O Sentinel 7.4 contém novos recursos, melhora o uso e resolve vários problemas anteriores.
Muitas destas melhorias foram feitas como resposta direta a sugestões de nossos consumidores. Agradecemos seu tempo e opiniões valiosas. Esperamos que você continue a nos ajudar para que nossos produtos atendam às suas necessidades. É possível publicar no fórum do Sentinel nas NetIQ Communities, nossa comunidade online que também inclui informações do produto, blogs e links para recursos úteis.
A documentação deste produto está disponível no site da NetIQ nos formatos HTML e PDF em uma página que não requer login. Se você tiver sugestões para aprimoramentos da documentação, clique em comentar este tópico na parte inferior de qualquer página na versão HTML da documentação publicada na página Documentação do Sentinel NetIQ. Para fazer download deste produto, acesse o site Upgrade do Produto Sentinel.
Para a última versão dessas notas de versão, consulte Notas de versão do Sentinel 7.4.
As seções a seguir destacam os principais recursos e aprimoramentos, além dos problemas resolvidos nesta versão:
O Sentinel agora é testado e certificado nas seguintes plataformas:
Sistema Operacional: SUSE Linux Enterprise Server (SLES) 11 Service Pack 4 (64 bits).
O SLES 11 SP4 é certificado apenas em instalações tradicionais.
Sincronização de dados: Microsoft SQL Server 2014.
Para obter mais informações sobre as plataformas certificadas, consulte a página Informações técnicas para o Sentinel.
Além da permissão Gerenciar relatórios, o Sentinel agora oferece permissões de relatório em nível granular que permitem que você forneça a usuários permissões a operações de relatório específicas enquanto restringe outras operações:
Importar relatórios: A permissão Gerenciar relatórios agora permite que usuários apenas criem, exportem, executem e apaguem relatórios. Para importar relatórios, agora devem ter a permissão Importar relatórios.
Executar relatórios: Permite que usuários apenas executem relatórios.
Compartilhar relatórios: Permite que usuários compartilhem relatórios com outras funções.
Para obter mais informações sobre permissões, consulte a seção Configurando funções e usuários
no Guia de Administração do NetIQ Sentinel.
Agora você pode compartilhar seus relatórios com outras funções e também controlar quem acessa os relatórios prontos para uso:
Compartilhamento de relatórios com outras funções: Você pode compartilhar relatórios com outras funções sem transferir a propriedade completa de seus relatórios. Quando você compartilha seus relatórios com outras funções, os usuários com essa função poderão visualizar ou executar relatórios dependendo da permissão de relatórios que tiverem, mas não poderão apagá-los.
Restringindo acesso a relatórios prontos para uso: Por padrão, todos os usuários do Sentinel podem visualizar os relatórios prontos para uso. Os resultados desses relatórios podem conter dados de auditoria sigilosos aos quais você não gostaria que todos os usuários tivessem acesso. É possível restringir a visibilidade desses relatórios apenas a você, com usuários em sua função, ou com usuários em funções selecionadas conforme necessário.
NOTA:Apenas usuários na função de Administrador podem restringir a visibilidade dos relatórios novos.
Para obter mais informações, consulte a seção Trabalhando com relatórios
no Guia do Usuário do NetIQ Sentinel.
Após realizar a investigação adequada em um alerta, você pode determinar se há um problema grave e se o analista de segurança precisa investigar melhor o alerta. Agora o Sentinel permite que você escalone esses alertas para um incidente sem perder todo o trabalho que já fez como parte da investigação do alerta. Para obter mais informações sobre escalonamento de alertas para um incidente, consulte Escalando alertas para um incidente
no Guia do Usuário do NetIQ Sentinel.
O Sentinel agora fornece um ícone de Pesquisa na página de Detalhes do alerta, que inicia uma pesquisa para eventos que acionaram um alerta. Quando os eventos são exibidos, você pode realizar as ações necessárias nos eventos de acionador de alerta de maneira semelhante à que você realiza em outros eventos na página Pesquisar. Para obter mais informações sobre visualizar a página Detalhes do alerta, consulte Exibindo alertas
no Guia do Usuário do NetIQ Sentinel.
O Sentinel agora fornece um tipo de regra de correlação chamado Tempo de espera de sequência. Essa regra detecta quando um ou mais eventos não acontecem na sequência especificada. A regra de Tempo de Espera da Sequência é disparada quando eventos que correspondem à primeira sub-regra não são seguidos por eventos que correspondem à segunda sub-regra em um período especificado de tempo. Por exemplo, você pode criar a regra de Tempo de espera de sequência para detectar um cenário em que o servidor parou, mas não foi iniciado novamente dentro de um intervalo de 5 minutos. Para obter mais informações sobre a regra de Tempo de espera de sequência, consulte Regra de tempo de espera de sequência
no Guia do Usuário do NetIQ Sentinel.
