la complejidad de implantación del producto. El dispositivo de software puede instalarse en hardware o en un entorno virtual.

1.3 Detección de anomalías

Esta versión le permite identificar fácilmente anomalías en su entorno. Al establecer líneas de base específicas y comparar los datos entrantes con lo que se considera normal en su entorno en particular, Sentinel puede ofrecer una mayor inteligencia y una detección más rápida de actividades anómalas. Puede ajustar las líneas de base de su entorno para detectar eventos anómalos y ver cómo su seguridad y su posición de cumplimiento cambia a lo largo de un período de tiempo.

1.4 Solución única unificada

Sentinel combina la gestión de registros con la información de seguridad y la gestión de eventos en una misma solución unificada.

1.5 Almacenamiento de datos mejorado

Esta versión proporciona un nivel de almacenamiento basado en archivos eficiente que está optimizado para el almacenamiento permanente de eventos a largo plazo. El nuevo almacén de eventos proporciona compresión 10:1, es totalmente compatible con búsquedas indizadas y agiliza las tareas de generación de informes relevantes, mientras que sigue ofreciendo la flexibilidad necesaria para almacenar todos sus eventos en un almacén de base de datos relacional tradicional secundaria.

1.6 Correlación mejorada

Un nuevo generador de reglas gráfico le permite crear reglas de correlación de eventos con rapidez directamente desde los eventos recopilados en su entorno. Por otro lado, puede probar estas reglas antes de implementarlas a fin de reducir las alertas por falsos positivos, mejorar las funciones de correlación de eventos y, en última instancia, ofrecer funciones mejoradas de detección de elementos exploit.

1.7 Búsqueda distribuida

Esta versión ofrece a las organizaciones que han implementado varias instancias de Sentinel o Sentinel Log Manager en diferentes ubicaciones la posibilidad de buscar eventos no solamente en sus servidores Sentinel locales sino también en los servidores existentes de Sentinel y Sentinel Log Manager, desde una sola consola centralizada.

1.8 Limitaciones a la compatibilidad de recopiladores legados

Novell está eliminando paulatinamente la compatibilidad con los recopiladores legados de la línea de productos Sentinel. En las versiones anteriores de Sentinel, el sistema muestra una advertencia si importa un recopilador legado. A partir de la versión 7.0, las instalaciones nuevas de Sentinel y del Gestor de recopiladores no ejecutan recopiladores legados.

NOTA:Los recopiladores legados se desarrollaron con la aplicación Legacy Collector Builder (Generador de recopiladores legados), que ya no se facilita con los productos de Sentinel. Desde 2007, los recopiladores legados se han reemplazado por los Recopiladores de JavaScript desarrollados con el SDK de módulo auxiliar (plug/in) de Sentinel. Los recopiladores de JavaScript están disponibles en el sitio Web de módulos auxiliares (plug-ins) de Sentinel (http://support.novell.com/products/sentinel/secure/sentinel61.html).

2.0 Problemas conocidos

En la siguiente tabla se enumeran los problemas conocidos asociados con defectos de Sentinel 7.0:

