Sentinel 8.0リリースノート

問題: 高可用性モードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを取り込みません。その結果、検索とイベント視覚化ダッシュボードにエラーが表示されます。

解決策: Elasticsearchセキュリティプラグインをインストールした後に、Elasticsearchクラスタの各ノードで、次の手順を実行します。

問題: SSDMの環境で、デフォルトオプションを指定してタイルマップの視覚化を作成する場合、Kibanaに関する問題により、イベント視覚化ダッシュボードで新しいタイルマップの視覚化が機能しません。Kibana問題の詳細については、https://github.com/elastic/kibana/issues/7717を参照してください。(バグ1001909)

解決策: 新しいタイルマップ視覚化を作成するときに、［オプション］の下で［WMS準拠マップサーバ(WMS compliant map server)］を選択します。

問題: Kibanaに関する問題により、Internet Explorer 11でイベント視覚化ダッシュボードを開くことが妨げられます。(バグ981308)

解決策: 視覚化ダッシュボードを表示または変更するには、別のブラウザを使用します。

問題: FIPSモードでSLES 11 SP4オペレーティングシステムが実行されているコンピュータ上にSentinelをインストールしようとすると、インストールプロセスが失敗します。(バグ990201)

解決策: オペレーティングシステムがFIPSモードでないことを確認してから、次の手順を実行します。

問題: Sentinelで、Sentinel Link Connectorからイベント受信することができません。(バグ989784)

解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、プレビューバージョンのConnectorをプレビューセクションからダウンロードできます。

問題: NetIQ eDirectory Instrumentationは、プラットフォームエージェントを介して監査コネクタに接続できません。その結果、Sentinelでは、eDirectoryからイベントを受信できません。この問題が発生する原因は、Sentinel 8.0で使われているJava 8 update 77で非推奨となったMD5 RSA証明書アルゴリズムをeDirectory Instrumentationが使用しているためです。(バグ985312)

解決策: eDirectoryインストラメンテーションでカスタム証明書を使用できるようにするには、NetIQ Knowledgebase Article 7017764に記載されている手順を実行してください。

問題: Sentinel 7.4 SP1でパスワードのストレージが変更になったため、7.4 SP1より前のバージョンからアプライアンスをアップグレードするときに、次のエラーが表示されます。

解決策: この警告は予期されるものであり、無視してかまいません。アップグレードに影響はありません。

問題: SSDMを有効にした後、Sentinelのメインインタフェースにログインすると、ブラウザに空白のページが表示されます。(バグ1006677)

解決策: ブラウザを閉じ、Sentinelのメインインタフェースに再ログインします。この問題は、SSDMを有効にした後、Sentinelのメインインタフェースに初めてログインしたときに、1回限り発生します。

問題: com.novell.sentinel.spark.StreamingEventIndexerジョブがIPv6をサポートしていません。イベントにIPv6アドレスが含まれている場合、ジョブは失敗します。(バグ1006975)

解決策: これを回避するには、IPの種類を文字列に変更します。この変更を行うには、テクニカルサポートにお問い合わせください。

問題: スケーラブルストレージを有効にした後、SSDMのサーバログに、次のメッセージの複数のインスタンスが表示されます。

解決策: これらのメッセージは、無視しても安全です。機能的な影響はありません。

問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。

解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。

問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)

解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。

問題: SentinelリンクコネクタにBar Mitzvahセキュリティ脆弱性がある。Sentinelリンクコネクタでは、SSLおよびTSLプロトコルでRC4アルゴリズムが使用されており、そのためにストリームの先頭バイトに対するプレーンテキスト回復攻撃が可能になる場合があります。詳細については、CVE-2015-2808を参照してください。(バグ933741)

解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、コネクタをプレビューセクションからダウンロードできます。

問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(バグ880564)

解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。

問題: Sentinel Agent Manager 7.3は、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ設定の値を無視して、ファイルサイズが10MBに達すると生データファイルへの書き込みを停止します。(バグ867954)

解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinelエージェントマネージャが新しいデータを書き込めるようになります。

問題: Sentinelのアップグレードされたインストール環境で、Sentinelのメインインタフェースのヒントテーブルのアラート属性を検索すると、アラートフィールドの完全な一覧が返されません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)

解決策: 現時点で解決策はありません。

問題: 目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy」で詳細情報を参照してください。(バグ913014)

解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。

問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)

解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。

問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する［イベントフィールド］パネルがスケジュールページにありません。(バグ900293)

解決策: Sentinelをアップグレードしたら、スケジュールページに［イベントフィールド］パネルが表示されるように、検索を再作成して再スケジュールします。

問題: ルールの相関要約ページの［アクティビティ統計情報］パネルの［起動回数］の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(バグ912820)

解決策: イベント検索ページの［開始］フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び［検索］をクリックします。

問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)

解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。

問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)

解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。

問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)

解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。

問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)

解決策: 現時点で解決策はありません。

問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(バグ915241)

解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。

問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(バグ834874)

解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。

問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)

解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。

問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)

解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。

問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。

解決策: このエラーは予期されるものであり、無視してかまいません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。

問題: SentinelのメインインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れている場合、Sentinelのメインインタフェースの［アクティブな検索ジョブ］の［期間］列と［アクセス］列に負の数値が表示されます。たとえば、Sentinelのメインインタフェースのクロックが1:30 PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、［期間］列と［アクセス］列に負の数値が表示されます。(バグ719875)

解決策: Sentinelのメインインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。

問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)

解決策: 現時点で解決策はありません。