Sentinel 8.1は、新機能が追加され、さらに使いやすくなっており、以前にあった問題もいくつか解決されています。
これらの改善の多くは、お客様から直接ご提案いただいたものです。皆様の貴重なお時間とご意見に感謝いたします。弊社の製品が皆様のご期待に添えるよう、引き続きお力添えを賜りたく存じます。フィードバックは当社オンラインコミュニティ「NetIQ Communities」のSentinelフォーラムからお寄せください。こちらのコミュニティには、製品情報、ブログ、役立つリソースへのリンクなども掲載されています。
本製品のマニュアルは、NetIQ WebサイトからHTML形式およびPDF形式で入手することができます。ログインしなくてもマニュアルページにアクセスできます。マニュアルを改善するためのご提案がございましたら、NetIQ Documentationページに掲載されている本マニュアルのHTML版で、各ページのコメントアイコンをクリックしてください。本製品をダウンロードするには、Sentinel製品のアップグレードWebサイトをご覧ください。
これらのリリースノートの最新バージョンは、『Sentinel 8.1リリースノート』を参照してください。
以下のセクションで、このバージョンの主な特徴と機能、およびこのリリースで解決された問題の概要を示します。
Sentinel 8.1では、Tenable Network Security社のJacob Baines氏が発見した脆弱性CVE-2016-1000031を解決する追加の修正が提供されます。これらのセキュリティ脆弱性を発見して報告してくださったJacob Baines氏に感謝いたします。
Sentinel 8.1には、次の新しい認証方式が導入されています。
Kerberos認証: 秘密鍵暗号化を使用して、強力な認証を提供します。
多要素認証(MFA): 少なくとも2要素の組み合わせを使用する、さらに高度な認証方式です。たとえば、パスワードとトークン、またはスマートカードと指紋の組み合わせがあります。
OAuth認証: ユーザはGoogleやFacebookなどのプロバイダを使用してSentinelにログインできます。
Sentinel 8.1には、次の新しいダッシュボードが導入されています。
セキュリティのヘルスのダッシュボード: 評判の悪いIPアドレス、脆弱性、いずれかの脆弱性が悪用される可能性からの脅威に関連した、システムセキュリティの概要を提供します。このダッシュボードは、システムが安全か、または危害を受けているかに関する情報を含む、システムセキュリティの現在の状態の概要を提供します。
イベントの概要のダッシュボード: すべての着信イベントの概要を提供します。各ウィジェットは、相関イベント、システムイベント、その他、特定の種類の情報を提供します。
Sentinel 8.1には、複数のダッシュボードを管理する機能が導入されました。Sentinelに初めてログインした時点で、[ダッシュボードの管理]が表示されます。この画面からは、次の操作を実行できます。
権限を持っている任意のダッシュボードにアクセスする
新しいダッシュボードを作成する
任意のダッシュボードをホームページとして設定する
[
]で[脅威インテリジェンス]および[イベントの概要]ダッシュボードを利用できるようになったので、これらの機能のユーザインタフェースの冗長性を避けるため、 にある[ ]と[ ]は将来的に非推奨になる予定です。このリリースには、Sentinelのスケーラブルストレージ機能を拡張するいくつかの追加機能が含まれています。
Sentinelスケーラブルデータマネージャ(SSDM)に、次に挙げるSentinel Enterprise機能が含まれるようになりました。
相関
リアルタイムのイベントパターン相関
相関ルールによってトリガされるアクション
アラートの選別と視覚化
ユーザ識別情報データの統合
NetFlowの収集と視覚化
データフェデレーション
Solution Designer
SSDMでは利用できないSentinel Enterpriseのサービスと機能については、『NetIQ Sentinelインストールと設定ガイド』の「スケーラブルストレージの設定
」を参照してください。
スケーラブルストレージ機能を使用するためにSentinelの新規インストールを実行する必要はなくなりました。Sentinelのアップグレードインストールでも、スケーラブルストレージを有効化できます。スケーラブルストレージの有効化については、『NetIQ Sentinel Administration Guide』の「Enabling Scalable Storage
」を参照してください。
スケーラブルストレージを使用するSentinelで従来のストレージにある既存のデータを活用する場合、従来のストレージからスケーラブルストレージにデータを移行できるようになりました。詳細については、『NetIQ Sentinel Administration Guide』の「Migrating Data from Sentinel with Traditional Storage
」を参照してください。
EPSレートがいつも高いレベルにあるスケーラブルストレージセットアップでは、処理する大量のイベントによってCorrelation Engineに負荷がかかる可能性があります。デフォルトでは、すべてのイベントはすべてのCorrelation Engineに送信されます。イベントの過負荷を避けるためには、Correlation EngineのEPS使用率をチェックし、必要に応じて、複数のCorrelation Engine間でイベント負荷を均等に分散することができます。イベントを複数のCorrelation Engineに分散することは、イベント負荷を均等化するだけでなく、イベントをテナントごとに特定のCorrelation Engineに分離するためにも役立ちます。たとえば、マルチテナント環境では、各テナントに対してCorrelation Engineを指定し、各Correlation Engineが各テナントに固有のイベントを処理するように設定することができます。
