Notes de version de Sentinel 8.1 Service Pack 1

Janvier 2018

Sentinel 8.1 SP1 comprend de nouvelles fonctionnalités qui améliorent son utilisation et apportent des solutions à plusieurs problèmes rencontrés dans les versions antérieures.

La plupart de ces améliorations ont été apportées en réponse directe aux suggestions de nos clients. Nous vous remercions du temps que vous avez pris pour nous écrire. Nous espérons que vous continuerez à nous aider pour que nos produits répondent à tous vos besoins. Vous pouvez publier vos commentaires sur le forum Sentinel, notre communauté en ligne qui reprend aussi des informations sur le produit, des blogues et des liens vers des ressources utiles.

La documentation de ce produit est disponible sur le site Web NetIQ aux formats HTML et PDF sur une page qui ne nécessite pas l'envoi d'informations de connexion. Si vous avez des suggestions pour améliorer la documentation, cliquez sur l'icône de commentaire sur l'une des pages de la version HTML de la documentation publiée sur la page de documentation de Sentinel. Pour télécharger ce produit, rendez-vous sur le site Web de mise à niveau des produits Sentinel.

1.0 Nouveautés
1.1 Correctif de vulnérabilité de sécurité
1.2 Mise à niveau de Java Runtime Environment d'Oracle
1.3 Améliorations
1.4 Correctifs logiciels
2.0 Configuration système requise
3.0 Installation de Sentinel 8.1.1
4.0 Mise à niveau vers Sentinel 8.1.1
5.0 Problèmes connus
5.1 Sentinel ne peut pas exécuter de rapports locaux avec une licence EPS standard
5.2 Impossible de convertir Sentinel en mode FIPS en raison d’un problème avec Mozilla NSS
5.3 Correlation Engine est déconnecté après une mise à niveau
5.4 La synchronisation doit être démarrée manuellement dans Sentinel High Availability après avoir converti le noeud actif en mode FIPS 140-2
5.5 Impossible de lancer le tableau de bord de visualisation des événements
5.6 Impossible d'installer Sentinel sur SLES 11 SP4 en mode FIPS
5.7 L'interface principale de Sentinel affiche une page vide après la conversion vers SSDM
5.8 La recherche dans le tableau Conseils ne renvoie pas la liste complète des champs d'alerte dans les installations de Sentinel mises à niveau
5.9 La recherche d'événements ne répond pas si vous ne bénéficiez d'aucune autorisation d'affichage d'événements
5.10 Le panneau Champs d'événement est manquant dans la page de planification lors de l'édition de certaines recherches sauvegardées
5.11 Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez des événements pour la règle déployée avec la recherche du nombre de déclenchements par défaut
5.12 Le tableau de bord Security Intelligence affiche une durée de ligne de base incorrecte lors de la regénération d'une ligne de base
5.13 Erreur lors de l'utilisation du script report_dev_setup.sh dans la configuration des ports Sentinel pour les exceptions de pare-feu sur les installations d'applicatifs de Sentinel mises à niveau
5.14 Les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé
5.15 Authentification SQL requise par Agent Manager en cas d'activation du mode FIPS 140-2
5.16 Affichage d'une erreur lorsque l'installation de Sentinel en haute disponibilité n'utilise pas le mode FIPS 140-2
5.17 Inexactitudes dans les colonnes Durée et Accès de Recherches actives
5.18 L'événement d'audit IssueSAMLToken affiche des informations incorrectes dans le tableau de bord Security Intelligence (SI)
5.19 Le serveur Sentinel s'arrête lors de l'exécution d'une recherche si de nombreux événements figurent dans une seule partition
5.20 La synchronisation des données échoue lors de la synchronisation des adresses IPv6 dans un format lisible par un humain
5.21 Impossible d'afficher simultanément plusieurs résultats de rapport
6.0 Coordonnées
7.0 Mentions légales

1.0 Nouveautés

Les sections suivantes présentent les principales fonctionnalités et améliorations de cette version ainsi que les problèmes résolus :

1.1 Correctif de vulnérabilité de sécurité

Sentinel 8.1.1 inclut des correctifs pour résoudre la vulnérabilité de Sweet32 (CVE-2016-2183).

1.2 Mise à niveau de Java Runtime Environment d'Oracle

Sentinel comprend Java 8 Update 152 qui inclut des correctifs pour plusieurs vulnérabilités de sécurité.

1.3 Améliorations

Sentinel 8.1.1 inclut les améliorations suivantes :

Nouveaux événements d’audit pour les messages « Échec de la mise en corrélation »

Sentinel génère désormais des événements d’audit pour les messages « Échec de la mise en corrélation » qui se produisent lorsque :

  • des événements arrivent en retard avec un décalage supérieur à 30 secondes ;

  • le tampon de reclassement est saturé.

