Sentinel 7.3.2リリースノート

問題: 相関イベントがインシデントにリンクされており、Sentinelコントロールセンター(SCC)のその相関イベントで［View Triggers］ (トリガの表示)を選択すると、Sentinel Webインタフェースでは、イベントが表示される前に例外が表示されます。(BUG 846198)

修正: Sentinel Webインタフェースで、例外が発生することなく、トリガが表示されるようになりました。

問題: 表示するユーザIDの数が多すぎる場合、Sentinel Webインタフェースが応答しなくなります。(BUG 895636)

修正: Sentinelは、検索ごとに一定の数のユーザIDを表示するようになりました。IDの検索結果を絞り込むには、［ユーザ検索］フィールドにいずれかのIDパラメータを指定して検索クエリを設定し直すか、［詳細検索］オプションを使用します。

問題: 2つの異なるSentinelサーバからSCCを起動すると、SCCを起動するのに使用した最初のSentinelサーバのSentinelプロキシサーバ証明書が、2番目のSentinelプロキシサーバ証明書で上書きされます。(BUG 887468)

修正: Sentinelは、SCCのログインに使用するSentinelサーバのIPアドレスを証明書と共に保存するようになったため、すでに1回ログインしたことのあるそれらのサーバで証明書のプロンプトが表示されなくなりました。

問題: 一定の期間にSentinelエージェントマネージャデータベースで多数のエージェントからの属性を受信する場合、それらの属性がSentinelデータベースに同期されません。(BUG 926763)

修正: Sentinelには、SentinelデータベースとSentinelエージェントマネージャデータベース間に微調整された同期メカニズムが備わるようになりました。

問題: イベントソースノードの最大値を超過すると、Sentinelではサマリに基づくレポートが生成されず、これらのレポートを実行しようとするとログファイルに例外が書き込まれます。(BUG 928211)

修正: Sentinelは多数のイベントソースノードを効率的に処理できるようになりました。

問題: Sentinelで、データバッファの場所にユーザが作成したファイルが含まれる場合、イベントデータの処理と保存が正常に行われない可能性があります。(BUG 930827)

修正: Sentinelでは、データバッファの場所にあるユーザが作成したすべてのファイルが定期的に削除され、イベントデータを正常に処理して保存できるようになりました。

問題: ブラウザの言語が英語以外の言語に設定されている場合、Sentinel Webインタフェースの一部の要素が正常に表示されない可能性があります。(BUG 932663およびBUG 940674)

修正: Sentinel Webインタフェースで、サポートされるすべての言語ですべての要素が正常に表示されるようになりました。

問題: Firefox 37.0.4以降のバージョンを使用している場合、ログアウト中にSentinelでエラーメッセージが表示されます。ただし、このエラーは機能には影響しません。(BUG 935309)

修正: Sentinel Webインタフェースは、ログアウト要求を正常に処理し、ログアウト中にエラーメッセージが表示されなくなりました。

問題: Sentinelで、SCCのダイナミックリストから、または相関アクションにより、文字列要素を削除できません。(BUG 939244)

修正: Sentinelは、ダイナミックリストファイルから文字列要素を削除できるようになりました。

問題: スケジュールされた保存済みの検索を使用して、日付範囲による検索を実行すると、検索結果が不完全になります。(BUG 940604)

修正: Sentinelで、すべての時間範囲の保存済みの検索の検索結果全体が表示されるようになりました。

問題: Sentinel Webインタフェースの［レポートの作成］を使用して作成されたレポートのスケジュールされたレポートジョブを編集できません。Sentinelで、それらのスケジュールされたレポートジョブを編集しようとすると、エラーメッセージが表示されます。(BUG 940785)

修正: Sentinel Webインタフェースの［レポートの作成］を使用して作成されたレポートのスケジュールされたレポートジョブを編集できるようになりました。

問題: 相関ルールは、下線文字(_)を含む名前のイベントフィールドを許可しません。(BUG 940829)

修正: 相関ルールは、下線文字を含む名前のイベントフィールドを許可します。

問題: アップグレード中に、Sentinelはwrapper.java.additional.49などのserver.confファイルの一部のプロパティのカスタム設定値を上書きします。(BUG 941071)

修正: アップグレードする前に次の手順を実行することにより、カスタム設定情報を保存できるようになりました。

問題: アップグレードする前に、Sentinelシステムで多数のフィルタ評価式がある長い相関ルールを展開した状態で使用している場合、Sentinelをバージョン7.3.1にアップグレードするとSentinelサーバ、Webインタフェース、リモート相関エンジンが起動しません。

修正: 複雑な相関ルールが存在するとしても、アップグレードした後、Sentinelサーバと他のコンポーネントが正常に起動するようになりました。複雑な相関ルールを作成して展開できるようになりました。

