Sentinel 8.0 SP1パッチアップデート1では、以前の問題のいくつかが解決されています。このパッチアップデートは、Sentinelの従来型インストールでのみ使用可能です。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「NetIQ Communities」のSentinelフォーラムからお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、NetIQ Documentationページに掲載されている本マニュアルのHTML版で、各ページのコメントアイコンをクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
次のセクションでは、本リリースの主な機能と拡張、さらに解決された問題について概説します。
Sentinel 8.0 SP1パッチアップデート1では、Tenable Network Security社のJacob Baines氏が発見した脆弱性CVE-2016-1000031を解決する修正が提供されます。これらの修正は、以前にリリースされた更新プログラムへの追加です。これらのセキュリティ脆弱性を発見して報告してくださったJacob Baines氏に感謝いたします。
Sentinel 8.0 SP1パッチアップデート1には、いくつかの問題を解決するソフトウェア修正が含まれています。
問題: イベントのすべての詳細を表示すると、日付と時刻の形式が誤ってUTC(協定世界時)形式になります。(バグ1031523、バグ1034531)
修正: イベントの詳細フィールドで、すべての日付がブラウザで指定したロケールに固有の形式で表示されるようになりました。
問題: Sentinel 8.0以降をアップグレードする際に、インストーラで次のエラーが表示されます。
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected
(バグ1025512)
修正: アップグレードプロセス中にこのエラーは発生しなくなりました。
問題: 検索条件を変更して、[開始時刻]、[終了時刻]、または[Sentinel Process Time (Sentinel処理時間)]を選択すると、検索結果が無効になります。(バグ894421)
修正: 検索条件を編集するときに[開始時刻]、[終了時刻]、または[Sentinel Process Time]オプションは使用できなくなりました。
問題: 複数のデータベースコレクタのあるCollector Managerコンピュータ上でSentinelサービスを再起動した場合に、一部のコレクタでイベントソースに再接続できません。(バグ1015375)
修正: Sentinelサービスを再起動した後、すべてのコレクタが再接続するようになりました。
問題: /SentinelRESTServices/objects/alert/count APIを実行すると、複数のアラートがある場合でも、常に0が返されます。(バグ1028317)
修正: /SentinelRESTServices/objects/alert/count APIが、正しいアラート数を返すようになりました。
問題: 要素の値にバックスラッシュが含まれている場合、Control Centerでダイナミックリストから要素を削除することができません。(バグ1027494)
修正: Control Centerで、バックスラッシュを含む要素値をダイナミックリストから削除できるようになりました。
問題: ベースラインとの差異がある場合に電子メール通知を送信するようにアノマリ定義を設定すると、Sentinelが電子メールを送信できず、IllegalStateExceptionエラーが返されます。(バグ816622)
修正: Sentinelは電子メールを正しく送信するようになりました。
問題: CSVファイルに検索を保存するときに、指定したフィールドの順序がCSVファイルで維持されません。(バグ979916)
修正: CSVファイルに検索を保存するときに、指定したフィールドの順序がCSVファイルで維持されるようになりました。
問題: 現在の日付範囲を指定して実行するようにレポートをスケジュールする場合に、[開始日]が将来の日付であると、レポートが失敗します。(バグ914094)
修正: 時刻が正しく同期されていないイベントソースをレポートするために、Sentinelで[開始日]を将来の日付に設定できるようになりました。Sentinelでは、レポートの実行時にエラーが発生しなくなりました。
ハードウェア要件、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、Sentinel技術情報ページを参照してください。
Sentinel 8.0 SP1パッチアップデート1は、Sentinelの従来型インストールに対してのみ使用できます。
Sentinel 8.0 SP1パッチアップデート1には、次のSentinelバージョンからアップグレードできます。
Sentinel 8.0以降
Sentinel 7.4以降からSentinel 7.4 SP4ホットフィックス1まで
Patch FinderのWebサイトからパッチアップデートをダウンロードしてください。Sentinel 8.0 SP1パッチアップデート1へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』の「Sentinelのアップグレード
」を参照してください。
メモ:Sentinel Link Connectorを使用する場合は、バージョン2011.r4にアップグレードする必要があります。このバージョンには、Sentinel 8.0.1以降との互換性の問題に対処するソフトウェアの修正が含まれています。
Sentinel Scalable Data Manager (SSDM)をアップグレードした後は、更新されたSparkファイルも考慮に入れるために、Sparkアプリケーションを再送信する必要があります。Sparkは、Sparkアプリケーションが再送信されるまでの期間に受信するすべてのイベントを処理しません。この問題を回避するには、NetIQ Knowledge Base Article 7018726に記載されている手順を実行してください。
Sentinel 8.0 SP 1パッチアップデート1は、Change Guardian 4.2以降と互換性があります。
アップグレードする前に、ご使用の環境でこのバージョンのSentinelと互換性のあるバージョンのChange Guardianが実行されていない場合は、まずChange Guardianのサーバ、エージェント、およびポリシーエディタをバージョン4.2以降にアップグレードする必要があります。
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
Sentinelに含まれているJava 8のアップデートは、次のプラグインに影響を与える可能性があります。
Cisco SDEEコネクタ
SAP (XAL)コネクタ
Remedy Integrator
これらのプラグインの問題について、NetIQが標準の欠陥処理ポリシーに従って問題の優先度を定め、修正します。サポートポリシーの詳細については、サポートポリシーを参照してください。