(Bogue 1018336)

Ajout de la possibilité d’assigner l'autorisation Afficher les résultats de rapport à un rôle

Problème : Les clients a demandé à pouvoir créer un rôle qui puisse permettre à un utilisateur d'afficher des résultats de rapport, mais pas d’exécuter ni de supprimer des rapports. L'autorisation Afficher les résultats de rapport existe mais ne peut pas être accordée à un rôle de Gestion des utilisateurs/rôles. (Bogue 1047479)

Correction : Vous pouvez désormais rendre l'autorisation Afficher les résultats de rapport visible dans Gestion des utilisateurs/rôles afin de l'assigner à un rôle. Procédez comme suit :

  1. Ouvrez le fichier /etc/opt/novell/sentinel/config/ui-configuration.properties pour le modifier.

  2. Ajoutez la propriété suivante :

    viewReportResults.hideUI=false

  3. Enregistrez vos modifications.

  4. Quittez et redémarrez l’interface utilisateur Web.

    Vous devez également appuyer sur Contrôle-F5 pour effacer le cache du navigateur.

  5. Accédez à Gestion des utilisateurs/rôles et créez un rôle.

    Vous devriez voir l'autorisation Afficher les résultats de rapport.

Amélioration de la plage de modification

Lorsque vous modifiez des rapports, le Sélecteur de date n’indique plus la date de la dernière exécution du rapport. La date par défaut est désormais la date du jour, ce qui évite d’avoir à cliquer plusieurs fois pour avancer dans les mois si l'Heure de début est antérieure à la date actuelle. (Bogue 1016005)

Possibilité de définir l’heure de fin pour la synchronisation des données

Vous pouvez désormais définir l’heure de fin d’une stratégie de synchronisation des données afin de pouvoir synchroniser les données sur une certaine plage de temps uniquement. Cette fonctionnalité n’est disponible que pour les nouvelles stratégies de synchronisation des données, et non pour les stratégies de synchronisation des données existantes. (Bogue 1053484)

Possibilité d’ajouter jusqu'à 60 caractères pour un nom d’utilisateur

Vous pouvez désormais entrer un maximum de 60 caractères dans le champ Nom d’utilisateur lors de la création d’utilisateurs. (Bogue 1063025)

Amélioration du taux de rafraîchissement de la taille de conservation des données brutes

Les améliorations suivantes ont été apportées à l’intervalle de rafraîchissement de la taille de conservation des données brutes dans l'interface utilisateur Stockage > Événements > Conservation des données :

  • L’intervalle de rafraîchissement de la taille de conservation des données brutes par défaut est désormais de 12 heures pour éviter tout problème de performances en cas de gros volumes de données brutes.

  • L’intervalle de timeout par défaut est désormais de 60 minutes.

Vous pouvez personnaliser ces valeurs par défaut si nécessaire :

  1. Connectez-vous au serveur Sentinel en tant qu'utilisateur novell.

  2. Dans le répertoire /etc/opt/novell/sentinel/config, créez un fichier en tant que : obj-component.DiskStatisticsCache.properties.

  3. Dans le fichier de propriétés, donnez la valeur souhaitée aux propriétés, de la façon suivante : 

    <obj-component id="DiskStatisticsCache">
<class>esecurity.ccs.comp.auth.DiskStatisticsCache</class>
<property name="onlineRawDataCheckInterval">value_in_milliseconds</property>
<property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property>
</obj-component>

  4. Redémarrez le serveur Sentinel.

(Bogue 1027773)

La colonne summary_key comme clé primaire pour les tables de synthèse des événements

La colonne summary_key, dans les tables de synthèse des événements, est désormais la clé primaire, ce qui permet à d’autres outils de base de données d'utiliser des métadonnées appropriées. (Bogue 1048739)

1.4 Correctifs logiciels

Sentinel 8.1.1 inclut des correctifs logiciels qui résolvent les problèmes suivants :

Les résultats de la recherche dans le fichier CSV exporté sont vides

Problème : Lorsque vous exportez des résultats de recherche qui incluent les événements provenant de l’espace de stockage secondaire, le fichier CSV contient uniquement les en-têtes, sans les résultats de recherche proprement dits. (Bogues 1043709 et 1073502)

Correction : Le fichier CSV contient désormais les résultats de recherche exportés.

Les notifications par courrier électronique pour les rapports planifiés ne précisent pas s'il s'agit du matin ou de l'après-midi

Les notifications par message électronique affichent désormais AM (matin) ou PM (après-midi) selon les cas. (Bogue 1040423)

Sentinel Main dans l’applicatif ne se lance pas en cas de mise à niveau à partir de Sentinel 7.0.3.x ou d'une version antérieure

Sentinel Main se lance désormais correctement. (Bogue 1047106)

L'API REST EventSearch ne fonctionne plus après une mise à niveau de Sentinel 7.4.3 à Sentinel 8.0.1

L’API REST EventSearch aboutit sans exceptions. (Bogue 1038133)

Le moteur de corrélation ne déclenche pas d’événements du jour si l’événement précédent avait un tampon horaire ultérieur à la date de la période.

Problème : Le moteur de corrélation ne déclenche pas d’événements du jour si l’événement précédent avait un tampon horaire ultérieur à la date de la période. Il affiche l’exception Le tampon de reclassement des corrélations est plein et finit par cesser de fonctionner. (Bogue 1036765)

Correction : Le moteur de corrélation déclenche désormais les événements du jour sans exceptions.

