Note di rilascio di Sentinel 8.1

Giugno 2017

Sentinel 8.1 include nuove funzioni, aumenta la semplicità di utilizzo e fornisce le soluzioni a diversi problemi riscontrati nelle versioni precedenti.

Molti miglioramenti sono stati apportati in base ai suggerimenti forniti dai clienti, che ringraziamo per la loro valida collaborazione. Confidiamo che anche in futuro continueranno ad aiutarci a migliorare i nostri prodotti affinché possano soddisfare tutte le loro esigenze. È possibile pubblicare commenti e opinioni nel forum di Sentinel di NetIQ Communities, la nostra comunità online che include anche informazioni sui prodotti, blog e collegamenti a risorse utili.

La documentazione relativa a questo prodotto è disponibile sul sito Web di NetIQ in formato HTML e PDF, in una pagina a cui è possibile accedere senza eseguire il login. Per suggerimenti volti a migliorare la documentazione, fare clic sull'icona dei commenti in una pagina qualsiasi della versione HTML dei documenti pubblicati sul sito Web della documentazione di Sentinel NetIQ. Per effettuare il download del prodotto, visitare il sito Web di upgrade di Sentinel.

Per la versione più recente di queste note di rilascio, consultare le Note di rilascio di Sentinel 8.1.

1.0 Novità

Nelle sezioni seguenti vengono illustrate le funzionalità e le funzioni principali fornite in questa versione, incluse le soluzioni ai problemi riscontrati:

1.1 Correzioni delle vulnerabilità di sicurezza

Sentinel 8.1 fornisce ulteriori correzioni per risolvere la vulnerabilità CVE-2016-1000031, rilevata da Jacob Baines di Tenable Network Security. Desideriamo ringraziare Jacob Baines per aver rilevato queste vulnerabilità della sicurezza e per avercele segnalate.

1.2 Nuovi metodi di autenticazione

Sentinel 8.1 introduce i seguenti nuovi metodi di autenticazione:

  • Autenticazione Kerberos: utilizza la crittografia con chiave segreta per fornire l'autenticazione forte.

  • Autenticazione a più fattori (MFA): un metodo di autenticazione più avanzato che utilizza una combinazione di almeno due fattori, ad esempio password e token oppure smart card e impronta digitale.

  • Autenticazione OAuth: consente agli utenti di eseguire il login a Sentinel utilizzando provider come Google o Facebook.

1.3 Nuovi dashboard

Sentinel 8.1 introduce i nuovi dashboard seguenti:

  • Dashboard di stato della sicurezza: fornisce una panoramica generale della sicurezza del sistema relativamente alle minacce derivanti da indirizzi IP con cattiva reputazione, vulnerabilità e potenziale sfruttamento di vulnerabilità. Il dashboard fornisce una panoramica generale dello stato corrente della sicurezza del sistema e indica se il sistema è sicuro o compromesso.

  • Dashboard Panoramica eventi: fornisce una panoramica generale di tutti gli eventi in entrata. I widget forniscono informazioni sui tipi specifici, ad esempio eventi di correlazione, eventi di sistema e altri tipi di eventi.

1.4 Gestione di più dashboard

Sentinel 8.1 introduce la possibilità di gestire più dashboard. Al primo login, Sentinel si apre con Gestisci dashboard. Da questa posizione è possibile:

  • Accedere a qualsiasi dashboard per cui si dispone delle autorizzazioni

  • Creare un nuovo dashboard

  • Impostare un dashboard come home page

1.5 Viste avvisi e viste eventi dichiarate obsolete nell'interfaccia principale di Sentinel

Con la disponibilità dei dashboard Threat Intelligence e Panoramica eventi in My Sentinel, le Viste avvisi e le Viste eventi nell'interfaccia principale di Sentinel > Viste in tempo reale saranno dichiarate obsolete in futuro per evitare la ridondanza delle interfacce utente per queste funzioni.

1.6 Aggiunte alla funzionalità di storage scalabile

Questa versione include diverse aggiunte che espandono la funzionalità dello storage scalabile:

Ulteriori funzioni in Sentinel Scalable Data Manager

Sentinel Scalable Data Manager (SSDM) ora include le seguenti funzionalità di Sentinel Enterprise:

  • Correlazione

    • Correlazione di modelli degli eventi in tempo reale

    • Azioni attivate da regole di correlazione

    • Valutazione degli avvisi e visualizzazione

  • Integrazione dei dati di identità dell'utente

  • Raccolta e visualizzazione di NetFlow

  • Federazione dei dati

  • Solution Designer

Per informazioni sui servizi e le funzioni di Sentinel Enterprise non disponibili in SSDM, consultare la sezione sulla Configurazione dello storage scalabile nella Guida all'installazione e alla configurazione di NetIQ Sentinel.

