A Atualização de patch 1 do Sentinel 8.0 SP1 resolve vários problemas anteriores. Essa atualização de patch está disponível somente para instalações tradicionais do Sentinel.
Muitas destas melhorias foram feitas como resposta direta a sugestões de nossos consumidores. Agradecemos seu tempo e opiniões valiosas. Esperamos que você continue a nos ajudar para que nossos produtos atendam às suas necessidades. É possível publicar no fórum do Sentinel nas NetIQ Communities, nossa comunidade online que também inclui informações do produto, blogs e links para recursos úteis.
A documentação deste produto está disponível nos formatos HTML e PDF no site da NetIQ, em uma página que não requer login. Se você tiver sugestões para aprimoramentos da documentação, clique no ícone de comentário em qualquer página na versão HTML da documentação publicada na página Documentação do NetIQ Sentinel. Para fazer download deste produto, acesse o site Upgrade do Produto Sentinel.
As seções a seguir destacam os principais recursos e aprimoramentos, além dos problemas resolvidos nesta versão:
A atualização de patch 1 do Sentinel 8.0 SP1 fornece correções para resolver a vulnerabilidade CVE-2016-1000031, que foi descoberta por Jacob Baines da Tenable Network Security. Essas correções são adicionais às atualizações lançadas anteriormente. Gostaríamos de agradecer a Jacob Baines por encontrar e nos relatar essas vulnerabilidades de segurança.
A Atualização de patch 1 do Sentinel 8.0 SP1 inclui correções do software que resolvem vários problemas.
Campos de detalhes de eventos exibem datas formatadas incorretamente
Algumas opções de critérios de edição criam pesquisas inválidas
A API (Application Programming Interface) /SentinelRESTServices/objects/alert/count sempre retorna 0
Gravar uma pesquisa em CSV não mantém a ordem dos campos especificada
Ocorre uma falha no relatório quando a 'Data De' é posterior à Data Atual
Problema: Ao ver todos os detalhes do evento, as datas e as horas são formatadas incorretamente no formato UTC (Tempo Universal Coordenado). (Bug 1031523, Bug 1034531)
Correção: Os campos de detalhes do evento agora exibem todas as datas no formato específico para o idioma especificado no seu browser.
Problema: Quando você faz upgrade do Sentinel 8.0 e posterior, o instalador exibe o seguinte erro:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected
(Bug 1025512)
Correção: Este erro não ocorre mais durante o processo de upgrade.
Problema: Ao modificar os critérios para uma pesquisa e selecionar Horário de Início, Horário de Término ou Horário de Processo do Sentinel, os resultados de pesquisa são inválidos. (Bug 894421)
Correção: As opções Horário de Início, Horário de Término ou Horário de Processo do Sentinel não estão mais disponíveis ao editar os critérios de pesquisa.
Problema: Ao reiniciar o serviço do Sentinel em um computador do Collector Manager com vários coletores de banco de dados, alguns coletores não conseguem se reconectar às fontes de evento. (Bug 1015375)
Correção: Todos os coletores agora se reconectam após reiniciar o serviço do Sentinel.
Problema: A execução da API /SentinelRESTServices/objects/alert/count sempre retorna 0, mesmo quando há vários alertas. (Bug 1028317)
Correção: A API /SentinelRESTServices/objects/alert/count agora retorna o número correto de alertas.
Problema: Não é possível apagar um elemento de uma lista dinâmica no Centro de Controle quando o valor do elemento contém uma barra invertida. (Bug 1027494)
Correção: Agora, você pode apagar valores de elementos com barras invertidas de listas dinâmicas no Centro de Controle.
Problema: Ao configurar uma definição de anomalia para enviar uma notificação por e-mail quando há um desvio da linha de base, o Sentinel não consegue enviar o e-mail e retorna um erro IllegalStateException. (Bug 816622)
Correção: Agora, o Sentinel envia o e-mail corretamente.
Problema: Ao gravar uma pesquisa em um arquivo CSV, o arquivo CSV não mantém a ordem dos campos especificada. (Bug 979916)
Correção: Agora, quando você grava uma pesquisa em um arquivo CSV, o arquivo CSV mantém a ordem dos campos especificada.
Problema: Ocorre uma falha no relatório quando você programa um relatório para ser executado com o intervalo de data atual, mas a Data De está no futuro. (Bug 914094)
Correção: O Sentinel permite definir a Data De no futuro para fontes de eventos de relatórios que não estejam corretamente sincronizadas no tempo. Agora, o Sentinel executa o relatório sem erro.
Para obter informações sobre os requisitos de hardware, os sistemas operacionais e os navegadores suportados, consulte a página Informações técnicas do Sentinel.