Sentinel non réactif après l’activation de l’intégration ISE

Problème : Deux ou trois jours après l’intégration ISE, Sentinel cesse de répondre. Les journaux de serveur Sentinel comprenaient le message suivant, qui indiquait des exceptions de mémoire insuffisante et l’incapacité à créer des threads :

java.lang.OutOfMemoryError: unable to create new native thread

Ce problème provenait du grand nombre de mises à jour des mappages déclenchées par l’intégration ISE, ainsi que d’un problème propre aux mappages comportant exactement une clé « RANGE » ainsi qu'une ou plusieurs clés « STRING ». Dans ces circonstances précises, Sentinel créait un répertoire h2temp distinct pour chaque valeur de clé String unique. Par conséquent, lorsque le fichier ipmap.csv ISE contenait 6 000 entrées ou plus (ce qui peut être courant pendant les heures de fonctionnement normal), Sentinel recréait 6 000 répertoires h2temp ou plus pour chaque mise à jour des mappages de 30 secondes. (Bogue 1036765)

Correction : Le mappage par défaut utilisé pour stocker les mappages, qui contient précisément une seule clé « RANGE » ainsi qu'une ou plusieurs clés « STRING », est désormais un mappage en mémoire. Le mappage n’utilise pas de base de données H2 et, par conséquent, n’a pas besoin de créer les nombreux répertoires h2temp.

REMARQUE :Vous pouvez configurer si les mappages plage/clé utilisent ou non des objets qui nécessitent des répertoires temporaires. Ajoutez la nouvelle propriété système sentinel.mapping.h2.useDbRangeMap au fichier configuration.properties Sentinel. Cette propriété système présente les valeurs suivantes :

  • false : utiliser des objets DataObjectKeyRangeMap, qui ne nécessitent pas de répertoires temporaires (valeur par défaut)

  • true : utiliser des objets DBRangeMapDataObjectStorage, qui nécessitent des répertoires temporaires

Le tableau de bord d'affinement affiche une erreur pendant la recherche

Problème : Si vous exécutez une recherche d’événements, puis que vous cliquez sur le bouton Rechercher alors que la recherche est toujours en cours d’exécution, le tableau de bord d’affinement affiche le message suivant :

Nombres de champs en fonction des 0 premiers événements.

(Bogue 999743)

Correction : Le bouton Rechercher est désormais désactivé lorsque la recherche est en cours d’exécution. Dès que toutes les tâches seront effectuées, le bouton Rechercher sera à nouveau disponible.

La documentation des API Sentinel ne liste pas toutes les bibliothèques requises

Problème : La documentation des API ne liste pas toutes les bibliothèques de téléchargement client dont l’API REST a besoin pour fonctionner correctement. (Bogue 1047684)

Correction : La documentation des API Sentinel liste désormais toutes les bibliothèques de téléchargement client dont l’API REST a besoin.

Les champs d’événements n'affichent pas les informations du gestionnaire des collecteurs

Problème : Lorsqu’un serveur Sentinel perd le contact avec un gestionnaire des collecteurs, il génère des événements internes LostContactWithCollectorManager et CollectorManagerDown. Les champs d'événements CollectorNodeName(port) et CollectorManagerId(rv21) de ces événements internes n’affichent pas les informations relatives au gestionnaire des collecteurs. (Bogue 1050941)

Correction : Les champs d’événements CollectorNodeName(port) et CollectorManagerId(rv21) affichent désormais correctement le nom et l’ID du gestionnaire des collecteurs.

Échec de certains rapports planifiés

Tous les rapports planifiés s'exécutent désormais correctement. (Bogue 1051167)

Les rapports Sentinel Core Top 10 et Sentinel Core Top 10 Dashboard mettent plus longtemps à s'exécuter

Les rapports Sentinel Core Top 10 et Sentinel Core Top 10 Dashboard mettent désormais moins de temps à s’exécuter. (Bogue 1040660)

La vue d’alerte filtre correctement les données dans « Toutes les nouvelles alertes »

Cette version résout le problème selon lequel Sentinel affichait incorrectement toutes les alertes même si le filtre Toutes les nouvelles alertes était sélectionné dans la Vue d’alerte. (Bogue 991732)

L'API REST /SentinelRESTServices/objects/plugin fournit des informations sur les plugins dans un format chiffré

L'API REST /SentinelRESTServices/objects/plugin fournit désormais des informations sur les plugins dans un format lisible. (Bogue 992162)

Échec du travail de recherche planifiée

Le travail de recherche planifiée fonctionne désormais correctement. (Bogue 1049055)

Échec du rapport Sentinel Core Top 10

Le rapport Sentinel Core Top 10 s'exécute désormais correctement. (Bogue 1055336)

Les résultats de recherche par fédération de données contiennent des événements en double

Problème : Lorsque vous utilisez la fédération des données pour rechercher des événements dans un environnement distribué, la page Résultats de recherche affiche des événements en double. (Bogue 1048000)

Correction : La page Résultats de recherche n’affiche plus d'événements en double.