Ao instalar e configurar o Gerenciador de coletor e o Mecanismo de correlação, você não precisa mais copiar as credenciais de usuário do arquivo activemqusers.properties. Para aprimorar a segurança e a facilidade de uso, o Sentinel agora permite que você use as credenciais de usuário admin para configurar o Gerenciador de coletor e o Mecanismo de correlação. Para obter mais informações, consulte Instalando o Sentinel
no Guia de Instalação e Configuração do NetIQ Sentinel .
Agora, você pode estabelecer uma conexão SSL para criar um canal de comunicação protegido e criptografado entre o servidor do Sentinel e o banco de dados externo. Para obter mais informações, consulte Ativando a comunicação SSL para sincronização de dados
no Guia de Administração do NetIQ Sentinel .
O Sentinel 7.4 agora inclui a atualização 60 do Java 8, que inclui correções para diversas vulnerabilidades de segurança.
NOTA:As correções correspondentes de vulnerabilidade de segurança de Java estão disponíveis no NetIQ Change Guardian 4.2 e superior. Portanto, para receber eventos do Change Guardian, você deve instalar o Change Guardian 4.2 ou posterior. Se você já tiver um servidor Change Guardian enviando eventos para o Sentinel, antes de fazer upgrade para o Sentinel 7.4, será necessário primeiro fazer upgrade do servidor Change Guardian, agentes e Policy Editor para a versão 4.2 para garantir que o Sentinel continue recebendo eventos do Change Guardian após o upgrade.
O Sentinel 7.4 agora inclui o PostgreSQL 9.4.1, com correções para diversas vulnerabilidades de segurança.
O Sentinel 7.4 inclui versões novas e atualizadas de plug-ins do Sentinel. A versão mais recente dos Coletores e Conectores estará disponível somente quando você executar uma nova instalação. As versões mais recentes de Integradores e Ações estão disponíveis em instalações novas e upgrades. Para fazer upgrade das instalações do Sentinel 7.4, você pode visitar o site Plug-ins do Sentinel, analisar o histórico de revisão dos coletores e conectores mais recentes na documentação específica e determinar os plug-ins que devem ser baixados e instalados.
O Sentinel 7.4 incluem correções de software que resolvem diversos problemas.
Para obter a lista de correções de software e melhorias das versões anteriores, consulte as notas de versão específicas.
O Sentinel registra exceções se você clicar em Salvar diversas vezes ao criar um usuário
Vulnerabilidade de segurança na interface da web do Sentinel
Impossível instalar Gerenciador de coletor se a senha possuir caracteres especiais
Os nomes de campos de evento que usam variáveis do cliente não são exibidos corretamente
O Sentinel não exibe exibições de evento com gráficos de área claramente
Descritores de arquivo órfão são criados quando a API REST EPSHistory é usada
Problema: Se você clicar em Salvar diversas vezes ao criar um novo usuário, o Sentinel tenta criar diversos usuários para a mesma entrada de usuário e registra as exceções. (BUG 944475)
Solução: Depois de você clicar em Salvar, o Sentinel desativa isso até que um novo registro de usuário seja salvo. Além disso, o Sentinel permite a criação de apenas uma entrada de usuário por vez. Isso garante que diversas entradas para o mesmo usuário não sejam salvas.
Problema: O Conector de gerenciador de agente do Sentinel exibe dados incorretos no campo de evento ObserverEventTime quando o Gerenciador de agentes do Sentinel está definido para o idioma do sistema padrão. Assim, os valores de data e hora variam de acordo com o idioma do sistema. (BUG 929551)
Solução: Independentemente do idioma do sistema no Gerenciador de agente do Sentinel, o Conector do Gerenciador de agente do Sentinel agora exibe a data correta no campo de evento ObserverEventTime.
Problema: A interface da Web do Sentinel permite que possíveis atacantes incluam conteúdo que pode causar Clickjacking. (BUG 949924)
Solução: A interface da Web do Sentinel agora não permite a inclusão de nenhum conteúdo externo.
Problema: Campos de evento correlacionado personalizado são perdidos quando você associa ou desassocia uma ação (qualquer ação que não seja Criar alerta) com a regra de correlação. (BUG 949389)
Solução: Campos de evento correlacionado personalizado não são mais perdidos quando você associa ou desassocia uma ação com a regra de correlação.
Problema: Ao instalar um Gerenciador de coletor, a instalação falhará com erros caso a senha especificada contenha caracteres especiais como "$", """, "\" ou "/". (BUG 812111)
Solução:
O processo de instalação do Gerenciador de coletor agora está modificado. Você não precisa mais especificar as credenciais de usuário do Gerenciador de coletor. Agora, você deve especificar a senha de usuário de admin, que aceita caracteres especiais. Para obter mais informações, consulte a seção Instalando Gerenciadores de coletor e mecanismos de correlação
no Guia de Instalação e configuração do NetIQ Sentinel > Instalando o Sentinel.