A Atualização de patch 1 do Sentinel 8.0 SP1 está disponível somente para instalações tradicionais do Sentinel.
Você pode fazer upgrade para a Atualização de patch 1 do Sentinel 8.0 SP1 das seguintes versões do Sentinel:
Sentinel 8.0 e posterior
Sentinel 7.4 e posterior até Sentinel 7.4 SP4 Hotfix 1
Faça o download da atualização de patch no site Localizador de patches. Para obter informações sobre o upgrade para a Atualização de patch 1 do Sentinel 8.0 SP1, consulte Upgrading Sentinel (Fazendo upgrade do Sentinel)
no NetIQ Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do NetIQ Sentinel).
NOTA:Se quiser usar o Sentinel Link Connector, você deverá fazer upgrade para a versão 2011.r4, que inclui correções de software para problemas de compatibilidade com o Sentinel 8.0.1 e posterior.
Após fazer o upgrade do SSDM (Scalable Storage Data Manager - Gerenciador de dados de armazenamento escalável), você deve enviar novamente os aplicativos do Spark para considerar também os arquivos Spark atualizados. O Spark não processará nenhum evento que chegue durante esta fase até que você reenvie os aplicativos do Spark. Para evitar esse problema, execute as etapas mencionadas no Artigo da Base de Conhecimento da NetIQ 7018726.
A Atualização de patch 1 do Sentinel 8.0 SP 1 é compatível com o Change Guardian 4.2 e posterior.
Antes de fazer upgrade, se o seu ambiente não estiver executando a versão do Change Guardian compatível com essa versão do Sentinel, será preciso primeiro fazer upgrade do servidor do Change Guardian, dos agentes e do Editor de política para a versão 4.2 ou posterior.
A NetIQ Corporation se esforça para garantir que nossos produtos forneçam soluções de qualidade para suas necessidades de software empresarial. Os problemas a seguir estão sendo atualmente pesquisados. Se você precisar de assistência adicional com qualquer problema, entre em contato com o Suporte técnico.
A atualização do Java 8 incluída no Sentinel pode impactar os seguintes plug-ins:
Conector Cisco SDEE
Conector SAP (XAL)
Integrador do Remedy
Caso haja problemas com esses plug-ins, o NetIQ priorizará e corrigirá os problemas de acordo com as políticas de gerenciamento de defeitos padrão. Para obter mais informações sobre as políticas de suporte, consulte Políticas de suporte.
Seção 4.2, O Sentinel não exibe os painéis de alerta após fazer upgrade
Seção 4.5, Não é possível iniciar o Painel de controle de visualização de eventos
Seção 4.6, Não é possível instalar o Sentinel no SLES 11 SP4 em modo FIPS
Seção 4.7, Não é possível receber eventos por meio do Sentinel Link Connector
Seção 4.13, Não é possível ver alertas com dados IPv6 nas exibições de alertas
Seção 4.15, Falha na sincronização de dados ao sincronizar endereços IPv6 no formato legível
Seção 4.25, Não é possível exibir mais de um Relatório de Resultado de cada vez
Seção 4.26, O Gerente de agente exige autenticação SQL quando o modo FIPS 140-2 for ativado
Seção 4.27, A instalação de alta disponibilidade do Sentinel em modo não FIPS 140-2 exibe um erro
Seção 4.28, Imprecisões de colunas Acessados e Duração de trabalhos de pesquisa ativa
Problema: O SSDM no modo de alta disponibilidade não preenche os endereços IP adequados dos nós do cluster de HA nos arquivos de configuração de plug-in de segurança do Elasticsearch. Como resultado, pesquisas e painéis de visualização de eventos mostram erros. (Bug 1012251)
Solução temporária: Após instalar o plug-in de segurança do Elasticsearch, realize as seguintes etapas em cada nó do cluster do Elasticsearch:
Efetue login no nó do Elasticsearch como o usuário com o qual o Elasticsearch foi instalado.
Adicione entradas para o endereço IP físico de cada nó ativo e passivo do cluster de HA no arquivo <diretório_instalação_elasticsearch>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt a seguir:
<IP_físico_nó_cluster>:<Porta_HTTP_Elasticsearch_Destino>
Adicione cada entrada em uma nova linha e grave o arquivo.
No arquivo <diretório_instalação_elasticsearch>/plugins/elasticsearch-security-plugin/plugin-configuration.properties, defina a propriedade authServer.host para o endereço IP virtual do cluster de HA da maneira a seguir:
authServer.host=<IP_Virtual_Cluster>
Reinicie o Elasticsearch.