Sentinel Agent Manager synchronise les agents sans exceptions

Cette version résout le problème selon lequel le processus de synchronisation de données des agents (ETL) échouait avec une exception si un agent que vous aviez ajouté se synchronisait avec Sentinel avant que Sentinel Agent Manager n'ait collecté les attributs de l’agent. (Bogue 1050192)

Le moteur de corrélation indique un état hors ligne alors que le moteur est en fait inactif

Le moteur de corrélation indique désormais l'état inactif lorsqu’il est inactif. (Bogue 1062386)

Erreurs dans les journaux de serveur lorsque le champ Message de l’événement comporte plus de 8 000 caractères

Problème : Lorsque le champ Message d'un événement comporte plus de 8 000 caractères, Sentinel tronque le message. Il affiche les 8 000 premiers caractères, ainsi que les caractères tronqués accompagnés du message suivant dans les journaux, ce qui a pour effet de remplir les journaux avec les informations du message :

La valeur d’attribut msg est trop longue. La taille est de 4 096 utf-8 (chaque caractère peut être codé sur plusieurs octets), le maximum est de 4 000 octets, troncation de <caractères_tronqués>

(Bogue 927550)

Correction : Sentinel affiche désormais uniquement 256 caractères du message tronqué dans le journal server0.0.

La synchronisation des données ne fonctionne pas après la mise à niveau de Sentinel vers la version 8.1.0.1

La synchronisation des données fonctionne correctement après la mise à niveau de Sentinel vers la version 8.1.0.1. (Bogue 1052566)

La section Agent Manager de Sentinel Main est grisée

Problème : Dans l'onglet Collecte des données > Sources d’événements, la section Agent Manager apparaît grisée et vous devez utiliser Sentinel Control Center quelle que soit l'opération à effectuer. (Bogue 1008335)

Correction : La section Agent Manager est désormais activée dans Sentinel Main.

La génération de rapports échoue si les événements contiennent des caractères spéciaux

La génération de rapports aboutit même si des événements contiennent des caractères spéciaux. (Bogue 1060132)

Le gestionnaire des collecteurs ne redémarre pas en cas de gros décalages d'événements

Le gestionnaire des collecteurs redémarre désormais correctement et traite les décalages des sources d’événements comme prévu. (Bogue 1049771)

L'alerte automatique met toujours à jour EventThroughputUtilization à 100 % de la capacité

Problème : L'alerte automatique met toujours à jour EventThroughputUtilization à 100 % de la capacité, même si aucune alerte n'est générée. (Bogue 1065679)

Correction : Les mises à jour de l'alerte automatique affichent désormais le pourcentage EventThroughputUtilization réel.

Le nœud d’extrémité d'API REST collectormgr-status présente un état incorrect

Problème : Lorsque plusieurs gestionnaires des collecteurs sont configurés avec un seul serveur Sentinel, le nœud d’extrémité d'API collectormgr-status affiche l'erreur 404 introuvable alors que les gestionnaires des collecteurs sont présents. (Bogue 1011921)

Correction : L’API collectormgr-status affiche désormais l’état correctement.

report_dev_setup.sh ne sauvegarde pas le fichier de configuration du pare-feu

Le script report_dev_setup.sh sauvegarde désormais le fichier de configuration du pare-feu afin de faciliter la reprise en cas de défaillance. Le script comprend également des perfectionnements destinées à améliorer la convivialité. (Bogue 752657)

REMARQUE :Le fichier SuSEfirewall2 est sauvegardé uniquement lorsque le port PostgreSQL n’est pas ajouté à la configuration du pare-feu SUSE.

Le bouton Tester la connectivité de la Console Sentinel Agent Manager commence par une commande Ping

Problème : Le bouton Tester la connectivité commence par une commande Ping, ce qui pose un problème de sécurité.(Bogue 1009722)

Correction : Le bouton Tester la connectivité n’utilise plus un paquet ICMP (Ping) suivi d’une commande HTTP vers le port du Connecteur dans le cadre de sa procédure de test. Il ne dépend désormais que de la commande HTTP pour valider si la connexion est correctement établie. Le test de connectivité peut s'en trouver allongé d'une minute au maximum lorsque l’extrémité distante n’est pas en ligne ou ne répond pas correctement.

Lors de la mise à niveau de l'applicatif Sentinel à partir des versions antérieures à 7.4 SP1, un message d'avertissement incorrect s'affiche

Problème : un changement de système de stockage de mot de passe dans Sentinel 7.4 SP1 provoque l'affichage de l'erreur suivante lors de la mise à niveau de l'applicatif à partir de versions antérieures à la version 7.4 SP1 :

Failed to set encrypted password

(Bogue 967764)

Correction : Sentinel n’affiche plus le message d’avertissement.

Exception dans le journal du serveur Sentinel lorsque vous mettez à niveau des versions antérieures à la version 7.3 SP1 vers la version 7.3 SP1 ou version ultérieure

Problème : lorsque vous mettez à niveau Sentinel de la version 7.3 à la version 7.3 SP1 et démarrez le serveur Sentinel, vous risquez de trouver les exceptions suivantes dans le journal du serveur :

Invalid length of data object ......