Número de defecto	Descripción
712723	Problema: Al cambiar el nombre de una función en la interfaz Web de Sentinel, Sentinel no actualiza el nombre en la lista de todas las funciones del panel del extremo izquierdo. Solución: Cierre la sesión en la interfaz Web de Sentinel. Al volver a entrar en la interfaz Web de Sentinel, se habrá actualizado el nombre de la función.
710747	Problema: La Consola de Inteligencia de seguridad no visualiza correctamente el número de eventos para los totales dentro del intervalo de 1.000.000 a 1.100.000. Solución: No existe ninguna solución por el momento.
698767	Problema: Si selecciona varios eventos en la interfaz Web de Sentinel y selecciona la acción Destino/ping o Iniciador/ping, Sentinel solo muestra un resultado de la acción para el primer evento. Solución: No existe ninguna solución por el momento.
696398	Problema: Si cambia el nombre de un campo de evento en el Centro de control de Sentinel, el cambio no se verá reflejado de inmediato en el creador de filtros de la interfaz Web de Sentinel. Solución: Actualice el navegador Web para que muestre el cambio del campo de evento en la interfaz Web de Sentinel.
710004	Problema: Cuando tiene al menos una función con un asterisco () en el nombre, no es posible utilizar ‘’ como comodín al buscar filtros con Compartir con funciones seleccionado en la interfaz Web de Sentinel. Solución: Para usar ‘*’ como comodín al buscar filtros, cambie de nombre las funciones que contienen el asterisco.
719708	Problema: Al acceder a la documentación de API REST de Sentinel desde un marcador del navegador se devuelve un error. Solución: Acceda a la documentación de API REST de Sentinel directamente desde el menú Ayuda de la interfaz Web de Sentinel.
713962	Problema: Solution Manager no instala las reglas de correlación cuando ya existe en el sistema una regla de correlación con nombre idéntico. Se registra un error NullPointerException en la consola. Solución: Asegúrese de que todas las reglas de correlación tengan un nombre exclusivo.
710305	Problema: Al ejecutar una acción de Sentinel Link desde la interfaz Web de Sentinel, Sentinel muestra un mensaje de acción correcta incluso cuando la prueba de integración del conector de Sentinel Link ha fallado en el Centro de control de Sentinel. Solución: No existe ninguna solución por el momento.
717679	Problema: Cuando la contraseña de appuser contiene cualquiera de los siguientes caracteres especiales, la función iTrac no funciona correctamente: ‘+’, ‘\’, ‘#’, o ‘,’. La contraseña del usuario administrador facilitada durante la instalación de una configuración estándar la utilizan los usuarios admin, dbuser, y appuser. Solución: Asegúrese de que la contraseña de appuser no contenga ‘+’, ‘\’, ‘#’, o ‘,’.
719301	Problema: Cuando un servidor Sentinel reenvía un evento de correlación a otro servidor Sentinel, el enlace asociado Ver activadores se habilita en la pestaña Eventos de correlación aunque no haya activadores para mostrar. Solución: No existe ninguna solución por el momento.
715986	Problema: Cuando una consola de Inteligencia de seguridad y una definición de anomalía tienen nombres idénticos, se inhabilita el enlace de la consola en la página de Detalles de anomalía. Solución: Asegúrese de utilizar nombres exclusivos al crear consolas y definiciones de anomalías.
719875	Problema: La interfaz Web de Sentinel muestra números negativos en las columnas Accedido y Duración de tareas de búsqueda activas cuando el reloj del ordenador de la interfaz Web de Sentinel está atrasado con respecto al reloj del servidor Sentinel. Por ejemplo, las columnas Duración y Accedido muestran números negativos cuando el reloj de la interfaz Web de Sentinel está fijado en la 1:30 PM y el reloj del servidor Sentinel en la 1:33 PM. Solución: Asegúrese de que la hora en el ordenador que utiliza para acceder a la interfaz Web de Sentinel sea igual o posterior a la hora del ordenador del servidor Sentinel.
719244	Problema: Cuando el sistema está sometido a cargas intensas, se abandonan las conexiones con los gestores de recopiladores remotos y se restablecen unos minutos más tarde. Solución: Para obtener información sobre cómo evaluar su entorno y determinar la forma de manejar el número de eventos generados, consulte la Documentación de información técnica de Novell (TID) # 7009554 “Sentinel 7.0 Performance Monitoring ” (Supervisión del rendimiento de Sentinel 7.0).
713147	Problema: Después de actualizar un conector, Sentinel podría no mostrar los detalles del conector en la ventana Información del módulo auxiliar (plug-in). Solución: Actualice la interfaz del usuario de ESM haciendo clic en Volver a cargar los datos de gestión de orígenes de eventos en la barra de herramientas de ESM para actualizar la información del conector.