Abilitazione dello storage scalabile nelle installazioni di upgrade

Per utilizzare la funzionalità dello storage scalabile, non è più necessaria una nuova installazione di Sentinel. Ora è possibile abilitare lo storage scalabile anche nelle installazioni di upgrade di Sentinel. Per informazioni sull'abilitazione dello storage scalabile, consultare la sezione sulla Configurazione dello storage scalabile nella Guida all'amministrazione di NetIQ Sentinel.

Migrazione dei dati dallo storage tradizionale allo storage scalabile

Per sfruttare i dati esistenti nello storage tradizionale in Sentinel con lo storage scalabile, ora è possibile eseguire la migrazione dei dati dallo storage tradizionale allo storage scalabile. Per ulteriori informazioni, consultare la sezione sulla Migrazione dei dati da Sentinel con lo storage tradizionale nella Guida all'amministrazione di NetIQ Sentinel.

Distribuzione di eventi su più Correlation Engine

In una configurazione di storage scalabile in cui la frequenza EPS è solitamente alta, i Correlation Engine possono essere caricati con un eccessivo numero di eventi da elaborare. Per default, tutti gli eventi vengono inviati a tutti i Correlation Engine. Per evitare il sovraccarico di eventi, è possibile controllare l'utilizzo EPS nel Correlation Engine e distribuire quindi il carico di eventi tra più Correlation Engine in base alle specifiche esigenze. Grazie alla distribuzione di eventi tra diversi Correlation Engine, è possibile bilanciare il carico di eventi e separare gli eventi che distinguono il tenant per specifici Correlation Engine. Ad esempio, in un ambiente con più tenant, è possibile configurare un Correlation Engine designato per ogni tenant in modo che tale Correlation Engine elabori gli eventi specifici del tenant a cui è designato.

L'opzione che consente di distribuire gli eventi su più Correlation Engine è disponibile solo in Sentinel con storage scalabile. Per ulteriori informazioni, consultare la sezione sulla Distribuzione di eventi tra più Correlation Engine nella Guida per l'utente di NetIQ Sentinel.

1.7 Configurazione delle origini dati di Threat Intelligence

Il Pacchetto soluzioni Threat Intelligence delle versioni precedenti di Sentinel include origini dati come Palevo e Zeus, che forniscono un elenco noto di indirizzi IP botnet. A partire da Sentinel 8.1, tali origini dati non fanno più parte del Pacchetto soluzioni e sono immediatamente disponibili quando si installa Sentinel. Oltre a Palevo e Zeus, Sentinel fornisce ulteriori origini dati che offrono informazioni sulle minacce esistenti o emergenti per la sicurezza delle organizzazioni. Molte di queste origini dati vengono aggiornate quotidianamente. Sentinel fornisce la possibilità di scaricare questi dati in un file di mappatura, aggiornarli a intervalli programmati o secondo necessità e incorporare le informazioni rilevanti sulle minacce nelle regole di correlazione. L'opzione che consente di gestire le origini dati di Threat Intelligence ora è disponibile in Integrazione > Origini di Threat Intelligence nell'interfaccia principale di Sentinel.

Per ulteriori informazioni, consultare la sezione sulla Configurazione delle origini dati di Threat Intelligence nella Guida all'amministrazione di NetIQ Sentinel.

1.8 Gestione degli elenchi dinamici nell'interfaccia principale di Sentinel

Per configurare o gestire gli elenchi dinamici, non è più necessario utilizzare Sentinel Control Center. Ora è possibile configurare e gestire gli elenchi dinamici con un'opzione dell'interfaccia utente principale di Sentinel molto più semplice da utilizzare. Per ulteriori informazioni, consultare la sezione sulla Configurazione degli elenchi dinamici nella Guida per l'utente di NetIQ Sentinel.

1.9 Aggiornamenti delle piattaforme certificate

Le piattaforme certificate di Sentinel hanno subito numerosi aggiornamenti. Per informazioni dettagliate sulle piattaforme certificate, consultare la pagina Informazioni tecniche su Sentinel.

Nuove piattaforme certificate

Sentinel è attualmente certificato per le piattaforme seguenti:

Installazione tradizionale:

  • SUSE Linux Enterprise Server 12 SP2 a 64 bit

  • Red Hat Enterprise Linux Server 6.8 a 64 bit

Installazione in modalità applicazione:

  • VMware ESX 6.5 (per ISO e OVF)

  • Hyper-V Server 2016 (solo ISO)

Sincronizzazione dei dati: Microsoft SQL Server 2016

Piattaforme obsolete

SUSE Linux Enterprise Server 12 SP1

1.10 Plug-in più recenti

Le nuove installazioni di Sentinel includono le versioni più recenti di numerosi plug-in di Sentinel. Tali versioni includono le correzioni software più recenti, gli aggiornamenti della documentazione e i miglioramenti apportati ai plug-in. Per ulteriori informazioni, vedere la documentazione specifica dei plug-in nel sito Web dei plug-in di Sentinel.