Problema: Após migrar do Gerenciador de segurança NetIQ para o Gerenciador de agente do Sentinel, alguns bancos de dados do Gerenciador de segurança ainda existem. Esses bancos de dados precisam ser desassociados no Gerenciador de agente do Sentinel. (BUG 920939)
Solução: Os bancos de dados do Gerenciador de segurança agora são desassociados no Gerenciador de agente do Sentinel após a migração ser concluída.
Problema: A instalação do Sentinel falha se você instalar o Sentinel após desinstalá-lo. (BUG 924567)
Solução: O processo de instalação do Sentinel é atualizado para resolver esse problema. Agora, você pode instalar o Sentinel após desinstalá-lo.
Problema: Nos resultados da pesquisa, o Sentinel exibe nomes curtos para campos de eventos que usam variáveis do cliente em vez de nomes de exibição dos campos de evento. (BUG 950361)
Solução: Agora, o Sentinel exibe o nome completo de campos de evento nos resultados da pesquisa.
Problema: Quando há uma grande quantidade de valores para o item de série Outro, as exibições de evento em tempo real se tornam inutilizáveis porque a perspectiva correta dos dados é perdida. (BUG 948003)
Solução: O item de série Outro é desativado por padrão. Para usar o item de série Outro, clique em Outro nas exibições de evento para habilitá-lo.
Problema: Os gráficos de tipo de Área nas exibições de evento não são claramente visíveis quando o EPS é alto. (BUG 947891)
Solução: Agora, o Sentinel exibe exibições de evento em gráficos de Área empilhada.
Problema: No painel de Navegação, o Sentinel não exibe a quantidade de painéis disponíveis. (BUG 948081)
Solução: Agora, o Sentinel exibe a quantidade de painéis disponíveis.
Problema: Se os nomes das legendas forem longos demais, eles tomam um espaço enorme e o gráfico não é exibido corretamente. (BUG 949310)
Solução: Agora, o Sentinel trunca os nomes de legendas a 24 caracteres quando são muito longos.
Problema: Quando você chama a API REST EPSHistory, um novo descritor de arquivo para ler eps.data é criado e nunca é fechado. isso gera descritores de arquivos órfãos. (BUG 947974)
Solução: Agora, o Sentinel fecha descritores de arquivos corretamente.
Para obter informações sobre os requisitos de hardware, os sistemas operacionais e os navegadores suportados, consulte a página Informações técnicas do Sentinel.
Para obter informações sobre como instalar o Sentinel 7.4, consulte o Guia de instalação e configuração do NetIQ Sentinel.
Você pode fazer o upgrade para o Sentinel 7.4 do Sentinel 7.0 ou posterior.
O Sentinel 7.4 é compatível com o Change Guardian 4.2 e posterior. Se você tiver um servidor Change Guardian enviando eventos para o Sentinel, antes de fazer upgrade para o Sentinel 7.4, será necessário primeiro fazer upgrade do servidor Change Guardian, agentes e Policy Editor para a versão 4.2 para garantir que o Sentinel continue recebendo eventos do Change Guardian após o upgrade.
Faça o download do instalador do Sentinel no site de download da NetIQ. Para obter informações sobre o upgrade para o Sentinel 7.4, consulte Upgrade do Sentinel
no Guia de instalação e configuração do NetIQ Sentinel.
Você pode fazer upgrade da aplicação usando WebYaST apenas em versões 7.3.2 do Sentinel ou posterior e se você fez o upgrade manualmente do NetIQ Change Guardian RPM como mencionado em Fazendo upgrade do NetIQ Change Guardian RPM
nas Notas de Versão do Sentinel 7.3.2.
Os upgrades da aplicação de versões anteriores ao Sentinel 7.3.2 devem ser feitos usando o utilitário de linha de comando zypper, pois a interação do usuário é necessária para concluir o upgrade. O WebYast não pode promover a interação necessária com o usuário. Para obter informações sobre upgrade da aplicação usando zypper, consulte Fazendo upgrade da aplicação usando o zypper
no Guia de Instalação e Configuração do NetIQ Sentinel.
(BUG 956278)
Se você estiver fazendo o upgrade do Sentinel 7.2.2 ou de uma versão mais antiga, realize as seguintes ações:
Após o upgrade, a função Usuário de Proxy de Pesquisa não terá a permissão Permitir que usuários gerenciem alertas. Essa permissão é necessária para que a função execute a pesquisa de alerta remota. Atribua manualmente a permissão Permitir que usuários gerenciem alertas à função Usuário de Proxy de Pesquisa.
Para obter mais informações, consulte a seção Configurando funções e usuários
no Guia de Administração do NetIQ Sentinel.