問題: 検索範囲の日数が多い検索を実行するとSentinelサーバのメモリが不足してシャットダウンすることがあり、検索結果は50000より少ない数になります。(BUG 943943)

修正: Sentinel 7.3.2では、範囲日数の多い検索実行中のメモリ使用が改善されています。

問題: イベントに無効な日付範囲が含まれる場合、SentinelとOracleデータベース間のデータ同期が失敗します。たとえば、未来の日付の年を22015と指定した場合です。(BUG 925772)

修正: データ同期がシームレスに実行されます。無効な日付範囲が含まれるイベントが検出されると、Sentinelはそれらのイベントをログファイルにログ記録して、同期イベントの次のバッチで処理します。

問題: デフォルト値が15分に指定されたアイドルタイムアウト期間を、Sentinelのレポート生成プロセスで設定します。多くの場合、いくつかのテナントが存在する環境など、大量のデータを含むレポートではプロセスが15分で完了しないため、レポートジョブが突然キャンセルされます。(BUG 941612)

修正: 次の手順を実行することにより、レポート生成のアイドルタイムアウト期間の値を設定できます。

問題: レポートクエリに文字列overが含まれる場合、レポート生成プロセスが停止します。たとえば、クエリ(evt:"recovery")を含むレポートを作成できません。(BUG 939902)

修正: レポートクエリに文字列overが含まれる場合でも、レポートが正常に生成されます。

問題: マップに依存する相関ルールを作成して、リモート相関エンジンに展開すると、マップの変更時にSentinelは次の警告メッセージをログ記録します。

修正: マップに依存する相関ルールに対して、Sentinelは警告メッセージをログ記録しません。

問題: イベント検索で、過去30日間など、微調整されたイベント検索クエリを指定すると、Sentinelにイベントデータが表示されません。(BUG 947867)

修正: Sentinelで、微調整されたイベント検索に対して正しいデータが表示されるようになりました。

問題: イベントフィールドマッピングを使用して作成されたマッピングが、Sentinelをバージョン7.3.1にアップグレードした後に正常に動作しません。(BUG 944251)

修正: Sentinelは、バージョン7.3.1にアップグレードする前に作成されたすべてのマップを再生成し、バージョン7.3.1にアップグレードした後にイベントマッピングが正常に動作するようになりました。

問題: コンテンツパレットウィンドウで、括弧で囲まれていないinlistの用語を含む相関ルールを選択すると、Solution DesignerでNULLポインタ例外エラーが表示されます。(BUG 938039)

修正: 括弧で囲まれていないinlistの用語を含む相関ルールが正常に処理されます。

問題: Sentinelにおいて、［ユーザ］ブラウザでの検索にポーランド語を使用すると結果が表示されません。(BUG 943261)

修正: Sentinelにおいて、［ユーザ］検索でポーランド語が認識され、適切な結果が表示されるようになりました。

問題: Sentinelのバージョンを7.3.1にアップグレードした後、ダイナミックリストにリスト要素が含まれていても、SCCやWebインタフェースのダイナミックリストのリスト要素が表示されません。(BUG 947622)

修正: Sentinelで、WebインタフェースやSCCのダイナミックリスト要素が正常に表示されるようになりました。

問題: 相関ナビゲーションパネルで、括弧と相関ルールの数を示す数字の間のスペースが矛盾しています。(BUG 948088)

修正: 相関ナビゲーションパネルのスペースが整合しています。

問題: Sentinel 7.3.1に組み込まれたセキュリティ脆弱性の修正により、セキュリティ保護接続のための通信メカニズムに変更が加えられました。この変更はSentinel UNIXエージェント7.4と互換性がありません。そのため、SentinelはSentinel UNIXエージェント7.4からのイベントを受け取ることができません。(BUG 953990)

解決策: 現時点で解決策はありません。この問題は、互換性のあるSentinel UNIXエージェントのバージョンが入手できるようになったときに解決されます。

問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(BUG 924874)

解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。

問題: Sentinelアプライアンスをバージョン 7.3.1以降にした後、NFSをセカンダリストレージの場所として設定しようとすると、Sentinelがエラーを表示します。(BUG 934851)

解決策: Sentinelアプライアンスをアップグレードした後、次のコマンドを使用してSLESオペレーティングシステムを再起動します。

問題: Sentinelをアップグレードし、Sentinelサーバを起動すると、次の例外がサーバログに記録されます。

解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。

問題: Sentinelは、Secure Configuration Managerとの通信にDiffie-Hellmanプロトコルを使用します。Logjamの脆弱性の修正の一部として、SentinelでのDiffie-Hellmanプロトコル用証明書キーサイズが大きくされ、2048になりました。しかし、Secure Configuration Managerでは、デフォルトの証明書キーサイズ(1024)が使用されています。この不一致のため、Secure Configuration ManagerがSentinelと通信できなくなります。(BUG 935987)

