Notes de version de Sentinel 8.0

Problème : SSDM en mode haute disponibilité ne remplit pas les adresses IP appropriées des nœuds de grappe haute disponibilité dans les fichiers de configuration du plug-in de sécurité Elasticsearch. Par conséquent, les recherches et les tableaux de bord de visualisation des événements affichent des erreurs.

Solution : Après avoir installé le plug-in de sécurité Elasticsearch, effectuez les opérations suivantes sur chaque nœud de la grappe Elasticsearch :

Problème : dans les environnements SSDM, si vous créez une visualisation de carte quadrillée avec les options par défaut, un problème lié à Kibana empêche le fonctionnement de la nouvelle visualisation de carte dans le tableau de bord de visualisation des événements. Pour plus d'informations sur ce problème Kibana, consultez le site https://github.com/elastic/kibana/issues/7717. (Bogue 1001909)

Solution : lorsque vous créez une nouvelle visualisation de carte quadrillée, sous Options, sélectionnez WMS compliant map server (Serveur de carte compatible avec WMS).

Problème : un problème lié à Kibana empêche Internet Explorer 11 de pouvoir ouvrir le tableau de bord de visualisation des événements. (Bogue 981308)

Solution : utilisez un autre navigateur pour afficher ou modifier le tableau de bord de visualisation.

Problème : si vous tentez d'installer Sentinel sur un ordinateur qui exécute le système d'exploitation SLES 11 SP4 en mode FIPS, la procédure d'installation échoue. (Bogue 990201)

Solution : vérifiez que le système d'exploitation n'est pas en mode FIPS, puis procédez comme suit :

Problème : Sentinel ne reçoit pas d'événements via le connecteur Sentinel Link. (Bogue 989784)

Solution : ce problème est résolu dans Sentinel Link Connector 2011.1r4. Dans l'attente de sa publication officielle sur le site Web des plug-ins Sentinel, vous pouvez télécharger la version Preview du connecteur dans la section Previews (Aperçus).

Problème : l'instrumentation NetIQ eDirectory ne peut pas se connecter au connecteur d'audit via Platform Agent. Par conséquent, Sentinel ne peut pas recevoir d'événements de la part d'eDirectory. Ce problème se produit car l'instrumentation d'eDirectory utilise l'algorithme de certificat MD5 RSA qui n'est plus utilisé depuis la version Java 8 Update 77 utilisée dans Sentinel 8.0 (Bogue 985312)

Solution : pour permettre à l'instrumentation eDirectory d'utiliser un certificat personnalisé, suivez la procédure décrite dans l'article 7017764 de la base de connaissance NetIQ.

Problème : un changement de système de stockage de mot de passe dans Sentinel 7.4 SP1 provoque l'affichage de l'erreur suivante lors de la mise à niveau de l'applicatif à partir de versions antérieures à la version 7.4 SP1 :

Solution : cet avertissement est normal et vous pouvez l'ignorer en toute sécurité. Cela n'a aucune incidence sur la mise à niveau.

Problème : lorsque vous activez SSDM, lorsque vous vous connectez à l'interface principale de Sentinel, le navigateur affiche une page vide. (Bogue 1006677)

Solution : fermez votre navigateur, puis reconnectez-vous à l'interface principale de Sentinel. Ce problème ne se produit qu'une seule fois, la première fois que vous vous connectez à l'interface principale de Sentinel après avoir activé SSDM.

Problème : le travail com.novell.sentinel.spark.StreamingEventIndexer ne prend pas en charge IPv6. Si un événement contient une adresse IPv6, le travail échoue. (Bogue 1006975)

Solution : la solution consiste à modifier le type d'adresse IP en chaîne. Pour ce faire, contactez le support technique.

Problème : Lorsque vous activez le stockage évolutif, les journaux du serveur SSDM affichent plusieurs instances du message suivant :

Solution : vous pouvez ignorer ces messages en toute sécurité. Ils n'ont aucun impact fonctionnel.