イベントを複数のCorrelation Engineに分散するオプションは、スケーラブルストレージを使用するSentinelでのみ使用できます。詳細については、『NetIQ Sentinel User Guide』の「Distributing Events Across Correlation Engines
」を参照してください。
以前のバージョンのSentinelに付属のThreat Intelligence Solution Packには、既知のボットネットIPアドレスのリストを提供するPalevoやZeuSなどのデータソースが含まれています。Sentinel 8.1以降では、これらのデータソースはSolution Packには含まれなくなり、Sentinelのインストール時にすぐに利用できるようになります。Sentinelでは、PalevoやZeusだけでなく、組織のセキュリティに対する既存の脅威または新しい脅威に関する情報を提供する追加のデータソースも提供します。これらのデータソースの多くは、毎日更新されます。Sentinelでは、このデータをマップファイルにダウンロードし、スケジュールされた間隔で、または必要に応じてデータを更新し、関連する脅威の情報を相関ルールに組み込む機能を提供します。これらの脅威インテリジェンスのデータソースを管理するためのオプションを、Sentinelメインの[
]>[ ]で利用できるようになりました。詳細については、『NetIQ Sentinel Administration Guide』の「Configuring Threat Intelligence Data Sources
」を参照してください。
Sentinel Control Centerを使用して、ダイナミックリストの設定または管理を行う必要がなくなりました。ダイナミックリストの設定と管理を行うユーザインタフェースがSentinelメインに用意され、これまでより使いやすくなりました。詳細については、『NetIQ Sentinel User Guide』の「Configuring Dynamic Lists
」を参照してください。
Sentinelに認定されたプラットフォームにいくつかの更新があります。認定プラットフォームの詳細は、「Technical Information for Sentinel」のページを参照してください。
Sentinelで、次のプラットフォームが認定されました。
従来型インストール:
SUSE Linux Enterprise Server 12 SP2 64ビット
Red Hat Enterprise Linux Server 6.8 64ビット
アプライアンスインストール:
VMware ESX 6.5 (ISOとOVFの両方)
Hyper-V Server 2016 (ISOのみ)
データの同期: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Sentinelを新規インストールすると、一部のSentinelプラグインの最新版が組み込まれます。これらのバージョンには、最新のソフトウェア修正、ドキュメントのアップデート、およびプラグインの機能拡張が含まれています。詳細については、SentinelプラグインWebサイトの特定プラグインに関する文書を参照してください。
Sentinelのアップデートのアップグレードインストールでは、以下のプラグインが更新され、これらのプラグインがSentinel 8.1以降と互換性のある状態になります。
Sentinelエージェントマネージャコネクタ(バージョン2017.1r1になる)
Sentinel Linkコネクタ(バージョン2011.1r5になる)
Sentinel 8.1には、いくつかの問題を解決するソフトウェア修正が含まれています。
問題: レポートのジョブが失敗したときに、これをイベントとして検索できません。(バグ1017358)
修正: 失敗レポートジョブをイベントとして検索できるようになりました。
問題: Sentinelでは、指定されたしきい値より遅れてイベントが到着したイベントソースをログに記録できます。これは、到着の遅延に関連する問題のトラブルシューティングに役立ちます。Sentinelは、このようなイベントソースに関してログファイルを更新していませんでした。(バグ979931)
修正: Sentinelは、パフォーマンスのスナップショットの一部としてログファイルを更新するようになりました。
問題: ベースラインからの逸脱がある場合に電子メール通知を送信するようにアノマリ定義を設定した場合、Sentinelが電子メールを送信できず、IllegalStateExceptionエラーが返されます。(バグ816622)
修正: Sentinelは電子メールを正しく送信するようになりました。
問題: 現在の日付範囲を指定して実行するようにレポートをスケジュールする場合に、[(バグ914094)
]が将来の日付であると、レポートが失敗します。修正: 時刻が正しく同期されていないイベントソースをレポートするために、Sentinelで[
]を将来の日付に設定できるようになりました。Sentinelは、このエラーなしでレポートを実行します。問題: CSVファイルに検索を保存するときに、指定したフィールドの順序がCSVファイルで維持されません。(バグ979916)
修正: CSVファイルに検索を保存するときに、指定したフィールドの順序がCSVファイルで維持されるようになりました。
問題: 複数のデータベースコレクタのあるCollector Managerコンピュータ上でSentinelサービスを再起動した場合に、一部のコレクタでイベントソースに再接続できません。(バグ1015375、バグ1041866)
修正: Sentinelサービスを再起動した後、すべてのコレクタが再接続するようになりました。
問題: [(バグ894421)