解決策: Secure Configuration Managerの修正が利用できるようになるまでは、以下の手順を実行できます。

問題: Bar Mitzvah脆弱性のための修正の一部として、Sentinelでは、Webサーバ上で有効にされているSSLポート上のRC4暗号化を無効にしていました。しかし、Change Guardianは、Sentinelとの通信にRC4暗号化を使用します。したがって、Change GuardianはSentinelと通信できなくなります。(BUG 935401)

解決策: Change Guardianの修正が利用可能になるまでは、以下の手順を実行できます。

問題: SentinelがChange Guardian 4.1と統合されていると、Change Guardianイベントを受信するように構成されていたとしても、Change Guardianデルタ添付情報が表示されない。(BUG 936704)

解決策: Change Guardianをバージョン4.1.1以降にアップグレードします。

問題: SentinelリンクコネクタにBar Mitzvahセキュリティ脆弱性がある。Sentinelリンクコネクタでは、SSLおよびTSLプロトコルでRC4アルゴリズムが使用されており、そのためにストリームの先頭バイトに対するプレーンテキスト回復攻撃が可能になる場合があります。詳細については、CVE-2015-2808を参照してください。(BUG 933741)

解決策: Sentinelリンクコネクタバージョン2011.1r4以降でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。

問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(BUG 880564)

解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。

問題: Sentinelエージェントマネージャは、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ構成の値を無視して、ファイルサイズが10 MBに達すると生データファイルへの書き込みを停止します。(BUG 867954)

解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinelエージェントマネージャが新しいデータを書き込めるようになります。

問題: Sentinel 7.3のアップグレードされたインストール環境で、Webインタフェースのヒントテーブルのアラート属性を検索すると、検索はアラートフィールドの完全なリストを返しません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(BUG 914755)

解決策: 現時点で解決策はありません。

問題: 目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy」で詳細情報を参照してください。(BUG 913014)

解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。

問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(BUG 908666)

解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。

問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する［イベントフィールド］パネルがスケジュールページにありません。(BUG 900293)

解決策: Sentinelをアップグレードしたら、スケジュールページに［イベントフィールド］パネルが表示されるように、検索を再作成して再スケジュールします。

問題: ルールの相関要約ページの［アクティビティ統計情報］パネルの［起動回数］の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(BUG 912820)

解決策: イベント検索ページの［開始］フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び［検索］をクリックします。

問題: FIPS 140-2モードで実行されているSentinelが、Change Guardianイベントを受け取るように構成されていても、ユーザがChange Guardianイベントを検索したり、［Change Guardian］アイコンをクリックしたりするときに、Change Guardianデルタの添付情報を表示しません。Change Guardianバージョン4.2より前のリリースは、FIPS 140-2互換モードでのイベント送信をサポートしていません。(BUG 912230)

解決策: 現時点で解決策はありません。

問題: Sentinel 7.3にアップグレードすると、IBM DB2 JDBCドライバが削除されるため、DB2データベースのデータ収集およびデータ同期が失敗します。(BUG 909343)

解決策: Sentinel 7.3にアップグレードした後、正しいJDBCドライバを追加して、データ収集とデータ同期が行われるように構成するには、次の手順を実行します。

問題: アラートビューで［すべて選択］をクリックしてアラートを選択し、いくつかを選択解除し、そしてアラートを変更すると、更新されたアラートビューで新着アラートも選択されています。変更するために選択したアラート数が間違っているだけでなく、新しい着信アラートも変更されているように見えてしまいます。しかし、初めに選択したアラートのみが変更されています。(BUG 904830)

解決策: カスタムの時間範囲でアラートビューを作成すると、新着アラートがアラートビューに表示されません。

問題: 毎秒あたりのイベント数(EPS)の高いロードがあるSentinelシステムに、過去のセキュリティインテリジェンス(SI)データをロードしようとすると時間がかかります。(BUG 908599)

解決策: 過去データを含むセキュリティインテリジェンスダッシュボードを作成する場合、可能であれば、システムのロードが少ないときにダッシュボードを展開するようにしてください。現時点ではほかの解決策はありません。

問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(BUG 912009)

解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。

問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(BUG 913599)

解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。

問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(BUG 914874)

解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。

問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートコレクタマネージャがイベントを送信するとEPSが50%減少します。(BUG 906715)

解決策: 現時点で解決策はありません。

問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(BUG 915241)