Problème : lorsque vous mettez à niveau Sentinel de la version 7.3 à la version 7.3 SP1 et démarrez le serveur Sentinel, vous risquez de trouver les exceptions suivantes dans le journal du serveur :

Solution : ignorez l'exception. Cette exception n'affecte en rien les performances de Sentinel.

Problème : les vues et tableaux de bord d'alertes de Sentinel n'affichent pas les alertes qui contiennent des adresses IPv6 dans les champs Adresses IP. (Bogue 924874)

Solution : pour afficher les alertes contenant des adresses IPv6 dans Sentinel, effectuez la procédure expliquée dans l'article 7016555 de la base de connaissance NetIQ.

Problème : la vulnérabilité de sécurité Bar Mitzvah affecte Sentinel Link Connector. Sentinel Link Connector utilise l'algorithme de chiffrement RC4 dans le cadre des protocoles SSL et TSL, ce qui le rend susceptible à une attaque par récupération des premiers octets d'un flux stockés en texte clair. Pour de plus amples informations, consultez la page CVE-2015-2808. (Bogue 933741)

Solution : ce problème est résolu dans Sentinel Link Connector 2011.1r4. Dans l'attente de sa publication officielle sur le site Web des plug-ins Sentinel, vous pouvez télécharger le connecteur dans la section Previews (Aperçus).

Problème : la version 2011.1r3 d'Agent Manager Connector ne définit pas la propriété CONNECTION_MODE dans les événements si le collecteur qui analyse les événements prend en charge plusieurs modes de connexion. (Bogue 880564)

Solution : ce problème est résolu dans la version 2011.1r5 et les versions ultérieures d'Agent Manager Connector. Dans l'attente de sa publication officielle sur le site Web des plug-ins Sentinel, vous pouvez télécharger le connecteur dans la section Previews (Aperçus).

Problème : Sentinel Agent Manager 7.3 ignore la valeur spécifiée dans l'attribut RawDataTapFileSize du fichier SMServiceHost.exe.config pour la configuration de la taille du fichier de données brutes et cesse d'écrire dans ce dernier lorsque la taille du fichier atteint 10 Mo. (Bogue 867954)

Solution : copiez manuellement le contenu du fichier de données brutes dans un autre fichier et videz-le lorsque la taille du fichier atteint 10 Mo pour permettre à Sentinel Agent Manager d'y écrire de nouvelles données.

Problème : dans les installations mises à niveau de Sentinel, si vous effectuez une recherche d'attributs d'alertes dans le tableau Conseils de l'interface principale de Sentinel, la recherche ne renvoie pas la liste complète des champs d'alerte. Cependant, les champs d'alerte s'affichent correctement dans le tableau Conseils si vous effacez la recherche. (Bogue 914755)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : la synchronisation des données échoue lorsque vous essayez de synchroniser les champs d'adresse IPv6 dans un format lisible par un humain pour des bases de données externes. Pour plus d'informations sur la configuration de Sentinel afin de pouvoir remplir les champs d'adresse IP dans un format de notation par points lisible, reportez-vous à la section Creating a Data·Synchronization·Policy·(Création·d'une·stratégie·de·synchronisation·des·données)·du·NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel). (Bogue 913014)

Solution : pour résoudre ce problème, définissez manuellement la taille maximale des champs d'adresse IP sur au moins 46 caractères dans la base de données cible et resynchronisez-la.

Problème : si vous exécutez une recherche d'événements lorsque le filtre de sécurité de votre rôle est vide et que votre rôle ne dispose d'aucune autorisation d'affichage d'événements, la recherche ne s'effectue pas. Aucun message d'erreur ne vous indique que les autorisations d'affichage d'événements ne sont pas valables. (Bogue 908666)

Solution : mettez le rôle à jour en utilisant une des options suivantes :

Problème : lors de l'édition d'une recherche enregistrée mise à niveau de Sentinel 7.2 vers une version ultérieure, le panneau Champs d'événement, utilisé pour définir des champs de sortie dans le rapport de recherche CSV, n'apparaît pas dans la page de planification. (Bogue 900293)

Solution : après avoir mis à niveau Sentinel, recréez et replanifiez la recherche pour afficher le panneau Champs d'événement dans la page de planification.