Problema: O Sentinel não exibe os painéis de alerta após fazer upgrade. Esse problema ocorre porque o Sentinel não apaga o diretório temporário relacionado ao painel de controle de Alerta durante o upgrade. (Bug 984796)
Solução temporária: Apagar os arquivos temporários manualmente executando o procedimento a seguir:
Efetue login no servidor do Sentinel como usuário Novell.
Mude para o diretório webapps da seguinte maneira:
cd /var/opt/novell/sentinel/3rdparty/jetty/webapps/
Remova o diretório sentinel-elasticsearch-proxy.tmp da seguinte maneira:
rm -rf sentinel-elasticsearch-proxy.tmp
Mude para o diretório contexts e atualize a marcação de horário do arquivo sentinel-elasticsearch-proxy.xml file da seguinte maneira:
cd /etc/opt/novell/sentinel/3rdparty/jetty/contexts/
touch sentinel-elasticsearch-proxy.xml
Atualize a interface principal do Sentinel para ver os painéis de alerta.
Problema: Quando você converte o nó ativo para o modo FIPS 140-2 no Sentinel de Alta Disponibilidade, a sincronização para converter todos os nós passivos para o modo FIPS 140-2 não é completamente executada. Você deve iniciar a sincronização manualmente. (Bug 1014472)
Solução temporária: Sincronize manualmente todos os nós passivos para o modo FIPS 140-2 da seguinte maneira:
Efetue login como o usuário root no nó ativo.
Abra o arquivo /etc/csync2/csync2.cfg.
Mude a linha a seguir:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
para
include /etc/opt/novell/sentinel/3rdparty/nss/*;
Grave o arquivo csync2.cfg.
Inicie a sincronização manualmente executando o seguinte comando:
csync2 -x -v
Problema: Em ambientes do SSDM, se você criar uma visualização de mapa lado a lado com as opções padrão, um problema com o Kibana evitará que a nova visualização de mapa lado a lado funcione no painel de controle de visualização de evento. Para obter mais informações sobre o problema do Kibana, consulte https://github.com/elastic/kibana/issues/7717. (Bug 1001909)
Solução temporária: Ao criar uma nova visualização de mapa lado a lado, em Opções, selecione Servidor de mapas compatível com WMS.
Problema: Um problema com o Kibana impede que o Internet Explorer 11 seja capaz de abrir o painel de controle de visualização de eventos. (Bug 981308)
Solução temporária: Use um browser diferente para ver e modificar o painel de controle de visualização.
Problema: Se você tentar instalar o Sentinel em um computador que estiver executando o sistema operacional SLES 11 SP4 em modo FIPS, o processo de instalação falhará. (Bug 990201)
Solução temporária: Verifique se o sistema operacional não está em modo FIPS e, então, conclua as seguintes etapas:
Instale o Sentinel. Para obter mais informações, consulte Installing Sentinel (Instalando o Sentinel)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Habilite o servidor do Sentinel para executar no modo FIPS. Para obter mais informações, consulte Enabling Sentinel Server to Run in FIPS 140-2 Mode (Habilitando o servidor do Sentinel para executar no modo FIPS 140-2)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Use o comando a seguir para habilitar a execução do sistema operacional em modo FIPS:
fips=1 /boot/grub/menu.lst
Problema: O Sentinel não recebe eventos por meio do Sentinel Link Connector. (Bug 989784)
Solução temporária: O Sentinel Link Connector versão 2011.1r4 soluciona esse problema. Até ser lançado oficialmente no site Plug-ins do Sentinel, você pode fazer o download da versão de visualização do Connector na seção Previews (Visualizações).
Problema: Uma mudança no armazenamento de senhas no Sentinel 7.4 SP1 ao fazer upgrade da aplicação de versões anteriores a 7.4 SP1 resulta na exibição do seguinte erro:
Failed to set encrypted password
(Bug 967764)
Solução temporária: O aviso é esperado e você pode ignorá-lo com segurança. Não afeta o upgrade.
Problema: Após habilitar o SSDM, quando você efetuar login na interface principal do Sentinel, o browser exibirá uma página em branco. (Bug 1006677)
Solução temporária: Feche o seu browser e efetue login novamente na interface principal do Sentinel. Esse problema acontece somente uma vez, ao efetuar login na interface principal do Sentinel pela primeira vez após habilitar o SSDM.
Problema: A tarefa com.novell.sentinel.spark.StreamingEventIndexer não suporta IPv6. Se um evento contiver um endereço IPv6, a tarefa falhará. (Bug 1006975)
Solução temporária: A solução temporária é mudar o tipo de IP para uma string. Para fazer essa mudança, entre em contato com o suporte técnico.