]、[ ]、または[ ]の検索および選択の基準を変更すると、検索結果が無効になります。修正: [
]、[ ]、または[ ]オプションは、検索条件を編集するときには使用できなくなりました。問題: カスタム証明書の件名に複数の属性または特殊文字が含まれている場合に、Sentinel Agent ManagerがSentinelに接続することができません。(バグ1018133)
修正: Sentinel Agent Managerは、カスタム証明書の件名に複数の属性または特殊文字が含まれている場合に、Sentinelに接続できるようになりました。
問題: Sentinel 8.0以降をアップグレードする際に、インストーラで次のエラーが表示されます。
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(バグ1025512)
修正: アップグレードプロセス中にこのエラーは発生しなくなりました。
問題: /SentinelRESTServices/objects/alert/count APIを実行すると、複数のアラートがある場合でも、常に0が返されます。(バグ1028317)
修正: /SentinelRESTServices/objects/alert/count APIが、正しいアラート数を返すようになりました。
問題: イベントのすべての詳細を表示すると、日付と時刻の形式が誤ってUTC (協定世界時)形式になります。(バグ1031523、バグ1034531)
修正: イベントの詳細フィールドで、ブラウザで指定したロケールに適切な形式ですべての日付が表示されるようになりました。
問題: スケーラブルストレージを有効にした後、SSDMのサーバログに、次のメッセージの複数のインスタンスが表示されます。
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
これらのメッセージは、無視しても安全です。機能的な影響はありません。(バグ1009662)
修正: SSDMサーバのログでは、このメッセージが表示されなくなりました。
問題: HA (高可用性)モードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを取り込みません。その結果、検索とイベント視覚化ダッシュボードにエラーが表示されます。(バグ1012251)
修正: 高可用性モードのSSDMが、Elasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを正しく取り込むようになりました。
問題: ElasticsearchのRPMベースのインストールでは、SSDMでイベント視覚化ダッシュボードおよび検索が動作しません。(バグ1014448)
修正: SSDMでイベント視覚化ダッシュボードおよび検索が動作するようになりました。
問題: NetIQ eDirectory Instrumentationは、プラットフォームエージェントを介して監査コネクタに接続できません。その結果、Sentinelでは、eDirectoryからイベントを受信できません。この問題が発生する原因は、Sentinel 8.1で使われているJava 8 update 77で非推奨となったMD5 RSA証明書アルゴリズムをeDirectory Instrumentationが使用しているためです。(バグ985312)
修正: 監査コネクタの新しいバージョンでは、SentinelはeDirectoryからイベントを受信できます。
問題: com.novell.sentinel.spark.StreamingEventIndexerジョブがIPv6をサポートしていません。イベントにIPv6アドレスが含まれている場合、ジョブは失敗します。(バグ1006975)
修正: com.novell.sentinel.spark.StreamingEventIndexerジョブは、IPv6 をサポートするようになりました。
問題: Sentinel Agent Manager 7.3は、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ設定の値を無視して、ファイルサイズが10MBに達すると生データファイルへの書き込みを停止します。(バグ867954)
修正: Sentinel Agent Managerは、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定された値を正しく使用して、新しいデータを生データファイルに書き込みます。
問題: SSDMの環境で、デフォルトオプションを指定してタイルマップの視覚化を作成する場合、Kibanaに関する問題により、イベント視覚化ダッシュボードで新しいタイルマップの視覚化が機能しません。Kibana問題の詳細については、https://github.com/elastic/kibana/issues/7717を参照してください。(バグ1001909)
修正: デフォルトのオプションを指定したタイルマップの視覚化が、イベント視覚化ダッシュボードで正しく機能するようになりました。
ハードウェア要件、サポートされるオペレーティングシステム、およびブラウザについて詳しくは、Sentinel技術情報ページを参照してください。
Sentinel 8.1のインストールに関する詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
Sentinel 8.1には、Sentinel 7.4以降からアップグレードできます。
Sentinel 8.1へのアップグレードの詳細については、『NetIQ Sentinelインストールと設定ガイド』を参照してください。
NetIQ Corporationは、弊社の製品が企業のソフトウェアの必要にかなった質の高いソリューションを提供できるよう努めています。次の問題は、現在調査中です。いずれかの問題についてさらに支援が必要な場合は、テクニカルサポートに連絡してください。