Problème : Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez tous les événements corrélés qui ont été générés après le déploiement ou l'activation de la règle, en cliquant sur l'icône à côté de Nombre de déclenchements du panneau Statistiques d'activité de la page Résumé de corrélation concernant la règle. (Bogue 912820)

Solution : remplacez la valeur du champ De sur la page Recherche d'événements par une heure moins avancée que celle figurant déjà dans le champ et cliquez à nouveau sur Rechercher.

Problème : lors de la regénération de la ligne de base Security Intelligence, les dates de début et de fin de cette ligne sont erronées et affichent le 01/01/1970. (Bogue 912009)

Solution : les bonnes dates sont mises à jour une fois la regénération de la ligne de base terminée.

Problème : le serveur Sentinel s'arrête lorsque vous lancez une recherche si de nombreux événements sont indexés dans une seule partition. (Bogue 913599)

Solution : créez des stratégies de conservation de manière à ce qu'il y ait au moins deux partitions ouvertes par jour. Si vous disposez de plus d'une partition ouverte, cela vous permet de réduire le nombre d'événements indexés dans les partitions.

Problème : Sentinel affiche une erreur lorsque vous utilisez le script report_dev_setup.sh afin de configurer les ports Sentinel pour les exceptions de pare-feu. (Bogue 914874)

Solution : configurez les ports Sentinel pour les exceptions de pare-feu en procédant comme suit :

Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les instances Collector Manager distantes envoient des événements. (Bogue 906715)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

Problème : lorsque vous installez Sentinel en mode FIPS 140-2, le connecteur de la base de données Security Intelligence ne démarre pas et Sentinel ne peut pas accéder à aux données d'alerte, ni à Security Intelligence et Netflow. (Bogue 915241)

Solution : redémarrez Sentinel après l'avoir installé et configuré en mode FIPS 140-2.

Problème : lors de l'exportation des résultats de la recherche dans Sentinel, le navigateur Web risque d'afficher une erreur si vous modifiez les paramètres de langue du système d'exploitation. (Bogue 834874)

Solution : pour exporter correctement les résultats de la recherche, procédez de l'une des manières suivantes :

Problème : lorsque vous attendez l'ouverture d'un fichier PDF contenant les résultats d'un rapport, en particulier ceux comptant 1 million d'événements, si vous cliquez sur un autre fichier PDF à afficher, les résultats de rapport ne s'affichent pas. (Bogue 804683)

Solution : cliquez de nouveau sur le second fichier PDF pour afficher les résultats de rapport.

Problème : lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (Bogue 814452)

Solution : utilisez l'authentification SQL pour Agent Manager lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel.

Problème : l'installation de Sentinel en haute disponibilité (HA) en mode non FIPS 140-2 s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :

Solution : ce message d'erreur est normal et vous pouvez l'ignorer en toute sécurité. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non-FIPS 140-2.

Problème : L'interface principale de Sentinel affiche des nombres négatifs dans les colonnes Durée et Accès de Recherches actives lorsque l'horloge de l'ordinateur de l'interface principale de Sentinel est en retard par rapport à celle du serveur Sentinel. Par exemple, les colonnes Durée et Accès affichent des nombres négatifs si l'horloge de l'interface principale de Sentinel est définie sur 13:30 et que celle du serveur Sentinel indique 14:30. (Bogue 719875)

Solution : Veillez à ce que l'heure de l'ordinateur que vous utilisez pour accéder à l'interface principale de Sentinel soit la même ou qu'elle soit en retard par rapport à celle du serveur Sentinel.

Problème : lorsque vous vous connectez au tableau de bord de sécurité et effectuez une recherche sur l'événement d'audit IssueSAMLToken, l'événement d'audit IssueSAMLToken affiche un nom d'hôte (InitiatorUserName) ou une SourceIP (adresse IP) incorrects. (Bogue 870609)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.