Eseguire l'upgrade di Sentinel permette di aggiornare i plug-in riportati di seguito. In questo modo, si è certi siano compatibili con Sentinel 8.1 e versioni successive:

  • Sentinel Agent Manager Connector alla versione 2017.1r1

  • Sentinel Link Connector alla versione 2011.1r5

1.11 Correzioni software

In Sentinel 8.1 sono incluse correzioni software che risolvono numerosi problemi.

Impossibile cercare lavori di rapporto non riusciti

Problema: quando un lavoro di rapporto ha esito negativo, non è possibile cercarlo come evento. (Bug 1017358)

Correzione: Ora è possibile cercare un lavoro di rapporto non riuscito come evento.

Sentinel non registra le origini di eventi ritardati

Problema: Sentinel consente di registrare le origini degli eventi da cui derivano gli eventi ritardati oltre una soglia specificata. Questa possibilità è utile per la risoluzione dei problemi correlati all'arrivo ritardato. Sentinel non aggiornava il file di log con le origini degli eventi. (Bug 979931)

Correzione: Sentinel ora aggiorna il file di log come parte dell'istantanea delle prestazioni.

Si verificano errori quando una definizione di anomalia configurata con la linea di base tenta di inviare una notifica e-mail

Problema: se si configura una definizione di anomalia per inviare una notifica e-mail in caso di deviazione dalla linea di base, Sentinel non è in grado di inviare l'e-mail e restituisce un errore IllegalStateException. (Bug 816622)

Correzione: Sentinel ora invia correttamente l'e-mail.

Il rapporto non viene eseguito se la data di inizio è successiva alla data corrente

Problema: se si pianifica l'esecuzione di un rapporto con l'intervallo di date corrente ma la data di inizio è nel futuro, il rapporto non viene eseguito. (Bug 914094)

Correzione: Sentinel consente di impostare come data di inizio un giorno futuro per segnalare le origini degli eventi non sincronizzate correttamente. Sentinel ora esegue il rapporto senza errori.

Il salvataggio di una ricerca in CSV non mantiene l'ordine dei campi specificato

Problema: quando si salva una ricerca in un file CSV, tale file non mantiene l'ordine specificato dei campi. (Bug 979916)

Correzione: quando si salva una ricerca in un file CSV, tale file ora mantiene l'ordine specificato dei campi.

Dopo aver riavviato il servizio Sentinel su un computer su cui è installato Collector Manager con diversi servizi di raccolta database, alcuni servizi di raccolta non possono riconnettersi

Problema: se si riavvia il servizio Sentinel su un computer su cui è installato Collector Manager con diversi servizi di raccolta database, alcuni servizi di raccolta non sono in grado di riconnettersi alle origini eventi. (Bug 1015375, Bug 1041866)

Correzione: tutti i servizi di raccolta ora si ricollegano dopo il riavvio del servizio Sentinel.

Alcune opzioni dei criteri di modifica creano ricerche non valide

Problema: se si modificano i criteri di una ricerca e si seleziona Ora inizio, Ora fine o Ora elaborazione Sentinel, i risultati della ricerca non sono validi. (Bug 894421)

Correzione: Le opzioni Ora inizio, Ora fine o Ora elaborazione Sentinel non sono più disponibili quando si modificano i criteri di ricerca.

Il certificato personalizzato impedisce a Sentinel Agent Manager di connettersi a Sentinel

Problema: se l'oggetto del certificato personalizzato contiene più attributi o caratteri speciali, Sentinel Agent Manger non è in grado di connettersi a Sentinel. (Bug 1018133)

Correzione: Sentinel Agent Manager ora è in grado di connettersi a Sentinel quando l'oggetto del certificato personalizzato contiene più attributi o caratteri speciali.

Errore durante l'upgrade di Sentinel 8.0 e versioni successive

Problema: quando si esegue l'upgrade di Sentinel 8.0 e versioni successive, nel programma di installazione viene visualizzato l'errore seguente:

Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done]
Additional rpm output:
/var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected
/var/tmp/rpm-tmp.40511: line 254: [: too many arguments

(Bug 1025512)

Correzione: questo errore non si verifica più durante il processo di upgrade.

L'API /SentinelRESTServices/objects/alert/count restituisce sempre 0

Problema: l'esecuzione dell'API /SentinelRESTServices/objects/alert/count restituisce sempre 0, anche in presenza di più avvisi. (Bug 1028317)

Correzione: l'API /SentinelRESTServices/objects/alert/count ora restituisce il numero di avvisi corretto.