Para fins de consistência com versões mais recentes do Sentinel e da documentação do Sentinel, depois do upgrade, renomeie a função Usuário de Proxy de Pesquisa para Usuário de Proxy de Dados.
A NetIQ Corporation se esforça para garantir que nossos produtos forneçam soluções de qualidade para suas necessidades de software empresarial. Os problemas a seguir estão sendo atualmente pesquisados. Se você precisar de assistência adicional com qualquer problema, entre em contato com o Suporte técnico.
A atualização e as correções da vulnerabilidade do Java 8 incluídas no Sentinel 7.3.1 e posterior podem afetar os seguintes plug-ins:
Cisco SDEE Connector
Conector SAP
Integrador do Remedy
Caso haja problemas com esses plug-ins, o NetIQ priorizará e corrigirá os problemas de acordo com as políticas de gerenciamento de defeitos padrão. Para obter mais informações sobre as políticas de suporte, consulte Políticas de suporte.
Seção 5.7, Não é possível ver alertas com dados IPv6 nas exibições de alertas
Seção 5.8, Vulnerabilidade de segurança Bar Mitzvah no conector de link do Sentinel
Seção 5.10, O Sentinel Agent Manager não considera a configuração RawDataTapFileSize
Seção 5.12, Falha na sincronização de dados ao sincronizar endereços IPv6 no formato legível
Seção 5.17, Demora no carregamento dos dados históricos de Inteligência de Segurança
Seção 5.24, O Sentinel não configura a interface de rede da aplicação Sentinel por padrão
Seção 5.26, Os serviços do Sentinel podem não ser iniciados automaticamente após a instalação
Seção 5.27, Não é possível habilitar a autenticação Kerberos nas instalações da aplicação Sentinel
Seção 5.28, Não é possível exibir mais de um Relatório de Resultado de cada vez
Seção 5.29, O Gerente de agente exige autenticação SQL quando o modo FIPS 140-2 for ativado
Seção 5.30, A instalação de alta disponibilidade do Sentinel em modo FIPS 140-2 exibe um erro
Seção 5.31, A instalação de alta disponibilidade do Sentinel em modo não FIPS 140-2 exibe um erro
Seção 5.32, A atualização da aplicação de versões anteriores para o Sentinel 7.2 falha no WebYaST
Seção 5.34, A ação do Link do Sentinel exibe a mensagem incorreta
Seção 5.35, Definições de painel e anomalia com nomes idênticos
Seção 5.36, Imprecisões de colunas Acessados e Duração de trabalhos de pesquisa ativa
Problema: Quando você executa o script configure.sh em instalações personalizadas dos Gerenciadores de coletor ou Mecanismos de correlação, o Sentinel exibe o seguinte erro:
Error getting the client keystore file. Refer to /two/var/opt/novell/sentinel/log/install.log for detailed error messages.
(BUG 956466)
Solução temporária: Ignore o erro. A configuração prossegue como esperado.
Problema: Na Alta disponibilidade (HA) do Sentinel, quando você personaliza o Sentinel atualizando arquivos de configuração na interface da Web do Sentinel no nó ativo, as alterações não são refletidas no nó passivo. A sincronização precisa ser iniciada manualmente.
Por exemplo, você deve iniciar a sincronização manualmente nos seguintes cenários:
Quando você altera o protocolo de comunicação para SSL, atualizando a seguinte propriedade no arquivo /etc/opt/novell/sentinel/config/databasePlatforms.xml:
ssl=require
Quando o Sentinel está no modo FIPS, a sincronização para converter todos os nós passivos para o modo FIPS não é realizada completamente. Quando ocorre um failover nesse cenário, a interface da Web do Sentinel não é iniciada.
Quando você muda a configuração de LDAP no nó ativo, ela não é sincronizada para os nós passivos. Por isso, você não poderá autenticar as contas de LDAP nos nós passivos.
(BUG 956702 e BUG 954472)
Solução temporária: Quando você modifica um arquivo de configuração, ou quando os arquivos são modificados por causa das alterações que você fez na interface da Web do Sentinel, adicione esse arquivo ou diretório para sincronização manualmente, realizando as seguintes etapas:
Efetue login como o usuário root no nó ativo.
Adicione o arquivo ou diretório para sincronização, adicionando a seguinte linha no arquivo /etc/csync2/csync2.cfg:
include <nome do arquivo ou diretório>;
Por exemplo:
Adicione a seguinte linha se você alterou o protocolo de comunicação para SSL no arquivo /etc/opt/novell/sentinel/config/databasePlatforms.xml:
include /etc/opt/novell/sentinel/config/databasePlatforms.xml;
Adicione a seguinte linha se deseja sincronizar nós passivos para o modo FIPS:
include /etc/opt/novell/sentinel/config/nonfips_backup;
Adicione a seguinte linha se você atualizou a configuração de LDAP:
include /etc/opt/novell/sentinel/config/auth.login;
Inicie a sincronização manualmente executando o seguinte comando:
csync2 -x -v
Isso sincronizará as atualizações em todos os nós passivos.