(Bogue 933640)

Correction : Sentinel n’affiche plus l’exception lors de la mise à niveau.

Impossible d'afficher les alertes comportant des données IPv6 dans les vues d'alerte

Problème : les vues et tableaux de bord d'alertes de Sentinel n'affichent pas les alertes qui contiennent des adresses IPv6 dans les champs Adresses IP. (Bogue 924874)

Correction : Les vues et tableaux de bord d'alertes affichent désormais les alertes qui contiennent des adresses IPv6 dans les champs Adresse IP.

2.0 Configuration système requise

Pour plus d'informations sur la configuration système requise ainsi que les systèmes d'exploitation et les navigateurs pris en charge, reportez-vous à la fiche d'informations techniques relatives à Sentinel.

3.0 Installation de Sentinel 8.1.1

Pour plus d'informations sur l'installation de Sentinel 8.1.1, reportez-vous au manuel Guide d'installation et de configuration de NetIQ Sentinel.

4.0 Mise à niveau vers Sentinel 8.1.1

Vous pouvez effectuer la mise à niveau vers Sentinel 8.1.1 à partir de Sentinel 7.4 ou d'une version ultérieure. Pour plus d'informations sur la mise à niveau vers Sentinel 8.1.1, reportez-vous au manuel NetIQ Sentinel Installation and Configuration Guide (Guide d'installation et de configuration de NetIQ Sentinel).

5.0 Problèmes connus

NetIQ Corporation s'efforce de garantir que ses produits offrent des solutions de qualité qui répondent aux besoins logiciels de votre entreprise. Les problèmes suivants font actuellement l'objet de recherches visant à établir des solutions. Si vous avez besoin d'aide pour résoudre un problème, contactez le support technique.

La mise à jour de Java 8 incluse dans Sentinel peut avoir des répercussions sur les plug-ins suivants :

  • Cisco SDEE Connector

  • Connecteur SAP (XAL)

  • Remedy Integrator

NetIQ règlera tout problème avec ces plug-ins conformément aux procédures standard de traitement des défauts et dans l'ordre prévu par celles-ci. Pour plus d'informations sur les stratégies de support, reportez-vous aux Stratégies de support.

5.1 Sentinel ne peut pas exécuter de rapports locaux avec une licence EPS standard

Problème : si votre environnement dispose de la licence 25 EPS standard et que vous exécutez un rapport, celui-ci échoue et l'erreur suivante s'affiche :

License for Distributed Search feature is expired (la licence correspondant à la fonction de recherche distribué est expirée)

Solution : afin d'exécuter des rapports dans la même machine virtuelle Java que Sentinel, suivez les étapes suivantes :

  1. Connectez-vous au serveur Sentinel et ouvrez le fichier /etc/opt/novell/sentinel/config/server.xml.

  2. Localisez la propriété suivante :

    <property name="reporting.process.oktorunstandalone">true</property>

  3. Réglez le paramètre sur false :

    <property name="reporting.process.oktorunstandalone">false</property>

  4. Redémarrez Sentinel.

5.2 Impossible de convertir Sentinel en mode FIPS en raison d’un problème avec Mozilla NSS

Problème : Si vous tentez de convertir Sentinel (Server, RCM ou RCE) en mode FIPS soit pendant soit après l’installation, un problème sur les paquetages NSS Mozilla fournis par le système d’exploitation SLES 12 empêche la conversion de s'effectuer correctement. La conversion s’arrête à l’invite de mot de passe de base de données keystore FIPS, même si le mot de passe répond aux critères attendus. (Bogue 1065329)

Solution : Pour convertir Sentinel en mode FIPS, procédez comme suit :

  1. Connectez-vous à Sentinel Server, RCM ou RCE en tant qu'utilisateur root.

  2. Lancez le gestionnaire de logiciels YaST :

    yast sw_single

  3. Recherchez les paquetages suivants, et installez-les ou mettez-les à niveau vers la dernière version :

    • mozilla-nss-tools 

    • libfreebl3-hmac

    • libsoftokn3-hmac

  4. Nettoyez les artefacts des précédentes tentatives de conversion FIPS :

     rm -rf /etc/opt/novell/sentinel/3rdparty/nss
 rm /etc/opt/novell/sentinel/3rdparty/newpwfile

  5. Réessayez la conversion FIPS.

5.3 Correlation Engine est déconnecté après une mise à niveau

Problème : Des modifications récentes sur la façon dont Sentinel valide des règles entraîne l'échec de connexion du Correlation Engine si votre environnement utilise une règle déployée plus ancienne avec une syntaxe incorrecte. (Bogue 1039598)

Solution : Pour reconnecter Correlation Engine, corrigez la syntaxe de la règle problématique puis redémarrez Sentinel.