Le date nei campi dei dettagli degli eventi non vengono visualizzate nel formato corretto

Problema: quando si visualizzano tutti i dettagli degli eventi, le date e le ore appaiono erroneamente in formato UTC (Coordinated Universal Time). (Bug 1031523, Bug 1034531)

Correzione: nei campi dei dettagli degli eventi, ora le date vengono visualizzate nel formato adeguato all'impostazione internazionale specificata nel browser.

Dopo l'abilitazione della memorizzazione scalabile nei log del server sono presenti numerosi messaggi SEVERE

Problema: dopo aver abilitato la memorizzazione scalabile, nei log del server SSDM vengono visualizzate più istanze del messaggio seguente:

SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400

è possibile ignorare questo tipo di messaggi, poiché non c'è alcun impatto funzionale. (Bug 1009662)

Correzione: i log del server SSDM non visualizzano più questo messaggio.

SSDM in modalità ad alta disponibilità non popola correttamente i file di configurazione del plug-in di sicurezza di Elasticsearch

Problema: SSDM nella modalità ad alta disponibilità non popola gli indirizzi IP corretti dei nodi del cluster ad alta disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch. Di conseguenza, nei dashboard di ricerca e visualizzazione degli eventi appaiono degli errori. (Bug 1012251)

Correzione: SSDM nella modalità ad elevata disponibilità ora popola gli indirizzi IP corretti dei nodi del cluster ad elevata disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch.

Errori nei dashboard di visualizzazione degli eventi e nelle ricerche in SSDM dopo l'installazione del plug-in di sicurezza di Elasticsearch

Problema: in un'installazione di Elasticsearch basata su RPM, i dashboard di visualizzazione degli eventi e le ricerche in SSDM non funzionano. (Bug 1014448)

Correzione: i dashboard di visualizzazione degli eventi e le ricerche in SSDM ora funzionano.

Impossibile ricevere gli eventi da NetIQ eDirectory

Problema: NetIQ eDirectory Instrumentation non è in grado di connettersi a Connettore di revisione mediante l'agente piattaforma. Di conseguenza, Sentinel non può ricevere gli eventi da eDirectory. Questo problema si verifica in quanto eDirectory Instrumentation utilizza l'algoritmo MD5 RSA del certificato, che è stato dichiarato obsoleto in Java 8 Update 77, attualmente utilizzato in Sentinel 8.1. (Bug 985312)

Correzione: Una nuova versione di Connettore di revisione consente a Sentinel di ricevere gli eventi da eDirectory.

Il lavoro StreamingEventIndexer non supporta IPv6

Problema: il lavoro com.novell.sentinel.spark.StreamingEventIndexer non supporta il protocollo IPv6. Se un evento contiene un indirizzo IPv6, il lavoro ha esito negativo. (Bug 1006975)

Correzione: il lavoro com.novell.sentinel.spark.StreamingEventIndexer ora supporta IPv6.

Sentinel Agent Manager 7.3 non considera la configurazione di RawDataTapFileSize

Problema: Sentinel Agent Manager 7.3 ignora il valore specificato nell'attributo RawDataTapFileSize nel file SMServiceHost.exe.config per la configurazione della dimensione dei dati non elaborati e interrompe la scrittura nel file di dati non elaborati quando il file raggiunge la dimensione di 10 MB. (Bug 867954)

Correzione: Sentinel Agent Manager utilizza correttamente i valori specificati nell'attributo RawDataTapFileSize nel file SMServiceHost.exe.config e scrive i nuovi dati nel file di dati non elaborati.

Le visualizzazioni affiancate delle mappe non funzionano in Sentinel Scalable Data Manager

Problema: negli ambienti SSDM, se si crea una visualizzazione affiancata della mappa con le opzioni di default, un problema di Kibana ne impedisce il corretto funzionamento nel dashboard di visualizzazione degli eventi. Per ulteriori informazioni su questo problema di Kibana, vedere https://github.com/elastic/kibana/issues/7717. (Bug 1001909)

Correzione: le visualizzazioni della mappa con opzioni di default ora funzionano correttamente nel dashboard di visualizzazione degli eventi.

2.0 Requisiti di sistema

Per informazioni su requisiti hardware, sistemi operativi supportati e browser, visitare la pagina delle informazioni tecniche su Sentinel.

3.0 Installazione di Sentinel 8.1

Per informazioni sull'installazione di Sentinel 8.1, vedere la Guida all'installazione e alla configurazione di NetIQ Sentinel.

4.0 Esecuzione dell'upgrade a Sentinel 8.1

È possibile eseguire l'upgrade a Sentinel 8.1 da Sentinel 7.4 e versioni successive.

Per informazioni sull'upgrade a Sentinel 8.1, vedere Guida all'installazione e alla configurazione di NetIQ Sentinel.

5.0 Problemi noti

NetIQ Corporation si impegna affinché i propri prodotti forniscano soluzioni di qualità che soddisfino le esigenze software aziendali. I problemi elencati di seguito sono attualmente in fase di studio. Per ulteriore assistenza relativamente a un problema, rivolgersi al supporto tecnico.