Sentinelに含まれているJava 8のアップデートは、次のプラグインに影響を与える可能性があります。
Cisco SDEEコネクタ
SAP (XAL)コネクタ
Remedy Integrator
これらのプラグインの問題について、NetIQが標準の欠陥処理ポリシーに従って問題の優先度を定め、修正します。サポートポリシーの詳細については、サポートポリシーを参照してください。
セクション 5.1, 英語以外の言語では、MFAモードの場合にCollector ManagerとCorrelation Engineアプライアンスのインストールが失敗する
セクション 5.4, HAモードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに正しくデータを取り込まない
セクション 5.5, アクティブノードをFIPS 140-2モードに変換した後、Sentinelの高可用性で同期を手動で開始する必要がある
セクション 5.8, 7.4 SP1より前のバージョンからSentinelアプライアンスをアップグレードするときに誤った警告が表示される
セクション 5.9, Sentinelスケーラブルデータマネージャに変換した後、Sentinelのメインインタフェースに空白のページが表示される
セクション 5.10, Sentinelを7.3 SP1より前のバージョンから7.3 SP1以降のバージョンにアップグレードするときのSentinelサーバログの例外
セクション 5.12, ヒントテーブル検索がアップグレードされたSentinelインストール環境でアラートフィールドの完全なリストを返さない
セクション 5.17, ベースラインの再生成中、セキュリティインテリジェンスダッシュボードに無効なベースライン期間が表示される
セクション 5.18, 単一のパーティションに多数のイベントが存在すると検索の実行中にSentinelサーバがシャットダウンする
セクション 5.20, 汎用ホスト名解決サービスコレクタが有効であるとSentinel汎用コレクタパフォーマンスが低下する
セクション 5.24, 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、エラーが表示される
セクション 5.26, IssueSAMLToken監査イベントがセキュリティインテリジェンスダッシュボードに間違った情報を表示する
問題: オペレーティングシステムの言語が英語以外の場合、MFAモードでは、Collector ManagerとCorrelation Engineアプライアンスのインストールが失敗します。(バグ1045967)
解決策: Collector ManagerとCorrelation Engineアプライアンスを英語でインストールします。インストールの完了後、必要に応じて言語を変更します。
問題: デフォルトの25 EPSライセンスの環境でレポートを実行すると、次のエラーが発生してレポートが失敗します。
License for Distributed Search feature is expired (分散検索機能用のライセンスが期限切れです)
解決策: Sentinelと同じJVMでレポートを実行するには、次の手順を実行します。
Sentinelサーバにログインし、/etc/opt/novell/sentinel/config/server.xmlファイルを開きます。
次のプロパティを見つけます。
<property name="reporting.process.oktorunstandalone">true</property>
次のようにして、設定をfalseに変更します。
<property name="reporting.process.oktorunstandalone">false</property>
Sentinelを再起動します。
問題: 構文が正しくない古い展開済みのルールが使用環境にあると、Sentinelでルールを検証する方法に対する最新の変更が原因で、Correlation Engineが接続に失敗します。(バグ1039598)
解決策: Correlation Engineに再接続するには、問題の原因となったルールの構文を修正してから、Sentinelを再起動することができます。
問題のあるルールを検索し、その構文を修正するには、次の手順を実行します。
server.logファイルで、Failed to initialize CorrelationEngineを検索します。
たとえば、Failed to initialize CorrelationEngineを検索すると、次のようなログメッセージが表示されます。
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine
上にスクロールして前のログメッセージを見ると、ルールが特定され、その構文が表示されます。たとえば、次のように表示されます。
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
この例では、ログメッセージは、指定した期間が1日より長いために問題が発生したことを示しています。このルールの構文では、1日(86400秒)より長い秒数(86460)を指定しています。
Sentinelにログインします。
新しいブラウザタブを開きます。
新しいタブで、次のURLに移動します。
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
相関ルールのリストからルールの名前とIDを検索するには、ルールの構文に含まれる固有の部分、たとえば86460を検索します。
(条件による)相関ルールのリストからルールの名前とIDを検出できない場合は、次の手順を実行します。
コマンドプロンプトで、novellユーザに切り替えます。次のコマンドを実行します。
su - novell
/opt/novell/sentinel/binディレクトリに移動します。