Problema: Após habilitar o armazenamento escalável, os registros do servidor SSDM exibem diversas instâncias da seguinte mensagem:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
(Bug 1009662)
Solução temporária: Você pode ignorar essas mensagens com segurança. Não há impacto funcional.
Problema: Quando você faz upgrade do Sentinel da versão 7.3 para a versão 7.3 SP1 e inicia o servidor do Sentinel, é possível ver a seguinte exceção no registro do servidor:
Invalid length of data object ......
(Bug 933640)
Solução temporária: Ignore a exceção. Não há nenhum impacto no desempenho do Sentinel por causa dessa exceção.
Problema: As exibições de alerta e painéis de alerta do Sentinel não exibem alertas que possuem endereços IPv6 nos campos de endereço IP. (Bug 924874)
Solução temporária: Para ver alertas com endereços IPv6 no Sentinel, realize as etapas mencionadas no Artigo da Base de Conhecimento NetIQ 7016555.
Problema: Nas instalações com upgrade do Sentinel, ao pesquisar atributos de alerta na tabela Dicas da interface principal do Sentinel, a pesquisa não retorna a lista completa de campos do alerta. No entanto, os campos do alerta serão exibidos corretamente na tabela Dicas se você limpar a pesquisa. (Bug 914755)
Solução temporária: Não há solução temporária para esse problema.
Problema:
A sincronização de dados falha quando você tenta sincronizar campos de endereço IPv6 em um formato legível com bancos de dados externos. Para obter informações sobre como configurar o Sentinel para preencher os campos de endereço IP no formato de notação de ponto legível, consulte Creating a Data Synchronization Policy (Criando uma política de sincronização de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel). (Bug 913014)
Solução temporária: Para corrigir este problema, mude manualmente o tamanho máximo dos campos de endereço IP para pelo menos 46 caracteres no banco de dados de destino e sincronize novamente o banco de dados.
Problema: Se você executar uma pesquisa de evento quando o filtro de segurança da sua função estiver em branco e a sua função não tiver permissões de visualização de eventos, a pesquisa não será concluída. A pesquisa não exibe nenhuma mensagem de erro sobre as permissões inválidas de exibição de evento. (Bug 908666)
Solução temporária: Atualize a função com uma das opções a seguir:
Especifique critérios no campo Apenas os eventos que correspondem aos critérios. Se os usuários na função não puderem visualizar nenhum evento, digite NOT sev:[0 TO 5].
Selecione Exibir eventos do sistema.
Selecione Visualizar todos os dados de evento (incluindo dados não processados e dados do NetFlow).
Problema: Ao editar uma pesquisa gravada atualizada do Sentinel 7.2 para uma versão posterior, o painel Campos de evento, usado para especificar os campos de saída no arquivo CSV de relatório de pesquisa, não é exibido na página Programar. (Bug 900293)
Solução temporária: Após fazer o upgrade do Sentinel, recrie e reprograme a pesquisa para exibir o painel Campos de evento na página Programar.
Problema: O Sentinel não retorna nenhum evento correlacionado quando você pesquisa por todos os eventos correlacionados que foram gerados após a regra ser implantada ou habilitada, clicando no ícone ao lado de Contagem Acionada no painel Estatísticas de atividade na página Resumo da Correlação da regra. (Bug 912820)
Solução temporária: Mude o valor no campo De na página Pesquisa de evento para um horário anterior ao horário preenchido no campo e clique em Pesquisar novamente.
Problema: Durante a regeneração da linha de base de Inteligência de Segurança, as datas de início e de fim da linha de base são exibidas incorretamente como 1/1/1970. (Bug 912009)
Solução temporária: As datas corretas são atualizadas após a conclusão da regeneração da linha de base.
Problema: O servidor do Sentinel desliga ao executar uma pesquisa quando há um número grande de eventos indexado em uma única partição. (Bug 913599)
Solução temporária: Crie políticas de retenção de forma que haja pelo menos duas partições abertas em um dia. Ter mais de uma partição aberta ajuda a reduzir o número de eventos indexados nas partições.
Você pode criar políticas de retenção que filtrem eventos com base no campo estzhour, que controla a hora do dia. Dessa forma, é possível criar uma política de retenção com estzhour:[0 TO 11] como o filtro e outra política de retenção com estzhour:[12 TO 23] como o filtro.
Para obter mais informações, consulte Configuring Data Retention Policies (Configurando políticas de retenção de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel).