L'aggiornamento Java 8 incluso in Sentinel potrebbe avere ripercussioni sui seguenti plug-in:

  • Connettore Cisco SDEE

  • Connettore (XAL) SAP

  • Integratore Remedy

Per eventuali problemi con tali plug-in, NetIQ definirà le priorità e fornirà le soluzioni in base alle policy standard di gestione dei difetti. Per ulteriori informazioni sulle policy di supporto, vedere la pagina relativa alle policy di supporto.

5.1 L'installazione delle applicazioni Collector Manager e Correlation Engine ha esito negativo nella modalità MFA in caso di lingue diverse dell'inglese

Problema: l'installazione delle applicazioni Collector Manager e Correlation Engine ha esito negativo nella modalità MFA se la lingua del sistema operativo non è l'inglese. (Bug 1045967)

Soluzione: installare le applicazioni Collector Manager e Correlation Engine utilizzando la lingua inglese. Al termine dell'installazione, modificare l'impostazione della lingua secondo necessità.

5.2 Impossibile eseguire i rapporti locali con la licenza EPS di default

Problema: se nell'ambiente è presente la licenza di default per 25 EPS e si esegue un rapporto, l'operazione ha esito negativo e viene restituito l'errore seguente:

License for Distributed Search feature is expired (La licenza per la ricerca distribuita è scaduta)

Soluzione: per eseguire i rapporti nella stessa JVM di Sentinel, effettuare le operazioni seguenti:

  1. Eseguire il login al server Sentinel e aprire il file /etc/opt/novell/sentinel/config/server.xml.

  2. Individuare la proprietà seguente:

    <property name="reporting.process.oktorunstandalone">true</property>

  3. Modificare l'impostazione in false.

    <property name="reporting.process.oktorunstandalone">false</property>

  4. Riavviare Sentinel.

5.3 Correlation Engine si disconnette al termine dell'upgrade

Problema: le recenti modifiche apportate al modo in cui Sentinel convalida le regole fanno sì che Correlation Engine non riesca a connettersi, nel caso in cui nell'ambiente dell'utente sia presente una regola distribuita meno recente con sintassi errata. (Bug 1039598)

Soluzione: per connettere di nuovo Correlation Engine, è possibile correggere la sintassi della regola che causa il problema, quindi riavviare Sentinel.

Per trovare la regola e correggerne la sintassi, eseguire la procedura seguente:

  1. Nel file server.log, cercare Failed to initialize CorrelationEngine.

    Ad esempio, quando si cerca Failed to initialize CorrelationEngine, viene visualizzato un messaggio di log analogo al seguente:

    Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate

    Failed to initialize CorrelationEngine

    Scrorrere verso l'alto per visualizzare il messaggio di log precedente, nel quale viene indicata la regola e ne viene mostrata la sintassi. Il messaggio è analogo al seguente:

    Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate

    Root cause: Duration must be within a day (antlr.RecognitionException)

    esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))

    In questo esempio, il messaggio di log indica che il problema si è verificato perché la durata specificata era superiore a un giorno. La sintassi della regola riporta un numero maggiore di secondi (86460) rispetto a quelli di un giorno (86400).

  2. Eseguire il login a Sentinel.

  3. Aprire una nuova scheda del browser.

  4. In questa nuova scheda, accedere all'URL seguente:

    https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule

  5. Per trovare il nome e l'ID della regola nell'elenco di regole di correlazione, cercare una parte univoca della sintassi della regola, ad esempio, 86460.

  6. (Condizionale) Se non è possibile trovare il nome e l'ID della regola nell'elenco delle regole di correlazione, eseguire la procedura seguente:

    1. In un prompt di comandi, passare all'utente novell. Utilizzare il seguente comando:

      su -novell

    2. Passare alla directory /opt/novell/sentinel/bin.

    3. Utilizzare il seguente comando SQL:

      ./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"

      In questo caso, UniqueText rappresenta la parte univoca relativa alla sintassi della regola, ad esempio, 86460.

  7. (Condizionale) Se non è stato già eseguito il passaggio all'utente novell, aprire un prompt dei comandi e passare all'utente novell. Utilizzare il seguente comando:

    su -novell

  8. Passare alla directory /opt/novell/sentinel/bin.

  9. Verificare che la regola si trovi nel database. Utilizzare il seguente comando SQL:

    ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"

    In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.

  10. Aggiornare la regola con un nuovo filtro che non genera un errore durante la convalida. Utilizzare il seguente comando SQL:

    ./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"

    In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.

  11. Verificare che il filtro sia stato modificato nel database. Utilizzare il seguente comando SQL:

    ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"

    In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza.