Pour trouver la règle et corriger sa syntaxe, suivez les étapes suivantes :

  1. Dans le fichier server.log, recherchez Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine).

    Par exemple, lorsque vous recherchez Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine), vous verrez un message journal qui ressemblera à celui-ci :

    Mercredi 17 mai 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate

    Failed to initialize CorrelationEngine (Impossible d'initialiser CorrelationEngine)

    Faites défiler vers le haut pour voir les précédents messages journaux, où vous trouverez la règle et sa syntaxe. Le message ressemblera à celui-ci :

    Mercredi 17 mai 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate

    Cause racine : la durée doit être inférieure à un jour (antlr.RecognitionException)

    esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))

    Dans cet exemple, le message journal indique qu'il y a eu un problème car la durée indiquée était supérieure à un jour. La syntaxe de la règle spécifie plus de secondes (86460) qu'il y en a dans un jour (86400).

  2. Connectez-vous à Sentinel.

  3. Ouvrez un nouvel onglet dans votre navigateur.

  4. Dans le nouvel onglet, accédez à l'URL suivante :

    https://<VOTRE IP SENTINEL>:8443/SentinelRESTServices/objects/correlation-rule

  5. Pour trouver le nom et l'ID de la règle dans la liste de règles de corrélation, effectuez une recherche pour une expression unique de la syntaxe de la règle, par exemple 86460.

  6. (Conditionnel) Si vous ne trouvez pas le nom et l'ID de la règle dans la liste de règles de corrélation, suivez les étapes suivantes :

    1. Sur une invite de commande, passez en mode utilisateur novell. Utilisez la commande suivante :

      su -novell

    2. Placez-vous dans le répertoire /opt/novell/sentinel/bin.

    3. Utilisez la commande SQL suivante :

      ./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%Texteunique%'"

      Texteunique est une expression unique de la syntaxe de la règle, par exemple 86460.

  7. (Conditionnel) Si vous n'êtes pas encore passé en mode utilisateur novell, ouvrez une invite de commande et passez en mode utilisateur novell. Utilisez la commande suivante :

    su -novell

  8. Placez-vous dans le répertoire /opt/novell/sentinel/bin.

  9. Vérifiez si la règle est dans la base de données. Utilisez la commande SQL suivante :

    ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=IDdelarègle"

    IDdelarègle est l'ID de la règle que vous avez trouvée.

  10. Mettez à jour la règle avec un nouveau filtre qui ne déclenchera plus une erreur pendant la validation. Utilisez la commande SQL suivante :

    ./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=IDdelarègle"

    IDdelarègle est l'ID de la règle que vous avez trouvée.

  11. Vérifiez si le filtre a été changé dans la base de données. Utilisez la commande SQL suivante :

    ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=IDdelarègle"

    IDdelarègle est l'ID de la règle que vous avez trouvée.

  12. Arrêtez Sentinel. Utilisez la commande suivante :

    ./server.sh stop

  13. Redémarrez Sentinel. Utilisez la commande suivante :

    ./server.sh start

5.4 La synchronisation doit être démarrée manuellement dans Sentinel High Availability après avoir converti le noeud actif en mode FIPS 140-2

Problème : lorsque vous convertissez le noeud actif en mode FIPS 140-2 dans Sentinel HA, la synchronisation visant à convertir tous les noeuds passifs en mode FIPS 140-2 ne s'effectue pas totalement. Vous devez lancer manuellement la synchronisation. (Bogue 1014472)

Solution : synchronisez manuellement tous les noeuds passifs vers le mode FIPS 140-2 comme suit :

  1. Connectez-vous au noeud actif en tant qu'utilisateur root.

  2. Ouvrez le fichier /etc/csync2/csync2.cfg.

  3. Remplacez la ligne suivante :

    include /etc/opt/novell/sentinel/3rdparty/nss/*;

    par

    include /etc/opt/novell/sentinel/3rdparty/nss;

  4. Enregistrez le fichier csync2.cfg.

  5. Démarrez la synchronisation manuellement en exécutant la commande suivante :

    csync2 -x -v

5.5 Impossible de lancer le tableau de bord de visualisation des événements

Problème : Un problème empêche Internet Explorer 11 de pouvoir ouvrir le tableau de bord de visualisation des événements. (Bogue 981308)

Solution : utilisez un autre navigateur pour afficher ou modifier le tableau de bord de visualisation.

5.6 Impossible d'installer Sentinel sur SLES 11 SP4 en mode FIPS

Problème : si vous tentez d'installer Sentinel sur un ordinateur qui exécute le système d'exploitation SLES 11 SP4 en mode FIPS, la procédure d'installation échoue. (Bogue 990201)

Solution : vérifiez que le système d'exploitation n'est pas en mode FIPS, puis procédez comme suit :

  1. Installez Sentinel. Pour plus d'informations, reportez-vous à la section Installation de Sentinel du Guide d'installation et de configuration de NeIQ Sentinel.

  2. Activez le serveur Sentinel pour qu'il s'exécute en mode FIPS. Pour plus d'informations, reportez-vous à la section Activation du serveur Sentinel pour une exécution en mode FIPS 140-2 du Guide d'installation et de configuration de NetIQ Sentinel.