Problema: O Sentinel exibe um erro quando o script report_dev_setup.sh é usado para configurar as portas do Sentinel de exceção do firewall. (Bug 914874)
Solução temporária: Configure as portas do Sentinel de exceção do firewall com as etapas a seguir:
Abra o arquivo /etc/sysconfig/SuSEfirewall2.
Mude a linha a seguir:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
para
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie o Sentinel.
Problema: O desempenho do coletor genérico do Sentinel é reduzido quando o coletor do serviço de resolução de hostname genérico é habilitado no Microsoft Active Directory e no Windows Collector. O EPS diminui 50% quando as instâncias do Collector Manager remotas enviam eventos. (Bug 906715)
Solução temporária: Não há solução temporária para esse problema.
Problema: Quando você instala o Sentinel no modo FIPS 140-2, o conector com o banco de dados de Inteligência de Segurança falha ao iniciar e o Sentinel não consegue acessar a Inteligência de Segurança, o Netflow e os dados do alerta. (Bug 915241)
Solução temporária: Reinicie o Sentinel após a instalação e configuração no modo FIPS 140-2.
Problema: Ao exportar os resultados de pesquisa no Sentinel, o browser da web pode exibir uma mensagem de erro se você alterar as configurações de idioma do sistema operacional. (Bug 834874)
Solução temporária: Para exportar os resultados de pesquisa corretamente, realize uma das seguintes ações:
Ao exportar os resultados de pesquisa, remova quaisquer caracteres especiais (fora dos caracteres ASCII) do nome do arquivo de exportação.
Habilite a opção UTF-8 nas configurações de idioma do sistema operacional, reinicie a máquina e o servidor do Sentinel.
Problema: Enquanto você espera para abrir um resultado de relatório em PDF, relate principalmente os resultados de 1 milhão de eventos. Se você clicar em outro resultado de relatório em PDF para visualizar, o resultado de relatório não será exibido. (Bug 804683)
Solução temporária: Clique no segundo resultado de relatório em PDF novamente para ver o resultado do relatório.
Problema: Quando o modo FIPS 140-2 for ativado no seu ambiente do Sentinel, usar a autenticação do Windows para o Gerente de agente fará com que a sincronização com o banco de dados do Gerente de agente falhe. (Bug 814452)
Solução temporária: Use a autenticação SQL para o Gerente de agente quando o modo FIPS 140-2 estiver ativado no seu ambiente do Sentinel.
Problema: A instalação do Sentinel de Alta Disponibilidade no modo não FIPS 140-2 é concluída com sucesso, mas exibe o seguinte erro duas vezes:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Solução temporária: O erro é esperado e você pode ignorá-lo com segurança. Embora o instalador exiba o erro, a configuração de alta disponibilidade do Sentinel funciona com sucesso em modo não FIPS 140-2.
Problema: A interface principal do Sentinel exibe números negativos nas colunas Acessados e Duração da Tarefa de Pesquisa Ativa quando o relógio do computador da interface principal do Sentinel estiver atrasado em relação ao do servidor do Sentinel. Por exemplo, as colunas Duração e Acessados exibirão números negativos quando o relógio da interface principal do Sentinel estiver definido para 13:30 e o relógio do servidor do Sentinel estiver definido para 14:30. (Bug 719875)
Solução temporária: Verifique se a hora no computador usado para acessar a interface principal do Sentinel é a mesma ou está adiantada em relação à do computador do servidor do Sentinel.
Problema: Ao efetuar login no painel de segurança e pesquisar pelo evento de auditoria IssueSAMLToken, o evento de auditoria IssueSAMLToken exibe o nome de host (InitiatorUserName) ou (endereço IP) SourceIP incorretos. (Bug 870609)
Solução temporária: Não há solução temporária para esse problema.
Nosso objetivo é fornecer uma documentação que atende às suas necessidades. Se você tiver sugestões de melhorias, envie um e-mail para Documentation-Feedback@netiq.com. Valorizamos sua opinião e aguardamos seu contato.
Para obter informações de contato detalhadas, veja o site na web Informações de Contato de Suporte.
Para obter informações gerais sobre a empresa e o produto, consulte o site do NetIQ Corporate na web.
Para conversas interativas com seus pares e com os especialistas do NetIQ, torne-se membro ativo da nossa comunidade. A comunidade online do NetIQ fornece informações do produto e links para recursos, blogs e canais de mídia social úteis.
Para obter detalhes sobre informações legais da NetIQ, isenções de responsabilidades, garantias, exportação e outras restrições de uso, direitos restritos do Governo dos EUA, política de patente e conformidade de FIPS, consulte http://www.netiq.com/company/legal/.
Copyright © 2017 NetIQ Corporation. Todos os direitos reservados.