  12. Arrestare Sentinel. Utilizzare il seguente comando:

    ./server.sh stop

  13. Riavviare Sentinel. Utilizzare il seguente comando:

    ./server.sh start

5.4 SSDM in modalità ad alta disponibilità non popola correttamente i file di configurazione del plug-in di sicurezza di Elasticsearch

Problema: SSDM nella modalità ad alta disponibilità non popola gli indirizzi IP corretti dei nodi del cluster ad alta disponibilità nei file di configurazione del plug-in di sicurezza di Elasticsearch. Di conseguenza, nei dashboard di ricerca e visualizzazione degli eventi appaiono degli errori.

Soluzione: dopo aver installato il plug-in di sicurezza di Elasticsearch, eseguire i passaggi seguenti in ciascun nodo del cluster Elasticsearch:

  1. Eseguire il login al nodo Elasticsearch come l'utente che ha installato Elasticsearch.

  2. Aggiungere le voci corrispondenti all'indirizzo IP fisico di ogni nodo attivo e passivo del cluster ad alta disponibilità nel file <directory_installazione_elasticsearch> >/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt come indicato di seguito:

    <IP_Fisico_Nodo_Cluster>:<Porta_HTTP_Destinazione_Elasticsearch>

    Aggiungere ciascuna voce in una nuova riga e salvare il file.

  3. Nel file <directory_installazione_elasticsearch>/plugins/elasticsearch-security-plugin/plugin-configuration.properties, impostare la proprietà authServer.host sull'indirizzo IP virtuale del cluster ad alta disponibilità come indicato di seguito:

    authServer.host=<IP_Virtuale_Cluster>

  4. Riavviare Elasticsearch.

5.5 Dopo la conversione del nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, è necessario avviare manualmente la sincronizzazione

Problema: quando si converte il nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, la sincronizzazione per convertire tutti i nodi passivi alla modalità FIPS 140-2 non viene eseguita completamente. La sincronizzazione deve essere avviata manualmente. (Bug 1014472)

Soluzione: sincronizzare manualmente tutti i nodi passivi alla modalità FIPS 140-2 come indicato di seguito:

  1. Eseguire il login come utente root nel nodo attivo.

  2. Aprire il file /etc/csync2/csync2.cfg.

  3. Modificare la riga seguente:

    include /etc/opt/novell/sentinel/3rdparty/nss/*;

    come segue

    include /etc/opt/novell/sentinel/3rdparty/nss;

  4. Salvare il file csync2.cfg.

  5. Avviare manualmente la sincronizzazione eseguendo il comando seguente:

    csync2 -x -v

5.6 Impossibile avviare il dashboard di visualizzazione degli eventi

Problema: un problema impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308)

Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso.

5.7 Impossibile installare Sentinel in SLES 11 SP4 in modalità FIPS

Problema: se si tenta di installare Sentinel in un computer in cui il sistema operativo SLES 11 SP4 viene eseguito in modalità FIPS, la procedura di installazione ha esito negativo. (Bug 990201)

Soluzione: verificare che il sistema operativo non sia in modalità FIPS ed effettuare i passaggi seguenti:

  1. Installare Sentinel. Per ulteriori informazioni, consultare Installazione di Sentinel nella Guida alla configurazione e all'installazione di NetIQ Sentinel.

  2. Abilitare l'esecuzione in modalità FIPS del server Sentinel. Per ulteriori informazioni, vedere Abilitazione dell'esecuzione in modalità FIPS 140-2 nel server Sentinel nella Guida all'installazione e alla configurazione di Sentinel.

  3. Per abilitare l'esecuzione del sistema operativo in modalità FIPS, utilizzare il comando seguente:

    fips=1 /boot/grub/menu.lst

5.8 Durante l'upgrade dell'applicazione Sentinel da versioni precedenti alla 7.4 SP1, viene visualizzato un avviso non corretto

Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1:

Failed to set encrypted password

(Bug 967764)

Soluzione: si tratta di un avviso previsto che può essere ignorato, poiché non ha alcun impatto sull'esecuzione dell'upgrade.

5.9 Nell'interfaccia principale di Sentinel appare una pagina vuota dopo la conversione a Sentinel Scalable Data Manager

Problema: dopo aver abilitato SSDM, quando si esegue il login all'interfaccia principale di Sentinel, il browser visualizza una pagina vuota. (Bug 1006677)

Soluzione: chiudere il browser e ripetere il login all'interfaccia principale di Sentinel. Questo problema si verifica quando si esegue il login all'interfaccia principale di Sentinel per la prima volta dopo aver abilitato SSDM.

5.10 Eccezione registrata nel log del server Sentinel quando si esegue l'upgrade alla versione 7.3 SP1 e successive da versioni precedenti

Problema: Quando si esegue l'upgrade di Sentinel dalla versione 7.3 alla versione 7.3 SP1 e si avvia il server Sentinel, nel log del server potrebbe apparire l'eccezione seguente:

Invalid length of data object ......