Problema: As correções de vulnerabilidades de segurança incluídas no Sentinel 7.3.1 envolveram alterações no mecanismo de comunicação para proteger a conexão. Essas alterações não são compatíveis com o Agente UNIX Sentinel 7.4. Portanto, o Sentinel não pode receber eventos do Agente UNIX Sentinel 7.4. (BUG 953990)
Solução temporária: Não há solução temporária para esse problema. O problema será solucionado quando uma versão compatível do Agente UNIX Sentinel for disponibilizada.
Problema: O Sentinel exibe um erro quando você tenta configurar NFS como local de armazenamento secundário após atualizar a aplicação do Sentinel para a versão 7.3.1 e posterior. (BUG 934851)
Solução temporária: Após fazer o upgrade da aplicação do Sentinel, reinicie o sistema operacional SLES usando o seguinte comando:
init 6
Problema: Quando você faz upgrade do Sentinel da versão 7.3 para a versão 7.3.1 e inicia o servidor do Sentinel, é possível ver a seguinte exceção no registro do servidor:
Invalid length of data object ......
(BUG 933640)
Solução temporária: Ignore a exceção. Não há nenhum impacto no desempenho do Sentinel por causa dessa exceção.
Problema: O Sentinel usa o protocolo Diffie-Hellman para se comunicar com o Secure Configuration Manager. Como parte da correção da vulnerabilidade de Logjam, o tamanho da chave do certificado para o protocolo Diffie-Hellman no Sentinel foi ampliado para 2048. No entanto, o Secure Configuration Manager usa o tamanho de chave de certificado padrão; ou seja, 1024. Por causa dessa incompatibilidade, o Secure Configuration Manager não pode mais se comunicar com o Sentinel. (BUG 935987)
Solução temporária: Até que uma correção esteja disponível no Secure Configuration Manager, é possível realizar as seguintes etapas:
AVISO:A realização dessa correção alternativa substitui a correção da vulnerabilidade de Logjam especificada em Correções de vulnerabilidade de segurança
nas Notas de liberação do Sentinel 7.3.1.
Faça login como usuário novell e abra o arquivo /etc/opt/novell/sentinel/config/configuration.properties.
Comente a linha seguinte com o prefixo #:
jdk.tls.ephemeralDHKeySize=2048
Reinicie o Sentinel.
Problema: As exibições de alerta e painéis de alerta do Sentinel não exibem alertas que possuem endereços IPv6 nos campos de endereço IP. (BUG 924874)
Solução temporária: Para ver alertas com endereços IPv6 no Sentinel, realize as etapas mencionadas no Artigo da Base de Conhecimento NetIQ 7016555.
Problema: A vulnerabilidade de segurança Bar Mitzvah existe no conector de link do Sentinel. O Conector de link do Sentinel usa o algoritmo RC4 nos protocolos SSL e TSL, que pode permitir ataques de recuperação de texto simples contra os bytes iniciais de um fluxo. Para obter mais informações, consulte CVE-2015-2808. (BUG 933741)
Solução temporária: A versão 2011.1r4 e mais recente do Conector de Link do Sentinel resolve esse problema. Até ser lançado oficialmente no site Plug-ins do Sentinel, você pode fazer o download do Conector na seção Previews.
Problema: O Agent Manager Connector versão 2011.1r3 não define a propriedade CONNECTION_MODE nos eventos quando o coletor dos eventos oferece suporte a diversos modos de conexão. (BUG 880564)
Solução temporária: Esse problema é resolvido no Agent Manager Connector versão 2011.1r5 e mais recente. Até ser lançado oficialmente no site Plug-ins do Sentinel, você pode fazer o download do Conector na seção Previews.
Problema: O Sentinel Agent Manager ignora o valor especificado no atributo RawDataTapFileSize do arquivo SMServiceHost.exe.config para a configuração do tamanho do arquivo de dados bruto e interrompe a gravação no arquivo de dados brutos quando o tamanho do arquivo atinge 10 MB. (BUG 867954)
Solução temporária: Copie manualmente o conteúdo do arquivo de dados brutos em outro arquivo e limpe-o quando o tamanho do arquivo atingir 10 MB, para que o Sentinel Agent Manager possa gravar novos dados no arquivo.
Problema: Nas instalações com upgrade do Sentinel, quando você pesquisa atributos de alerta na tabela Dicas da interface Web, a pesquisa não retorna a lista completa de campos do alerta. No entanto, os campos do alerta serão exibidos corretamente na tabela Dicas se você limpar a pesquisa. (BUG 914755)
Solução temporária: Não há solução temporária para esse problema.