694732	Problema: Cuando se utilizan puertos reenviados o traducción de direcciones de red de destino, la línea de base y las tendencias no funcionan correctamente en la consola de Inteligencia de seguridad. Solución: Añada al final de la dirección URL el número de puerto por defecto cuando acceda a la función de línea de base de Sentinel en los siguientes casos: Se ha configurado Sentinel para escuchar el puerto por defecto, 443. Sentinel escucha un puerto diferente del puerto por defecto pero se ha habilitado el redireccionamiento de puertos, que encamina el tráfico desde el puerto por defecto al puerto de escucha de Sentinel.
709072	Problema: Cuando se ejecuta un gestor de recopiladores remoto en un sistema Xen, el JVM de Sentinel puede fallar por falta de memoria asignada y puede escribir los siguientes tipos de mensajes en el archivo de registro del empaquetador: No hay suficiente memoria para que continúe el Entorno de tiempo de ejecución de Java. La asignación de memoria nativa (malloc) no logró asignar NNNNN bytes para ChunkPool::allocate. Se ha guardado un archivo de informe de errores con más información como: /var/opt/novell/sentinel/data/hs_err_pidNNNN.log JVM se cerro inesperadamente. JVM se cerró como respuesta a una señal DESCONOCIDA (N). Lanzando un JVM... Solución: Para garantizar que el sistema tenga espacio de intercambio suficiente para ejecutar el JMV de Sentinel, aumente el espacio de intercambio a 2 GB o más.
695468	Problema: La clasificación de guiones localizados no funciona correctamente en determinados idiomas. Si un idioma localizado utiliza caracteres que no pertenecen a ascii o caracteres con signos diacríticos, la clasificación de guiones en dichos idiomas no funciona. Solución: No existe ninguna solución por el momento.
723189	Problema: La lista desplegable para Configurar acción responsable del Centro de control de Sentinel incluye los usuarios temporales creados por el sistema para procesos de tareas, como la búsqueda distribuida. Solución: Asegúrese de especificar un usuario de Sentinel válido. Sentinel suprime cada usuario temporal una vez finalizada la tarea asociada.
723588	Problema: Al instalar Sentinel 7.0 en una ubicación que no es la ubicación por defecto, el programa de instalación se detiene después de aceptar el acuerdo de licencia. Solución: Si está instalando Sentinel 7.0 como usuario root, no instale el producto en una ubicación diferente de la ubicación por defecto. Si va a instalar Sentinel 7.0 como usuario diferente de root, asegúrese de que tiene instalado el archivo adecuado para el sistema operativo antes de instalar Sentinel 7.0 en otra ubicación. squashfs-4.0-1.2.10 para SLES squashfs-tools-4.0-3.el6.x86_64 para RHEL
721784	Problema: Al visualizar la interfaz Web de Sentinel desde un navegador con el idioma preferente checo, la lista desplegable del Clasificador está en blanco al crear la consola de Inteligencia de seguridad. Solución: Para habilitar la lista desplegable del Clasificador, cambie el idioma del navegador a inglés, o realice los siguientes pasos: En el servidor Sentinel, examine\var\opt\novell\sentinel\3rdparty\jetty\webapp. Desempaque los archivos novellsentinel.war y siem_baselining.war. Suprima el archivo date-cs-CZ.js.gz de las siguientes carpetas: novellsentinel.war\js\lib\i18n\ siem_baselining.war\js\lib\i18n\ Empaque los archivosnovellsentinel.war y siem_baselining.war. Reinicie el servidor Sentinel.
723905	Problema: El guión clean_db.sh no acepta valores localizados cuando se ejecuta el guión en los siguientes idiomas: Chino tradicional Portugués brasileño Francés Solución: Especifique valores en inglés para permitir la ejecución del guión.
722118	Problema: Cuando cree una línea de base desde una vista de categoría, Sentinel genera un mensaje de error y no vuelve a la página principal de la consola al hacer clic en el enlace asociado. Solución: Para volver a la página principal de la consola, debe salir de la interfaz Web de Sentinel y volver a acceder a ella.
724574	Problema: Cuando se filtra por el nombre nuevo o antiguo de una anomalía que se cambió de nombre, el mensaje Mostrando X de Y anomalías totales utiliza el número total de anomalías con nombre tanto antiguo como nuevo para X. El mensaje debe usar el número de anomalías que coinciden con el nombre para el que se filtró. Solución: No existe ninguna solución por el momento.
703963	Problema: Identity Vault Collector 6.1r2 no es compatible con Sentinel 7.0. Solución: Vaya a la página ¨Cool Solutions¨ (Soluciones geniales) de Sentinel para buscar una solución alternativa. Para ver y descargar los módulos auxiliares (plug-in) más recientes de Sentinel, vaya a la página de módulos auxiliares (plug-in) de Sentinel http://support.novell.com/products/sentinel/secure/sentinelplugins.html en el sitio Web de Novell.