(Bug 933640)

Soluzione: ignorare l'eccezione. Questa eccezione non ha alcun impatto sulle prestazioni di Sentinel.

5.11 Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6

Problema: nelle viste e nei dashboard degli avvisi di Sentinel non vengono visualizzati gli avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874)

Soluzione: per visualizzare gli avvisi con indirizzi IPv6 in Sentinel, eseguire le operazioni descritte nell'articolo 7016555 della knowledgebase di NetIQ.

5.12 Le ricerche nella tabella Suggerimenti non restituiscono un elenco completo dei campi degli avvisi nelle installazioni di upgrade di Sentinel

Problema: nelle installazioni di upgrade di Sentinel, quando si cercano attributi degli avvisi nella tabella Suggerimenti dell'interfaccia principale di Sentinel, la ricerca non restituisce l'elenco completo dei campi degli avvisi. Tuttavia, i campi degli avvisi vengono visualizzati correttamente nella tabella Suggerimenti se la ricerca viene annullata. (Bug 914755)

Soluzione: non è ancora disponibile una soluzione.

5.13 La sincronizzazione dei dati ha esito negativo quando si sincronizzano indirizzi IPv6 in formato leggibile dall'uomo

Problema: la sincronizzazione dei dati ha esito negativo quando si tenta di sincronizzare con database esterni i campi degli indirizzi IPv6 in formato leggibile dall'uomo. Per informazioni sulla configurazione di Sentinel affinché i campi degli indirizzi IP vengano popolati utilizzando la notazione col punto leggibile dall'uomo, vedere Creating a Data Synchronization Policy (Creazione di una policy di sincronizzazione dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). (Bug 913014)

Soluzione: per risolvere questo problema, modificare manualmente la dimensione massima dei campi degli indirizzi IP impostando almeno 46 caratteri nel database di destinazione, quindi ripetere la sincronizzazione del database.

5.14 La ricerca degli eventi non risponde se non si dispone di alcuna autorizzazione per la visualizzazione degli eventi

Problema: se si effettua una ricerca di eventi quando il filtro di sicurezza del ruolo è vuoto e il ruolo utilizzato non dispone di autorizzazioni per la visualizzazione degli eventi, la ricerca non viene completata. Non vengono visualizzati messaggi di errore relativi alle autorizzazioni non valide per la visualizzazione degli eventi. (Bug 908666)

Soluzione: aggiornare il ruolo utilizzando una delle opzioni seguenti:

  1. Specificare i criteri nel campo Solo eventi che corrispondono ai criteri. Se gli utenti del ruolo non devono visualizzare alcun evento, è possibile immettere NOT sev:[0 TO 5].

  2. Selezionare Visualizzare eventi di sistema.

  3. Selezionare Visualizza tutti i dati dell'evento (inclusi i dati non elaborati e quelli NetFlow).

5.15 Nella pagina della pianificazione non viene visualizzato il pannello Campi evento quando si modifica una ricerca salvata

Problema: quando si modifica una ricerca salvata di cui è stato eseguito l'upgrade da Sentinel 7.2 a una versione più recente, il pannello Campi evento, utilizzato per specificare i campi di output nel file CSV del rapporto di ricerca, non è presente nella pagina della pianificazione. (Bug 900293)

Soluzione: dopo aver eseguito l'upgrade di Sentinel, per visualizzare il pannello Campi evento nella pagina della pianificazione, ricreare e ripianificare la ricerca.

5.16 Sentinel non restituisce alcun evento correlato quando si effettua la ricerca di eventi relativi alla regola installata utilizzando la ricerca Totale attivazioni di default

Problema: in Sentinel non viene restituito alcun evento correlato quando si cercano tutti gli eventi correlati generati dopo l'installazione o l'abilitazione della regola facendo clic sull'icona accanto a Totale attivazioni nel pannello Statistiche attività della pagina Riepilogo correlazione per la regola. (Bug 912820)

Soluzione: modificare il valore nel campo Da della pagina Ricerca evento impostando un orario precedente a quello popolato nel campo e fare nuovamente clic su Cerca.

5.17 Nel dashboard di Security Intelligence viene visualizzata una durata non valida quando si rigenera la linea di base

Problema: quando si rigenera la linea di base di Security Intelligence, le relative date iniziale e finale sono errate e viene visualizzato il valore 1/1/1970. (Bug 912009)

Soluzione: al termine della rigenerazione della linea di base le date vengono aggiornate correttamente.

5.18 Il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione quando si effetua una ricerca

Problema: quando si effetua una ricerca, il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione. (Bug 913599)

Soluzione: creare policy di permanenza affinché nel corso di una giornata siano aperte almeno due partizioni. L'utilizzo di più partizioni aperte contribuisce a ridurre il numero di eventi indicizzati nelle partizioni stesse.