  3. Utilisez la commande suivante pour permettre l'activation du système d'exploitation pour qu'il s'exécute en mode FIPS :

    fips=1 /boot/grub/menu.lst

5.7 L'interface principale de Sentinel affiche une page vide après la conversion vers SSDM

Problème : lorsque vous activez SSDM, lorsque vous vous connectez à l'interface principale de Sentinel, le navigateur affiche une page vide. (Bogue 1006677)

Solution : fermez votre navigateur, puis reconnectez-vous à l'interface principale de Sentinel. Ce problème ne se produit qu'une seule fois, la première fois que vous vous connectez à l'interface principale de Sentinel après avoir activé SSDM.

5.8 La recherche dans le tableau Conseils ne renvoie pas la liste complète des champs d'alerte dans les installations de Sentinel mises à niveau

Problème : dans les installations mises à niveau de Sentinel, si vous effectuez une recherche d'attributs d'alertes dans le tableau Conseils de l'interface principale de Sentinel, la recherche ne renvoie pas la liste complète des champs d'alerte. Cependant, les champs d'alerte s'affichent correctement dans le tableau Conseils si vous effacez la recherche. (Bogue 914755)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

5.9 La recherche d'événements ne répond pas si vous ne bénéficiez d'aucune autorisation d'affichage d'événements

Problème : si vous exécutez une recherche d'événements lorsque le filtre de sécurité de votre rôle est vide et que votre rôle ne dispose d'aucune autorisation d'affichage d'événements, la recherche ne s'effectue pas. Aucun message d'erreur ne vous indique que les autorisations d'affichage d'événements ne sont pas valables. (Bogue 908666)

Solution : mettez le rôle à jour en utilisant une des options suivantes :

  1. Spécifiez un critère dans le champ Uniquement les événements correspondant aux critères. Si les utilisateurs dans ce rôle ne doivent voir aucun événement, vous pouvez entrer NOT sev:[0 TO 5].

  2. Sélectionnez Afficher les événements système.

  3. Sélectionnez Afficher toutes les données d'événements (y compris les données brutes et les données NetFlow).

5.10 Le panneau Champs d'événement est manquant dans la page de planification lors de l'édition de certaines recherches sauvegardées

Problème : lors de l'édition d'une recherche enregistrée mise à niveau de Sentinel 7.2 vers une version ultérieure, le panneau Champs d'événement, utilisé pour définir des champs de sortie dans le rapport de recherche CSV, n'apparaît pas dans la page de planification. (Bogue 900293)

Solution : après avoir mis à niveau Sentinel, recréez et replanifiez la recherche pour afficher le panneau Champs d'événement dans la page de planification.

5.11 Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez des événements pour la règle déployée avec la recherche du nombre de déclenchements par défaut

Problème : Sentinel ne renvoie aucun événement corrélé lorsque vous recherchez tous les événements corrélés qui ont été générés après le déploiement ou l'activation de la règle, en cliquant sur l'icône à côté de Nombre de déclenchements du panneau Statistiques d'activité de la page Résumé de corrélation concernant la règle. (Bogue 912820)

Solution : remplacez la valeur du champ De sur la page Recherche d'événements par une heure moins avancée que celle figurant déjà dans le champ et cliquez à nouveau sur Rechercher.

5.12 Le tableau de bord Security Intelligence affiche une durée de ligne de base incorrecte lors de la regénération d'une ligne de base

Problème : lors de la regénération de la ligne de base Security Intelligence, les dates de début et de fin de cette ligne sont erronées et affichent le 01/01/1970. (Bogue 912009)

Solution : les bonnes dates sont mises à jour une fois la regénération de la ligne de base terminée.

5.13 Erreur lors de l'utilisation du script report_dev_setup.sh dans la configuration des ports Sentinel pour les exceptions de pare-feu sur les installations d'applicatifs de Sentinel mises à niveau

Problème : Sentinel affiche une erreur lorsque vous utilisez le script report_dev_setup.sh afin de configurer les ports Sentinel pour les exceptions de pare-feu. (Bogue 914874)

Solution : configurez les ports Sentinel pour les exceptions de pare-feu en procédant comme suit :

  1. Ouvrez le fichier/etc/sysconfig/SuSEfirewall2.

  2. Remplacez la ligne suivante :

    FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"

    par

    FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"

  3. Redémarrez Sentinel.

5.14 Les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé

Problème : les performances de Sentinel Generic Collector se dégradent lorsque le collecteur de service de résolution de nom d'hôte générique est activé sous Microsoft Active Directory et sur le collecteur Windows. Le taux EPS diminue de 50 % lorsque les instances Collector Manager distantes envoient des événements. (Bogue 906715)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

5.15 Authentification SQL requise par Agent Manager en cas d'activation du mode FIPS 140-2

Problème : lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel, l'utilisation de l'authentification Windows pour Agent Manager entraîne l'échec de la synchronisation avec la base de données Agent Manager. (Bogue 814452)

Solution : utilisez l'authentification SQL pour Agent Manager lorsque le mode FIPS 140-2 est activé dans votre environnement Sentinel.