3.0 Mejoras y defectos corregidos en Sentinel 7.0

En la siguiente tabla se enumeran las mejoras y los defectos corregidos en Sentinel 7.0.

Número de defecto	Descripción
627505	Mejoras: Sentinel 7.0 le ofrece la posibilidad de hacer un seguimiento y registrar toda la actividad del usuario.
451587	Mejora: Sentinel 7.0 detecta motores de correlación inactivos y le ofrece la opción de suprimirlos de la arquitectura de Sentinel.
451827	Mejora: Cuando el programa de instalación de Sentinel encuentra una respuesta inesperada, el instalador deja de responder y no proporciona ningún mensaje de error.
451858	Mejora: Sentinel 7.0 le permite seleccionar inlist al crear una regla sencilla con el Generador de reglas de correlación.
452436	Mejora: La interfaz Web de Sentinel Web permite a los administradores especificar las funciones a las que pueden acceder los usuarios.
456058	Mejora: Sentinel 7.0 proporciona un rendimiento de búsqueda mejorado al buscar a en un amplio período de tiempo cuando no existen particiones.
464708	Mejora: Sentinel 7.0 ofrece la posibilidad de suprimir datos almacenados en el origen del evento.
464710	Mejora: Sentinel 7.0 proporciona la capacidad de incluir búsquedas de comodín que también admiten el operador NOT.
468717	Mejora: Sentinel 7.0 ofrece la posibilidad de importar y buscar datos de eventos archivados.
476028	Mejora: Sentinel 7.0 ofrece la posibilidad de crear diferentes funciones de usuario, que le permiten asignar permisos relacionados con funciones y flujos de trabajo específicos de una manera fácil y rápida.
688957	Mejora: La vista Active Views ahora conserva el orden de la columna y las personalizaciones de tamaño.
688958	Mejora: La vista Active Views permite ahora desplazar con facilidad columnas vacías de la tabla de eventos hacia la derecha.
665279	Problema resuelto: En esta versión se soluciona un asunto en el que Sentinel muestra el mensaje 'La vista Active Views está desconectada del servidor' al acceder a Active Views desde un ordenador que ejecuta RHEL.
704017	Problema resuelto: En esta versión se soluciona un problema en el que la validación y la descarga fallan al configurar el gestor de descargas para utilizar un servidor proxy.
451583	Problema resuelto: En esta versión se soluciona un problema en el que al acceder a los detalles del evento desde la vista Active Views, puede que la pantalla deje de responder.
472026	Problema resuelto: En esta versión se soluciona un problema en el que al intentar importar cualquiera de los paquetes de soluciones del sitio Web de Novell, la instalación falla.
497683	Problema resuelto: En esta versión se soluciona un problema en el que al suprimir el módulo auxiliar (plug-in) o la acción por defecto para Enviar correo se impide a los usuarios enviar correo.
717984	Problema resuelto: En esta versión se soluciona un problema en el que al reiniciar un gestor de recopiladores desde Gestión de orígenes de eventos (ESM), algunos módulos auxiliares (plug-in) del recopilador no regresan a su estado original.
452221	Problema resuelto: En esta versión se soluciona un problema en el que Sentinel permitía crear contraseñas con caracteres especiales durante la instalación; no obstante, no permitía crear contraseñas con el Centro de control de Sentinel con caracteres especiales diferentes de ‘#’, ‘_’, ‘$’.

4.0 Documentación

En los documentos siguientes se proporciona información acerca de Sentinel 7.0:

Instalación: Guía de instalación de Novell Sentinel 7.0
Documentación en línea del producto: sitio Web de documentación de Novell Sentinel 7.0

5.0 Información legal

Novell, Inc. no otorga ninguna garantía respecto al contenido y el uso de esta documentación y, específicamente, renuncia a cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Asimismo, Novell, Inc. se reserva el derecho de revisar esta publicación y realizar cambios en su contenido en cualquier momento, sin obligación de notificar tales cambios a ninguna persona o entidad.

Además, Novell, Inc. no ofrece ninguna garantía con respecto a ningún software, y rechaza específicamente cualquier garantía explícita o implícita de comercialización o adecuación para un fin determinado. Por otra parte, Novell, Inc. se reserva el derecho a realizar cambios en cualquiera de las partes o en la totalidad del software de Novell en cualquier momento, sin obligación de notificar tales cambios a ninguna persona ni entidad.

Los productos o la información técnica que se proporcionan bajo este Acuerdo pueden están sujetos a los controles de exportación de Estados Unidos o a la legislación sobre comercio de otros países. Usted se compromete a cumplir todas las regulaciones de control de las exportaciones, así como a obtener las licencias o clasificaciones oportunas para exportar, reexportar o importar mercancías. De la misma forma, acepta no realizar exportaciones ni reexportaciones a las entidades que se incluyan en las listas actuales de exclusión de exportaciones de EE. UU., así como a ningún país terrorista o sometido a embargo, tal y como queda recogido en las leyes de exportación de EE. UU. Asimismo, se compromete a no usar el producto para fines prohibidos, como la creación de misiles o armas nucleares, químicas o biológicas. Consulte la página Web de International Trade Services de Novell para obtener más información sobre la exportación del software de Novell. Novell no se responsabiliza de la posibilidad de que usted no pueda obtener los permisos de exportación necesarios.

Copyright © 2011 Novell, Inc. Reservados todos los derechos. Ninguna parte de esta publicación puede ser reproducida, fotocopiada, almacenada en un sistema de recuperación o transmitida sin la expresa autorización por escrito del editor.

Para obtener información sobre las marcas comerciales de Novell, consulte la lista de marcas registradas y marcas de servicio de Novell.

Todas las marcas comerciales de otros fabricantes son propiedad de sus propietarios respectivos.