次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
ここで、UniqueTextは、ルールの構文に含まれる固有の部分(86460など)です。
(条件による)まだnovellユーザに切り替えていない場合は、コマンドプロンプトを開き、novellユーザに切り替えます。次のコマンドを実行します。
su - novell
/opt/novell/sentinel/binディレクトリに移動します。
データベース内でルールを確認します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
検証中にエラーが発生しないように、新しいフィルタを指定してルールを更新します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
データベースでフィルタが変更されたことを確認します。次のSQLコマンドを実行します。
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
ここで、RuleIDは、先ほど見つけたルールのIDです。
Sentinelを停止します。次のコマンドを実行します。
./server.sh stop
Sentinelを再起動します。次のコマンドを実行します。
./server.sh start
問題: 高可用性モードのSSDMがElasticsearchセキュリティプラグインの環境設定ファイルに、HAクラスタノードの適切なIPアドレスを取り込みません。その結果、検索とイベント視覚化ダッシュボードにエラーが表示されます。
解決策: Elasticsearchセキュリティプラグインをインストールした後に、Elasticsearchクラスタの各ノードで、次の手順を実行します。
ElasticsearchをインストールしたユーザとしてElasticsearchノードにログインします。
次のように、HAクラスタの各アクティブノードとパッシブノードの物理IPアドレスのエントリを<Elasticsearchのインストールディレクトリ>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txtファイルに追加します。
<クラスタノード物理IP>:<ターゲットElasticsearch HTTPポート>
各エントリを新しい行に追加し、ファイルを保存します。
次のように、<Elasticsearchインストールディレクトリ>/plugins/elasticsearch-security-plugin/plugin-configuration.propertiesファイルで、authServer.hostプロパティをHAクラスタの仮想IPアドレスに設定します。
authServer.host=<クラスタ仮想IP>
Elasticsearchを再起動します。
問題: Sentinel HAでアクティブノードをFIPS 140-2モードに変換すると、すべてのパッシブノードをFIPS 140-2モードに変換するための同期が完全に実行されません。同期を手動で開始する必要があります。(バグ1014472)
解決策: 次のようにして、すべてのパッシブノードをFIPS 140-2モードに手動で同期します。
アクティブノードにルートユーザとしてログインします。
/etc/csync2/csync2.cfgファイルを開きます。
次の行を変更します。変更前:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
変更後:
include /etc/opt/novell/sentinel/3rdparty/nss;
csync2.cfgファイルを保存します。
次のコマンドを実行して、手動で同期を開始します。
csync2 -x -v
問題: 問題が起きて、Internet Explorer 11でイベント視覚化ダッシュボードを開くことができません。(バグ981308)
解決策: 視覚化ダッシュボードを表示または変更するには、別のブラウザを使用します。
問題: FIPSモードでSLES 11 SP4オペレーティングシステムが実行されているコンピュータ上にSentinelをインストールしようとすると、インストールプロセスが失敗します。(バグ990201)
解決策: オペレーティングシステムがFIPSモードでないことを確認してから、次の手順を実行します。
Sentinelをインストールします。詳細については、『Sentinelインストールと設定ガイド』の「Sentinelのインストール
」を参照してください。
SentinelサーバをFIPSモードで実行できるようにします。詳細については、『Sentinelインストールと設定ガイド』の「SentinelサーバをFIPS 140-2モードで実行する
」を参照してください。
オペレーティングシステムをFIPSモードで実行できるようにするには、次のコマンドを使用します。
fips=1 /boot/grub/menu.lst
問題: Sentinel 7.4 SP1でパスワードのストレージが変更になったため、7.4 SP1より前のバージョンからアプライアンスをアップグレードするときに、次のエラーが表示されます。
Failed to set encrypted password
(バグ967764)
解決策: この警告は予期されるものであり、無視してかまいません。アップグレードに影響はありません。
問題: SSDMを有効にした後、Sentinelのメインインタフェースにログインすると、ブラウザに空白のページが表示されます。(バグ1006677)
解決策: ブラウザを閉じ、Sentinelのメインインタフェースに再ログインします。この問題は、SSDMを有効にした後、Sentinelのメインインタフェースに初めてログインしたときに、1回限り発生します。
問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。
Invalid length of data object ......