Si possono creare policy di permanenza che filtrino gli eventi in base al campo estzhour utilizzato per controllare l'orario della giornata. È quindi possibile creare una policy di permanenza utilizzando estzhour:[0 TO 11] come filtro e un'altra con estzhour:[12 TO 23].

Per ulteriori informazioni, vedere Configuring Data Retention Policies (Configurazione delle policy di permanenza dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel).

5.19 Errore dello script report_dev_setup.sh quando si configurano le porte di Sentinel per le eccezioni del firewall nelle installazioni di upgrade dell'applicazione Sentinel

Problema: in Sentinel viene visualizzato un errore quando si utilizza lo script report_dev_setup.sh per configurare le porte di Sentinel per le eccezioni del firewall. (Bug 914874)

Soluzione: configurare le porte di Sentinel per le eccezioni del firewall eseguendo le operazioni seguenti:

  1. Aprire il file /etc/sysconfig/SuSEfirewall2.

  2. Modificare la riga seguente:

    FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"

    come segue

    FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"

  3. Riavviare Sentinel.

5.20 Le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host

Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715)

Soluzione: non è ancora disponibile una soluzione.

5.21 Nel browser Web viene visualizzato un errore quando si esportano i risultati delle ricerche effettuate in Sentinel

Problema: quando si esportano i risultati delle ricerche effettuate in Sentinel, il browser Web potrebbe visualizzare un errore se si modificano le impostazioni della lingua del sistema operativo. (Bug 834874)

Soluzione: per esportare correttamente i risultati delle ricerche, eseguire una delle operazioni seguenti:

  • Durante l'esportazione dei risultati della ricerca, rimuovere eventuali caratteri speciali (non inclusi nei caratteri ASCII) dal nome del file di esportazione.

  • Abilitare UTF-8 nelle impostazioni della lingua del sistema operativo, riavviare il computer e il server Sentinel.

5.22 Impossibile visualizzare più di un risultato dei rapporti contemporaneamente

Problema: mentre si attende l'apertura del PDF dei risultati dei rapporti, specialmente i risultati di rapporti relativi a un milione di eventi, se si seleziona un altro PDF relativo ad altri risultati dei rapporti per visualizzarne i contenuti, i risultati non vengono visualizzati. (Bug 804683)

Soluzione: fare nuovamente clic sul secondo PDF dei risultati dei rapporti per visualizzarlo.

5.23 Quando la modalità FIPS 140-2 è abilitata, per Gestione agenti è necessario utilizzare l'autenticazione SQL

Problema: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452)

Soluzione: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, utilizzare l'autenticazione SQL per Gestione agenti.

5.24 Durante l'installazione di Sentinel con configurazione ad alta disponibilità in modalità non FIPS 140-2 viene visualizzato un errore

Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente:

/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments 

(Bug 810764)

Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2.

5.25 Imprecisioni nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo

Problema: quando l'orologio del computer dell'interfaccia principale di Sentinel è indietro rispetto a quello del server Sentinel, l'interfaccia principale di Sentinel visualizza numeri negativi nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo. Vale a dire che se l'orologio dell'interfaccia principale di Sentinel è impostato alle 13:30 e il server Sentinel è impostato alle 14:30, in queste colonne sono visualizzati numeri negativi. (Bug 719875)

Soluzione: assicurarsi che l'ora del computer utilizzato per accedere all'interfaccia principale di Sentinel sia la stessa o successiva a quella del computer del server Sentinel.

5.26 Nell'evento di revisione IssueSAMLToken vengono visualizzate informazioni errate sul dashboard di Security Intelligence

Problema: quando si esegue il login al dashboard di Security Intelligence e si cerca l'evento di revisione IssueSAMLToken, il nome host (InitiatorUserName) o l'indirizzo IP (SourceIP) vengono visualizzati in modo errato nell'evento di revisione IssueSAMLToken. (Bug 870609)

Soluzione: non è ancora disponibile una soluzione.

6.0 Informazioni di contatto

NetIQ desidera fornire tutta la documentazione necessaria per indicare le soluzioni più appropriate alle esigenze degli utenti. Per suggerimenti relativi a miglioramenti, inviare un'e-mail all'indirizzo Documentation-Feedback@netiq.com. La collaborazione degli utenti è una fonte preziosa e saremo lieti di ricevere qualsiasi suggerimento.

Per informazioni di contatto dettagliate, vedere il sito Web delle informazioni di contatto del supporto tecnico.

Per informazioni relative al prodotto o di carattere più generale sull'azienda, vedere il sito Web di NetIQ Corporate.

Per conversazioni interattive con colleghi ed esperti NetIQ, è necessario diventare un membro attivo della nostra comunità. La comunità online di NetIQ fornisce informazioni sui prodotti, collegamenti utili a risorse preziose, blog e canali social media.