Problema:
A sincronização de dados falha quando você tenta sincronizar campos de endereço IPv6 em um formato legível com bancos de dados externos. Para obter informações sobre como configurar o Sentinel para preencher os campos de endereço IP no formato de notação de ponto legível, consulte a seção Criando uma política de sincronização de dados
no Guia de administração do NetIQ Sentinel. (BUG 913014)
Solução temporária: Para corrigir este problema, mude manualmente o tamanho máximo dos campos de endereço IP para pelo menos 46 caracteres no banco de dados de destino e sincronize novamente o banco de dados.
Problema: A pesquisa de evento não é concluída quando o filtro de segurança da sua função está em branco e sua função não possui permissões de exibição de evento. A pesquisa não exibe nenhuma mensagem de erro sobre as permissões inválidas de exibição de evento. (BUG 908666)
Solução temporária: Atualize a função com uma das opções a seguir:
Especifique um critério no campo Apenas os eventos que correspondem aos critérios. Se os usuários na função não puderem visualizar nenhum evento, digite NOT sev:[0 TO 5].
Selecione Exibir eventos do sistema.
Selecione Visualizar todos os dados de evento (incluindo dados não processados e dados do NetFlow).
Problema: Ao editar uma pesquisa gravada atualizada do Sentinel 7.2 para uma versão posterior, o painel Campos de evento, usado para especificar os campos de saída no arquivo CSV de relatório de pesquisa, não é exibido na página Programar. (BUG 900293)
Solução temporária: Após fazer o upgrade do Sentinel, recrie e reprograme a pesquisa para exibir o painel Campos de evento na página Programar.
Problema: O Sentinel não retorna nenhum evento correlacionado quando você pesquisa por todos os eventos correlacionados que foram gerados após a regra ser implantada ou habilitada, clicando no ícone ao lado de Contagem Acionada no painel Estatísticas de atividade na página Resumo da Correlação da regra. (BUG 912820)
Solução temporária: Mude o valor no campo De na página Pesquisa de evento para um horário anterior ao horário preenchido no campo e clique em Pesquisar novamente.
Problema: Quando você clica em Selecionar Tudo nas exibições de alerta para selecionar os alertas, anula a seleção de alguns alertas e modifica-os, os novos alertas recebidos também são selecionados nas exibições de alerta atualizadas. Isso resulta na contagem incorreta dos alertas selecionados para modificação e dá a impressão de que você está modificando os novos alertas recebidos. No entanto, somente os alertas selecionados originalmente são modificados. (BUG 904830)
Solução temporária: Nenhum alerta novo será exibido na exibição de alerta se você criar a exibição de alerta com um intervalo de tempo personalizado.
Problema: Os dados históricos de Inteligência de Segurança (SI) demoram muito para carregar nos sistemas Sentinel que possuem uma alta carga de eventos por segundo (EPS). (BUG 908599)
Solução temporária: Ao criar um painel de inteligência de segurança com dados históricos, planeje para implantar o painel quando a carga no seu sistema estiver baixa, se possível. Não há nenhuma outra solução temporária para esse problema no momento.
Problema: Durante a regeneração da linha de base de Inteligência de Segurança, as datas de início e de fim da linha de base são exibidas incorretamente como 1/1/1970. (BUG 912009)
Solução temporária: As datas corretas são atualizadas após a conclusão da regeneração da linha de base.
Problema: O servidor do Sentinel desliga ao executar uma pesquisa quando há um número grande de eventos indexado em uma única partição. (BUG 913599)
Solução temporária: Crie políticas de retenção de forma que haja pelo menos duas partições abertas em um dia. Ter mais de uma partição aberta ajuda a reduzir o número de eventos indexados nas partições.
Você pode criar políticas de retenção que filtrem eventos com base no campo estzhour, que controla a hora do dia. Dessa forma, é possível criar uma política de retenção com estzhour:[0 TO 11] como o filtro e outra política de retenção com estzhour:[12 TO 23] como o filtro.
Para obter mais informações, consulte a seção Configurando políticas de retenção de dados
no Guia de Administração do NetIQ Sentinel .
Problema: O Sentinel exibe um erro quando o script report_dev_setup.sh é usado para configurar as portas do Sentinel de exceção do firewall. (BUG 914874)
Solução temporária: Configure as portas do Sentinel de exceção do firewall com as etapas a seguir:
Abra o arquivo /etc/sysconfig/SuSEfirewall2.
Mude a linha a seguir:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
para
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie o Sentinel.
Problema: O desempenho do coletor genérico do Sentinel é reduzido quando o coletor do serviço de resolução de hostname genérico é habilitado no Microsoft Active Directory e no Windows Collector. O EPS diminui 50% quando os gerenciadores de coletor remotos enviam eventos. (BUG 906715)
Solução temporária: Não há solução temporária para esse problema.