解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。

問題: 非ルートユーザによってインストールされ、FIPS 140-2モードで構成された、Sentinelのカスタムインストールから、Sentinel 7.3にアップグレードすると、セキュリティインテリジェンスデータベースおよびアラートダッシュボードが起動しない場合があります。(BUG 916285)

解決策: 次の手順を実行します。

問題: Sentinelアプライアンスのインストール時にネットワークインタフェースがデフォルトで構成されません。(BUG 867013)

解決策: ネットワークインタフェースを構成するには、次のようにします。

問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(BUG 834874)

解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。

問題: セカンダリストレージにデータが保持されている日数が、プライマリストレージにデータが保持されている日数より少ない場合、Sentinelはプライマリストレージのディスクスペースを効率的に使用しません。スペースを確保するためにセカンダリストレージから削除されたパーティションは、プライマリストレージからも削除されます。(BUG 860888)

解決策: オンラインにしておく(検索可能にする)合計日数分のデータを保持できるだけの、十分な容量をセカンダリストレージに割り当てます。

問題: ディスク容量が2TBを超えるシステムで、Sentinelがインストール後に自動で起動しないことがあります。(BUG 846296)

解決策: ワンタイムアクティビティとして、次のコマンドを指定し、Sentinelサービスを手動で開始してください。

問題: Sentinelアプライアンスのインストールで、KerberosモジュールにKerberos認証を設定すると、Kerberosクライアントの環境設定が成功したという確認メッセージがコンソールに表示されます。しかし、Kerberosモジュールを再度表示すると、［Enable Kerberos Authentication］の選択が解除されています。(BUG 843623)

解決策: 現時点で解決策はありません。

問題: リモートコレクタマネージャのインストール時に、「$」、「"」、「\」、または「/」などの特殊文字が含まれているパスワードを指定すると、インストールが失敗してエラーになります。(BUG 812111)

解決策: リモートコレクタマネージャのパスワードに特殊文字を使わないようにします。

問題: リモートコレクタマネージャアプライアンスを再起動すると、UDPポートに接続しているSyslogイベントソースの接続が切断されます。(BUG 795057)

解決策: 現時点で利用可能な解決策はありません。

問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(BUG 804683)

解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。

問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(BUG 814452)

解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。

問題: FIPS 140-2モードが有効である場合、Sentinel高可用性インストールを実行すると、次のエラーが表示されます。

解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性の環境設定はFIPS 140-2モードで正常に動作します。

問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。

解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。

問題: アップグレードパッケージのベンダがNovellからNetIQに変更されたため、Sentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗します。(BUG 780969)

解決策: アプライアンスのアップグレードにはzypperコマンドを使用してください。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード」を参照してください。

問題: 同じ名前の相関ルールがすでにシステムに存在する場合、ソリューションマネージャで相関ルールがインストールされない。NullPointerExceptionエラーがコンソールのログに記録されます。(BUG 713962)

解決策: すべての相関ルールに固有の名前を付けるようにしてください。

問題: WebインタフェースからSentinelリンクアクションを実行すると、Sentinelコントロールセンターから実行したSentinelリンクコネクタのインテグレータテストが失敗しても、Sentinelに成功メッセージが表示される。(BUG 710305)

解決策: 現時点で解決策はありません。

問題: セキュリティインテリジェンスダッシュボードとアノマリー定義に同じ名前が付いていると、［アノマリーの詳細］ページでダッシュボードリンクが無効になります。(BUG 715986)

解決策: ダッシュボードとアノマリー定義を作成するときは、固有の名前を使用してください。

問題: Sentinel WebインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れていると、Sentinel Webインタフェースで［アクティブな検索ジョブ］の［期間］と［アクセス］列に負の数字が表示される。たとえば、Sentinel Webインタフェースのクロックが1:30PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、［期間］と［アクセス］の列に負の数字が表示されます。(BUG 719875)

解決策: Sentinel Webインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。

問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(BUG 870609)

解決策: 現時点で解決策はありません。

問題: NetIQ Identity Manager Designerがクライアントコンピュータにインストールされており、DesignerがシステムJREを使用する場合、Sentinelコントロールセンターが起動しません。Designerは、xml-apis.jarなどのサポートしているいくつかのjarファイルをlib/endorsedディレクトリに追加する必要があります。xml-apis.jarファイル内のいくつかのクラスによって、Sentinelコントロールセンターが使用するシステムJRE内の対応するクラスが上書きされます。(BUG 888085)

解決策: 独自のJREを使用するようにDesignerを構成します。

問題: イベントデータの収集中、SentinelエージェントマネージャはNULL値のWindows挿入文字列フィールドをキャプチャしません。(BUG 838825)

解決策: 現時点で解決策はありません。