Note di rilascio di Sentinel 8.0

Problema: SSDM nella modalità ad alta disponibilità non popola gli indirizzi IP corretti dei nodi del cluster ad alta disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch. Di conseguenza, nei dashboard di ricerca e visualizzazione degli eventi appaiono degli errori.

Soluzione: dopo aver installato il plug-in di sicurezza di Elasticsearch, eseguire i passaggi seguenti in ciascun nodo del cluster Elasticsearch:

Problema: negli ambienti SSDM, se si crea una visualizzazione affiancata della mappa con le opzioni di default, un problema di Kibana ne impedisce il corretto funzionamento nel dashboard di visualizzazione degli eventi. Per ulteriori informazioni su questo problema di Kibana, vedere https://github.com/elastic/kibana/issues/7717. (Bug 1001909)

Soluzione: quando si crea una nuova visualizzazione affiancata della mappa, selezionare WMS compliant map server (Server WMS compatibile con le mappe) in Options (Opzioni).

Problema: un problema di Kibana impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308)

Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso.

Problema: se si tenta di installare Sentinel in un computer in cui il sistema operativo SLES 11 SP4 viene eseguito in modalità FIPS, la procedura di installazione ha esito negativo. (Bug 990201)

Soluzione: verificare che il sistema operativo non sia in modalità FIPS ed effettuare i passaggi seguenti:

Problema: Sentinel non riceve gli eventi mediante il connettore di Collegamento Sentinel. (Bug 989784)

Soluzione: La versione 2011.1r4 del connettore di Collegamento Sentinel risolve questo problema. Fino a quando non sarà ufficialmente rilasciato sul sito Web dei plug-in di Sentinel, è possibile effettuare il download del connettore dalla sezione Previews (Anteprime).

Problema: NetIQ eDirectory Instrumentation non è in grado di connettersi a Connettore di revisione mediante l'agente piattaforma. Di conseguenza, Sentinel non può ricevere gli eventi da eDirectory. Questo problema si verifica in quanto eDirectory Instrumentation utilizza l'algoritmo MD5 RSA del certificato, che è stato dichiarato obsoleto in Java 8 Update 77, attualmente utilizzato in Sentinel 8.0. (Bug 985312)

Soluzione: Per consentire a eDirectory Instrumentation di utilizzare un certificato personalizzato, eseguire la procedura descritta nell'articolo 7017764 della knowledgebase di NetIQ.

Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1:

Soluzione: si tratta di un avviso previsto che può essere ignorato, poiché non ha alcun impatto sull'esecuzione dell'upgrade.

Problema: dopo aver abilitato SSDM, quando si esegue il login all'interfaccia principale di Sentinel, il browser visualizza una pagina vuota. (Bug 1006677)

Soluzione: chiudere il browser e ripetere il login all'interfaccia principale di Sentinel. Questo problema si verifica quando si esegue il login all'interfaccia principale di Sentinel per la prima volta dopo aver abilitato SSDM.

Problema: il lavoro com.novell.sentinel.spark.StreamingEventIndexer non supporta il protocollo IPv6. Se un evento contiene un indirizzo IPv6, il lavoro ha esito negativo. (Bug 1006975)

Soluzione: per risolvere il problema modificare il tipo IP in stringa. Per apportare questa modifica, rivolgersi al supporto tecnico.

Problema: dopo aver abilitato la memorizzazione scalabile, nei log del server SSDM vengono visualizzate più istanze del messaggio seguente:

Soluzione: è possibile ignorare questo tipo di messaggi, poiché non hanno alcun impatto funzionale.

Problema: Quando si esegue l'upgrade di Sentinel dalla versione 7.3 alla versione 7.3 SP1 e si avvia il server Sentinel, nel log del server potrebbe apparire l'eccezione seguente:

Soluzione: ignorare l'eccezione. Questa eccezione non ha alcun impatto sulle prestazioni di Sentinel.

Problema: nelle viste e nei dashboard degli avvisi di Sentinel non vengono visualizzati gli avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874)

Soluzione: per visualizzare gli avvisi con indirizzi IPv6 in Sentinel, eseguire le operazioni descritte nell'articolo 7016555 della knowledgebase di NetIQ.

Problema: nel connettore di Collegamento Sentinel è presente la vulnerabilità della sicurezza Bar Mitzvah. Il connettore di Collegamento Sentinel utilizza l'algoritmo RC4 nei protocolli SSL e TSL, il quale può consentire attacchi basati sul recupero di testo nei byte iniziali di un flusso. Per ulteriori informazioni, vedere CVE-2015-2808. (Bug 933741)

Soluzione: La versione 2011.1r4 del connettore di Collegamento Sentinel risolve questo problema. Fino a quando non sarà ufficialmente rilasciato sul sito Web dei plug-in di Sentinel, è possibile effettuare il download di questo connettore dalla sezione Previews (Anteprime).

Problema: il connettore di Gestione agenti versione 2011.1r3 non imposta la proprietà CONNECTION_MODE negli eventi se il servizio di raccolta che esegue l'analisi sintattica degli eventi supporta più modalità di connessione. (Bug 880564)

Soluzione: il connettore di Gestione agenti 2011.1r5 e le versioni successive risolvono questo problema. Fino a quando non sarà ufficialmente rilasciato sul sito Web dei plug-in di Sentinel, è possibile effettuare il download di questo connettore dalla sezione Previews (Anteprime).

Problema: Sentinel Agent Manager 7.3 ignora il valore specificato nell'attributo RawDataTapFileSize nel file SMServiceHost.exe.config per la configurazione della dimensione del file dei dati non elaborati e non esegue più la scrittura in tale file quando la dimensione è superiore a 10 MB. (Bug 867954)

Soluzione: copiare manualmente il contenuto del file dei dati non elaborati in un altro file per svuotarlo quando la dimensione arriva a 10 MB, affinché Sentinel Agent Manager possa utilizzarlo per scrivere nuovi dati.