Problema: Quando você instala o Sentinel no modo FIPS 140-2, o conector com o banco de dados de Inteligência de Segurança falha ao iniciar e o Sentinel não consegue acessar a Inteligência de Segurança, o Netflow e os dados do alerta. (BUG 915241)
Solução temporária: Reinicie o Sentinel após a instalação e configuração no modo FIPS 140-2.
Problema: Ao fazer upgrade do Sentinel de uma instalação personalizada do Sentinel instalada por um usuário diferente do usuário root e configurada no modo FIPS 140-2, o banco de dados de Inteligência de Segurança e o painel Alerta podem não iniciar ocasionalmente. (BUG 916285)
Solução temporária: Execute estas etapas:
Acesse <diretório da instalação personalizada>/opt/novell/sentinel/bin para identificar o serviço de indexação do Sentinel.
Execute o seguinte comando:
./si_db.sh status
Verifique se o seguinte resultado é exibido:
Connection between alert store and indexing service is running. Security Intelligence database is running. Indexing service is running.
Se algum dos três serviços mencionados acima não estiver em execução, execute as etapas a seguir.
Execute o comando a seguir para parar o Sentinel:
rcsentinel stop
Efetue login no Sentinel Server como usuário novell.
Execute o seguinte comando:
<diretório da instalação personalizada>/opt/novell/sentinel/bin/si_db.sh startnoauth
Execute os comandos a seguir para adicionar os usuários dbauser e appuser:
cd <diretório da instalação personalizada>/opt/novell/sentinel/3rdparty/mongodb/bin
./mongo
use admin
db.addUser ("dbauser", "novell")
use analytics
db.addUser ("appuser", "novell")
sair
Pare o banco de dados MongoDB:
<diretório da instalação personalizada>/opt/novell/sentinel/bin/si_db.sh stop
Execute as etapas a seguir para adicionar campos de senha criptografada:
Execute o comando a seguir para obter a senha criptografada do usuário novell:
<diretório da instalação personalizada>/opt/novell/sentinel/bin/encryptpwd -e novell
A senha criptografada é exibida. Por exemplo:
bVWOzu6okMmMCkgM0aHeQ==
No arquivo configuration.properties, atualize as propriedades baselining.sidb.password e baselining.sidb.dbpassword com o encryptedpassword. Por exemplo:
baselining.sidb.password=9bVWOzu6okMmMCkgM0aHeQ==
baselining.sidb.dbpassword=9bVWOzu6okMmMCkgM0aHeQ==
Saia da conta do usuário novell e inicie o Sentinel como usuário root usando o comando a seguir:
rcsentinel start
NOTA:Execute o script configure.sh para redefinir a sempre que necessário. Para obter mais informações sobre a execução do script configure.sh, consulte a seção Modificando a configuração após a instalação
no Guia de instalação e configuração do NetIQ Sentinel.
Problema: Ao instalar a aplicação Sentinel, a interface de rede não é configurada por padrão. (BUG 867013)
Solução temporária: Para configurar a Interface de rede:
Na página Configuração de rede, clique em Interfaces de rede.
Selecione a interface de rede e clique em Editar.
Selecione Endereço dinâmico e selecione o endereço IP atribuído Estático ou DHCP.
Clique em Avançar e em OK.
Problema: Ao exportar os resultados de pesquisa no Sentinel, o browser da web pode exibir uma mensagem de erro se você alterar as configurações de idioma do sistema operacional. (BUG 834874)
Solução temporária: Para exportar os resultados de pesquisa corretamente, realize uma das seguintes ações:
Ao exportar os resultados de pesquisa, remova quaisquer caracteres especiais (fora dos caracteres ASCII) do nome do arquivo de exportação.
Habilite a opção UTF-8 nas configurações de idioma do sistema operacional, reinicie a máquina e o servidor do Sentinel.
Problema: Em sistemas com mais de 2 TB de espaço em disco, o Sentinel pode não ser iniciado automaticamente após a instalação. (BUG 846296)
Solução temporária: Apenas uma vez, inicie manualmente os Serviços do Sentinel especificando o seguinte comando:
rcsentinel start
Problema: Nas instalações da aplicação Sentinel, se você configurar a autenticação Kerberos no módulo Kerberos, o console exibe uma mensagem de confirmação de que a configuração do cliente Kerberos foi bem-sucedida. Ao visualizar o módulo Kerberos novamente, porém, a opção Habilitar Autenticação Kerberos é desmarcada. (BUG 843623)
Solução temporária: Não há solução temporária para esse problema.
Problema: Enquanto você espera para abrir um resultado de relatório em PDF, relate principalmente os resultados de 1 milhão de eventos. Se você clicar em outro resultado de relatório em PDF para visualizar, o resultado de relatório não será exibido. (BUG 804683)
Solução temporária: Clique no segundo resultado de relatório em PDF novamente para ver o resultado do relatório.