(バグ933640)
解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。
問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)
解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。
問題: Sentinelのアップグレードされたインストール環境で、Sentinelのメインインタフェースのヒントテーブルのアラート属性を検索すると、アラートフィールドの完全な一覧が返されません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)
解決策: 現時点で解決策はありません。
問題:
目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy
」で詳細情報を参照してください。(バグ913014)
解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。
問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)
解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。
[
]フィールドに条件を指定します。その役割のユーザにイベントが表示されないようにするには、 と入力します。[
]を選択します。[
]を選択します。問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する[(バグ900293)
]パネルがスケジュールページにありません。解決策: Sentinelをアップグレードしたら、スケジュールページに[
]パネルが表示されるように、検索を再作成して再スケジュールします。問題: ルールの相関要約ページの[(バグ912820)
]パネルの[ ]の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。解決策: イベント検索ページの[
]フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び[ ]をクリックします。問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)
解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。
問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)
解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。
[estzhour]フィールドに基づいてイベントをフィルタリングする保持ポリシーを作成して、特定の時間帯を追跡します。つまり、estzhour:[0 TO 11]をフィルタとして使用して1つの保持ポリシーを作成し、estzhour:[12 TO 23]をフィルタとして使用して別の保持ポリシーを作成できます。
詳細については『NetIQ Sentinel Administration Guide』の「Configuring Data Retention Policies
」を参照してください。
問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)
解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。
/etc/sysconfig/SuSEfirewall2ファイルを開きます。
次の行を変更します。変更前:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
変更後:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Sentinelを再起動します。
問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)
解決策: 現時点で解決策はありません。
問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(バグ834874)
解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。
検索結果をエクスポートする際、エクスポートファイル名から特殊文字(ASCII文字以外)を除く。
オペレーティングシステム言語設定でUTF-8を有効にし、マシンを再起動してから、Sentinelサーバを再起動する。
問題: 1つのレポート結果のPDF (特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)
解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。
問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)
解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。
問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(バグ810764)
解決策: このエラーは予期されるものであり、無視してかまいません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。
問題: SentinelのメインインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れている場合、Sentinelのメインインタフェースの[アクティブな検索ジョブ]の[期間]列と[アクセス]列に負の数値が表示されます。たとえば、Sentinelのメインインタフェースのクロックが1:30 PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、[期間]列と[アクセス]列に負の数値が表示されます。(バグ719875)
解決策: Sentinelのメインインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。
問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)
解決策: 現時点で解決策はありません。
弊社の目標は、お客様のニーズを満たすマニュアルの提供です。改良点に関するご意見は、Documentation-Feedback@netiq.comまで電子メールでお寄せください。貴重なご意見をぜひお寄せください。
詳細な連絡先情報については、サポート連絡先情報Webサイトを参照してください。
一般的な会社情報と製品情報については、NetIQ CorporateのWebサイトを参照してください。
他のユーザやNetIQのエキスパートとやり取りするには、弊社のコミュニティのアクティブなメンバーになってください。NetIQオンラインコミュニティでは、製品情報、有益なリソースへの役立つリンク、ブログ、およびソーシャルメディアチャネルが用意されています。
NetIQの保証と著作権、商標、免責事項、保証、輸出、およびその他の使用制限、米国政府の規制による権利、特許ポリシー、およびFIPSコンプライアンスの詳細については、http://www.netiq.com/company/legal/を参照してください。
Copyright © 2017 NetIQ Corporation. All Rights Reserved.