5.16 Affichage d'une erreur lorsque l'installation de Sentinel en haute disponibilité n'utilise pas le mode FIPS 140-2

Problème : l'installation de Sentinel en haute disponibilité (HA) en mode non FIPS 140-2 s'effectue correctement, mais le message d'erreur suivant s'affiche à deux reprises :

/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments

(Bogue 810764)

Solution : ce message d'erreur est normal et vous pouvez l'ignorer en toute sécurité. Même si le programme d'installation affiche ce message d'erreur, la configuration de Sentinel en haute disponibilité fonctionne en mode non-FIPS 140-2.

5.17 Inexactitudes dans les colonnes Durée et Accès de Recherches actives

Problème : L'interface principale de Sentinel affiche des nombres négatifs dans les colonnes Durée et Accès de Recherches actives lorsque l'horloge de l'ordinateur de l'interface principale de Sentinel est en retard par rapport à celle du serveur Sentinel. Par exemple, les colonnes Durée et Accès affichent des nombres négatifs si l'horloge de l'interface principale de Sentinel est définie sur 13:30 et que celle du serveur Sentinel indique 14:30. (Bogue 719875)

Solution : Veillez à ce que l'heure de l'ordinateur que vous utilisez pour accéder à l'interface principale de Sentinel soit la même ou qu'elle soit en retard par rapport à celle du serveur Sentinel.

5.18 L'événement d'audit IssueSAMLToken affiche des informations incorrectes dans le tableau de bord Security Intelligence (SI)

Problème : lorsque vous vous connectez au tableau de bord de sécurité et effectuez une recherche sur l'événement d'audit IssueSAMLToken, l'événement d'audit IssueSAMLToken affiche un nom d'hôte (InitiatorUserName) ou une SourceIP (adresse IP) incorrects. (Bogue 870609)

Solution : il n'y a pour l'instant aucun moyen de contourner ce problème.

5.19 Le serveur Sentinel s'arrête lors de l'exécution d'une recherche si de nombreux événements figurent dans une seule partition

Problème : le serveur Sentinel s'arrête lorsque vous lancez une recherche si de nombreux événements sont indexés dans une seule partition. (Bogue 913599)

Solution : créez des stratégies de conservation de manière à ce qu'il y ait au moins deux partitions ouvertes par jour. Si vous disposez de plus d'une partition ouverte, cela vous permet de réduire le nombre d'événements indexés dans les partitions.

Vous pouvez également créer des stratégies de conservation qui filtrent les événements en fonction du champ estzhour, qui assure le suivi de l'heure. Par conséquent, il vous est possible de mettre en place une stratégie de conservation qui utilise estzhour:[0 TO 11] en tant que filtre et une autre stratégie de conservation qui utilise estzhour:[12 TO 23] comme filtre.

Pour plus d'informations, reportez-vous à la section Configuring Data Retention Policies (Configuration des stratégies de conservation des données) du NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel).

5.20 La synchronisation des données échoue lors de la synchronisation des adresses IPv6 dans un format lisible par un humain

Problème : la synchronisation des données échoue lorsque vous essayez de synchroniser les champs d'adresse IPv6 dans un format lisible par un humain pour des bases de données externes. Pour plus d'informations sur la configuration de Sentinel afin de pouvoir remplir les champs d'adresse IP dans un format de notation par points lisible, reportez-vous à la section Creating a Data·Synchronization·Policy·(Création·d'une·stratégie·de·synchronisation·des·données)·du·NetIQ Sentinel Administration Guide (Guide d'administration de NetIQ Sentinel). (Bogue 913014)

Solution : pour résoudre ce problème, définissez manuellement la taille maximale des champs d'adresse IP sur au moins 46 caractères dans la base de données cible et resynchronisez-la.

5.21 Impossible d'afficher simultanément plusieurs résultats de rapport

Problème : lorsque vous attendez l'ouverture d'un fichier PDF contenant les résultats d'un rapport, en particulier ceux comptant 1 million d'événements, si vous cliquez sur un autre fichier PDF à afficher, les résultats de rapport ne s'affichent pas. (Bogue 804683)

Solution : cliquez de nouveau sur le second fichier PDF pour afficher les résultats de rapport.

6.0 Coordonnées

Notre objectif est de vous proposer une documentation qui réponde à vos besoins. Si vous avez des conseils pour l'améliorer, n'hésitez pas à nous envoyer un e-mail à l'adresse suivante : Documentation-Feedback@netiq.com. Nous accordons une grande importance à vos commentaires et sommes impatients de connaître vos impressions.

Pour obtenir toutes nos coordonnées, rendez-vous sur le site Web reprenant les informations de contact du support.

Pour obtenir des informations générales sur les produits et l'entreprise, rendez-vous sur le site Web de NetIQ Corporation.

Pour mener des conversations interactives avec vos pairs et experts NetIQ, devenez un membre actif de notre communauté. La communauté en ligne NetIQ fournit des informations sur les produits, des liens vers des ressources utiles, des blogs et des canaux de réseaux sociaux.