Problema: Quando o modo FIPS 140-2 for ativado no seu ambiente do Sentinel, usar a autenticação do Windows para o Gerente de agente fará com que a sincronização com o banco de dados do Gerente de agente falhe. (BUG 814452)
Solução temporária: Use a autenticação SQL para o Gerente de agente quando o modo FIPS 140-2 estiver ativado no seu ambiente do Sentinel.
Problema: Se o modo FIPS 140-2 estiver habilitado, a instalação de Alta Disponibilidade do Sentinel exibe o seguinte erro:
O arquivo configuration.properties do servidor do Sentinel não está correto. Verifique o arquivo de configuração e, então, execute o script convert_to_fips.sh novamente para habilitar o modo FIPS no servidor do Sentinel.
No entanto, a instalação é concluída com sucesso. (BUG 817828)
Solução temporária: Não há correção ou solução alternativa disponível no momento. Embora o instalador exiba o erro, a configuração do Sentinel de Alta Disponibilidade funciona com sucesso em modo FIPS 140-2.
Problema: A instalação do Sentinel de Alta Disponibilidade no modo não FIPS 140-2 é concluída com sucesso, mas exibe o seguinte erro duas vezes:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: argumentos demais
(BUG 810764)
Solução temporária: Não há correção ou solução alternativa disponível no momento. Embora o instalador exiba o erro, a configuração de alta disponibilidade do Sentinel funciona com sucesso em modo não FIPS 140-2.
Problema: A atualização da aplicação a partir de versões anteriores para o Sentinel 7.2 falha porque o fornecedor para os pacotes de atualização mudou da Novell para o NetIQ. (BUG 780969)
Solução temporária:
Use o comando zypper para fazer o upgrade da aplicação. Para mais informações, consulte Atualizando a aplicação usando o zypper
no Guia de instalação e configuração NetIQ Sentinel.
Problema: O Gerente de soluções não instalará regras de correlação quando já houver alguma com nome idêntico no sistema. Um erro NullPointerException foi registrado no console. (BUG 713962)
Solução temporária: Verifique se todas as regras de correlação possuem um nome único.
Problema: Quando você executa uma ação do Link do Sentinel na interface da Web, o Sentinel exibe uma mensagem de confirmação mesmo quando o teste do integrador do Sentinel Link Connector falha no Sentinel Control Center. (BUG 710305)
Solução temporária: Não há solução temporária para esse problema.
Problema: Quando um painel de Dados de Segurança e uma definição de anomalia tiverem nomes idênticos, o link do painel estará desabilitado na página Detalhes da Anomalia. (BUG 715986)
Solução temporária: Verifique se você usou nomes diferentes ao criar painéis e definições de anomalias.
Problema: A interface da web do Sentinel mostra números negativos nas colunas Acessados e Duração da Tarefa de Pesquisa Ativa quando o relógio do computador estiver atrasado em relação ao do servidor do Sentinel. Por exemplo, as colunas Duração e Acessados mostrarão números negativos quando o relógio da interface da web do Sentinel estiver configurado para 13h30min e o relógio do servidor do Sentinel estiver em 14h30min. (BUG 719875)
Solução temporária: Verifique se a hora no computador usado para acessar a interface do Sentinel é a mesma ou está adiantada em relação à do computador do servidor do Sentinel.
Problema: Ao efetuar login no painel de segurança e pesquisar pelo evento de auditoria IssueSAMLToken, o evento de auditoria IssueSAMLToken exibe o nome de host (InitiatorUserName) ou (endereço IP) SourceIP incorretos. (BUG 870609)
Solução temporária: Não há solução temporária para esse problema.
Problema: Ao coletar dados de evento, o Sentinel Agent Manager não captura os campos de String de Inserção do Windows com valores nulos. (BUG 838825)
Solução temporária: Não há solução temporária para esse problema.
Nosso objetivo é fornecer uma documentação que atende às suas necessidades. Se você tiver sugestões de melhorias, envie um e-mail para Documentation-Feedback@netiq.com. Valorizamos sua opinião e aguardamos seu contato.
Para obter informações de contato detalhadas, veja o site na web Informações de Contato de Suporte.
Para obter informações gerais sobre a empresa e o produto, consulte o site do NetIQ Corporate na web.
Para conversas interativas com seus pares e com os especialistas do NetIQ, torne-se membro ativo da nossa comunidade. A comunidade online do NetIQ fornece informações do produto e links para recursos, blogs e canais de mídia social úteis.
Para obter informações sobre informações legais do NetIQ, isenções de responsabilidades, garantias, exportação e outras restrições de uso, direitos restritos do Governo dos EUA, política de patente e conformidade de FIPS, consulte http://www.netiq.com/company/legal/.
Copyright © 2015 NetIQ Corporation. Todos os direitos reservados.
Para obter informações sobre as marcas comerciais da NetIQ, consulte http://www.netiq.com/company/legal/. Todas as marcas registradas de terceiros pertencem aos seus respectivos proprietários.