Problema: nelle installazioni di upgrade di Sentinel, quando si cercano attributi degli avvisi nella tabella Suggerimenti dell'interfaccia principale di Sentinel, la ricerca non restituisce l'elenco completo dei campi degli avvisi. Tuttavia, i campi degli avvisi vengono visualizzati correttamente nella tabella Suggerimenti se la ricerca viene annullata. (Bug 914755)

Soluzione: non è ancora disponibile una soluzione.

Problema: la sincronizzazione dei dati ha esito negativo quando si tenta di sincronizzare con database esterni i campi degli indirizzi IPv6 in formato leggibile dall'uomo. Per informazioni sulla configurazione di Sentinel affinché i campi degli indirizzi IP vengano popolati utilizzando la notazione col punto leggibile dall'uomo, vedere Creating a Data Synchronization Policy (Creazione di una policy di sincronizzazione dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). (Bug 913014)

Soluzione: per risolvere questo problema, modificare manualmente la dimensione massima dei campi degli indirizzi IP impostando almeno 46 caratteri nel database di destinazione, quindi ripetere la sincronizzazione del database.

Problema: se si effettua una ricerca di eventi quando il filtro di sicurezza del ruolo è vuoto e il ruolo utilizzato non dispone di autorizzazioni per la visualizzazione degli eventi, la ricerca non viene completata. Non vengono visualizzati messaggi di errore relativi alle autorizzazioni non valide per la visualizzazione degli eventi. (Bug 908666)

Soluzione: aggiornare il ruolo utilizzando una delle opzioni seguenti:

Problema: quando si modifica una ricerca salvata di cui è stato eseguito l'upgrade da Sentinel 7.2 a una versione più recente, il pannello Campi evento, utilizzato per specificare i campi di output nel file CSV del rapporto di ricerca, non è presente nella pagina della pianificazione. (Bug 900293)

Soluzione: dopo aver eseguito l'upgrade di Sentinel, per visualizzare il pannello Campi evento nella pagina della pianificazione, ricreare e ripianificare la ricerca.

Problema: in Sentinel non viene restituito alcun evento correlato quando si cercano tutti gli eventi correlati generati dopo l'installazione o l'abilitazione della regola facendo clic sull'icona accanto a Totale attivazioni nel pannello Statistiche attività della pagina Riepilogo correlazione per la regola. (Bug 912820)

Soluzione: modificare il valore nel campo Da della pagina Ricerca evento impostando un orario precedente a quello popolato nel campo e fare nuovamente clic su Cerca.

Problema: quando si rigenera la linea di base di Security Intelligence, le relative date iniziale e finale sono errate e viene visualizzato il valore 1/1/1970. (Bug 912009)

Soluzione: al termine della rigenerazione della linea di base le date vengono aggiornate correttamente.

Problema: quando si effetua una ricerca, il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione. (Bug 913599)

Soluzione: creare policy di permanenza affinché nel corso di una giornata siano aperte almeno due partizioni. L'utilizzo di più partizioni aperte contribuisce a ridurre il numero di eventi indicizzati nelle partizioni stesse.

Problema: in Sentinel viene visualizzato un errore quando si utilizza lo script report_dev_setup.sh per configurare le porte di Sentinel per le eccezioni del firewall. (Bug 914874)

Soluzione: configurare le porte di Sentinel per le eccezioni del firewall eseguendo le operazioni seguenti:

Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715)

Soluzione: non è ancora disponibile una soluzione.

Problema: quando si installa Sentinel in modalità FIPS 140-2, il connettore per il database di Security Intelligence non si avvia e Sentinel non è in grado di accedere ai dati di Security Intelligence, NetFlow e avvisi. (Bug 915241)

Soluzione: dopo aver installato e configurato la modalità FIPS 140-2, riavviare Sentinel.

Problema: quando si esportano i risultati delle ricerche effettuate in Sentinel, il browser Web potrebbe visualizzare un errore se si modificano le impostazioni della lingua del sistema operativo. (Bug 834874)

Soluzione: per esportare correttamente i risultati delle ricerche, eseguire una delle operazioni seguenti:

Problema: mentre si attende l'apertura del PDF dei risultati dei rapporti, specialmente i risultati di rapporti relativi a un milione di eventi, se si seleziona un altro PDF relativo ad altri risultati dei rapporti per visualizzarne i contenuti, i risultati non vengono visualizzati. (Bug 804683)

Soluzione: fare nuovamente clic sul secondo PDF dei risultati dei rapporti per visualizzarlo.

Problema: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452)

Soluzione: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, utilizzare l'autenticazione SQL per Gestione agenti.

Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente:

Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2.

Problema: quando l'orologio del computer dell'interfaccia principale di Sentinel è indietro rispetto a quello del server Sentinel, l'interfaccia principale di Sentinel visualizza numeri negativi nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo. Vale a dire che se l'orologio dell'interfaccia principale di Sentinel è impostato alle 13:30 e il server Sentinel è impostato alle 14:30, in queste colonne sono visualizzati numeri negativi. (Bug 719875)

Soluzione: assicurarsi che l'ora del computer utilizzato per accedere all'interfaccia principale di Sentinel sia la stessa o successiva a quella del computer del server Sentinel.

Problema: quando si esegue il login al dashboard di Security Intelligence e si cerca l'evento di revisione IssueSAMLToken, il nome host (InitiatorUserName) o l'indirizzo IP (SourceIP) vengono visualizzati in modo errato nell'evento di revisione IssueSAMLToken. (Bug 870609)

Soluzione: non è ancora disponibile una soluzione.