セクション 4.1, HAモードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに正しくデータを取り込まない
セクション 4.3, アクティブノードをFIPS 140-2モードに変換した後、Sentinelの高可用性で同期を手動で開始する必要がある
セクション 4.8, 7.4 SP1より前のバージョンからSentinelアプライアンスをアップグレードするときに誤った警告が表示される
セクション 4.9, Sentinelスケーラブルデータマネージャに変換した後、Sentinelのメインインタフェースに空白のページが表示される
セクション 4.12, Sentinelを7.3 SP1より前のバージョンから7.3 SP1以降のバージョンにアップグレードするときのSentinelサーバログの例外
セクション 4.14, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 4.19, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 4.20, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
セクション 4.22, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 4.23, FIPS 140-2モードのSentinelが、セキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできない
セクション 4.27, 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 4.29, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
問題: 高可用性モードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを取り込みません。その結果、検索とイベント視覚化ダッシュボードにエラーが表示されます。(バグ1012251)
解決策: Elasticsearchセキュリティプラグインをインストールした後に、Elasticsearchクラスタの各ノードで、次の手順を実行します。
ElasticsearchをインストールしたユーザとしてElasticsearchノードにログインします。
次のように、HAクラスタの各アクティブノードとパッシブノードの物理IPアドレスのエントリを<Elasticsearchのインストールディレクトリ>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txtファイルに追加します。
<クラスタノード物理IP>:<ターゲットElasticsearch HTTPポート>
各エントリを新しい行に追加し、ファイルを保存します。
次のように、<Elasticsearchインストールディレクトリ>/plugins/elasticsearch-security-plugin/plugin-configuration.propertiesファイルで、authServer.hostプロパティをHAクラスタの仮想IPアドレスに設定します。
authServer.host=<クラスタ仮想IP>
Elasticsearchを再起動します。
問題: アップグレード後に、Sentinelでアラートダッシュボードが表示されません。この問題は、アップグレード中にアラートダッシュボード関連の一時ディレクトリをSentinelが削除しないために発生します。(バグ984796)
解決策: 次の手順を実行することにより、一時ファイルを手動で削除します。
Sentinelサーバにnovellユーザとしてログインします。
次のようにして、webappsディレクトリに切り替えます。
cd /var/opt/novell/sentinel/3rdparty/jetty/webapps/
次のようにして、sentinel-elasticsearch-proxy.tmpディレクトリを削除します。
rm -rf sentinel-elasticsearch-proxy.tmp
次のようにして、contextsディレクトリに切り替えて、sentinel-elasticsearch-proxy.xmlファイルのタイムスタンプを更新します。
cd /etc/opt/novell/sentinel/3rdparty/jetty/contexts/
touch sentinel-elasticsearch-proxy.xml
Sentinelのメインインタフェースを更新して、アラートダッシュボードを表示します。
問題: Sentinel HAでアクティブノードをFIPS 140-2モードに変換すると、すべてのパッシブノードをFIPS 140-2モードに変換するための同期が完全に実行されません。同期を手動で開始する必要があります。(バグ1014472)
解決策: 次のようにして、すべてのパッシブノードをFIPS 140-2モードに手動で同期します。
アクティブノードにルートユーザとしてログインします。
/etc/csync2/csync2.cfgファイルを開きます。
次の行を変更します。変更前:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
変更後:
include /etc/opt/novell/sentinel/3rdparty/nss;
csync2.cfgファイルを保存します。
次のコマンドを実行して、手動で同期を開始します。
csync2 -x -v
問題: SSDMの環境で、デフォルトオプションを指定してタイルマップの視覚化を作成する場合、Kibanaに関する問題により、イベント視覚化ダッシュボードで新しいタイルマップの視覚化が機能しません。Kibana問題の詳細については、https://github.com/elastic/kibana/issues/7717を参照してください。(バグ1001909)
解決策: 新しいタイルマップ視覚化を作成するときに、[オプション]の下で[WMS準拠マップサーバ(WMS compliant map server)]を選択します。
問題: Kibanaに関する問題により、Internet Explorer 11でイベント視覚化ダッシュボードを開くことが妨げられます。(バグ981308)
解決策: 視覚化ダッシュボードを表示または変更するには、別のブラウザを使用します。
問題: FIPSモードでSLES 11 SP4オペレーティングシステムが実行されているコンピュータ上にSentinelをインストールしようとすると、インストールプロセスが失敗します。(バグ990201)
解決策: オペレーティングシステムがFIPSモードでないことを確認してから、次の手順を実行します。
Sentinelをインストールします。詳細については、『Sentinelインストールと設定ガイド』の「Sentinelのインストール
」を参照してください。
SentinelサーバをFIPSモードで実行できるようにします。詳細については、『Sentinelインストールと設定ガイド』の「SentinelサーバをFIPS 140-2モードで実行する
」を参照してください。
オペレーティングシステムをFIPSモードで実行できるようにするには、次のコマンドを使用します。
fips=1 /boot/grub/menu.lst
問題: Sentinelで、Sentinel Link Connectorからイベント受信することができません。(バグ989784)
解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、プレビューバージョンのConnectorをプレビューセクションからダウンロードできます。
問題: Sentinel 7.4 SP1でパスワードのストレージが変更になったため、7.4 SP1より前のバージョンからアプライアンスをアップグレードするときに、次のエラーが表示されます。
Failed to set encrypted password
(バグ967764)
解決策: この警告は予期されるものであり、無視してかまいません。アップグレードに影響はありません。
問題: SSDMを有効にした後、Sentinelのメインインタフェースにログインすると、ブラウザに空白のページが表示されます。(バグ1006677)
解決策: ブラウザを閉じ、Sentinelのメインインタフェースに再ログインします。この問題は、SSDMを有効にした後、Sentinelのメインインタフェースに初めてログインしたときに、1回限り発生します。
問題: com.novell.sentinel.spark.StreamingEventIndexerジョブがIPv6をサポートしていません。イベントにIPv6アドレスが含まれている場合、ジョブは失敗します。(バグ1006975)
解決策: これを回避するには、IPの種類を文字列に変更します。この変更を行うには、テクニカルサポートにお問い合わせください。
問題: スケーラブルストレージを有効にした後、SSDMのサーバログに、次のメッセージの複数のインスタンスが表示されます。
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
(バグ1009662)
解決策: これらのメッセージは、無視しても安全です。機能的な影響はありません。
問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。
Invalid length of data object ......
(バグ933640)
解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。
問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)
解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。
問題: Sentinelのアップグレードされたインストール環境で、Sentinelのメインインタフェースのヒントテーブルのアラート属性を検索すると、アラートフィールドの完全な一覧が返されません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)
解決策: 現時点で解決策はありません。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(バグ913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[この基準に一致するイベントのみ]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、NOT sev:[0 TO 5]と入力します。
[システムイベントの表示]を選択します。
[すべてのイベントデータを表示(生データとNetFlowデータを含む)]を選択します。
問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[イベントフィールド]パネルがスケジュールページにありません。(バグ900293)
解決策: Sentinelをアップグレードしたら、スケジュールページに[イベントフィールド]パネルが表示されるように、検索を再作成して再スケジュールします。
問題: ルールの相関要約ページの[アクティビティ統計情報]パネルの[起動回数]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(バグ912820)
解決策: イベント検索ページの[開始]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[検索]をクリックします。
問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)
解決策: 現時点で解決策はありません。
問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(バグ915241)
解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。
問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(バグ834874)
解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。
検索結果をエクスポートする際、エクスポートファイル名から特殊文字(ASCII文字以外)を除く。
オペレーティングシステム言語設定でUTF-8を有効にし、マシンを再起動してから、Sentinelサーバを再起動する。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)
解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。
問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(バグ810764)
解決策: このエラーは予期されるものであり、無視してかまいません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。
問題: SentinelのメインインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れている場合、Sentinelのメインインタフェースの[アクティブな検索ジョブ]の[期間]列と[アクセス]列に負の数値が表示されます。たとえば、Sentinelのメインインタフェースのクロックが1:30 PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、[期間]列と[アクセス]列に負の数値が表示されます。(バグ719875)
解決策: Sentinelのメインインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)
解決策: 現時点で解決策はありません。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
NetIQの保証と著作権、商標、免責事項、保証、輸出、およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およびFIPSコンプライアンスの詳細については、http://www.netiq.com/company/legal/を参照してください。
Copyright © 2017 NetIQ Corporation. All Rights Reserved.