O Sentinel 8.1 contém novos recursos, melhora a usabilidade e resolve vários problemas anteriores.
Muitas destas melhorias foram feitas como resposta direta a sugestões de nossos consumidores. Agradecemos seu tempo e opiniões valiosas. Esperamos que você continue a nos ajudar para que nossos produtos atendam às suas necessidades. É possível publicar no fórum do Sentinel nas NetIQ Communities, nossa comunidade online que também inclui informações do produto, blogs e links para recursos úteis.
A documentação deste produto está disponível nos formatos HTML e PDF no site da NetIQ, em uma página que não requer login. Se você tiver sugestões para aprimoramentos da documentação, clique no ícone de comentário em qualquer página na versão HTML da documentação publicada na página Documentação do NetIQ Sentinel. Para fazer download deste produto, acesse o site Upgrade do Produto Sentinel.
Para a última versão desses detalhes da versão, consulte Detalhes da versão do Sentinel 8.1.
A seguir, descrevemos os principais recursos e funções oferecidos nestas seções, bem como os problemas solucionados neste lançamento:
Seção 1.5, Desativação de exibições de alerta e exibições de evento na página principal do Sentinel
Seção 1.6, Adições à funcionalidade de armazenamento escalável
Seção 1.7, Configurando fontes de dados do Threat Intelligence
Seção 1.8, Gerenciamento de listas dinâmicas na página principal do Sentinel
O Sentinel 8.1 fornece correções adicionais para resolver a vulnerabilidade CVE-2016-1000031, que foi descoberta por Jacob Baines da Tenable Network Security. Gostaríamos de agradecer a Jacob Baines por encontrar e nos relatar essas vulnerabilidades de segurança.
O Sentinel 8.1 apresenta os novos métodos de autenticação a seguir:
Autenticação do Kerberos: usa criptografia de chave secreta para fornecer autenticação forte.
AMF (Autenticação Multifator): um método mais avançado de autenticação que usa uma combinação de dois fatores. Por exemplo, uma combinação de uma senha e um token ou um smart card e uma impressão digital.
Autenticação OAuth: permite que os usuários efetuem login no Sentinel usando provedores, como Google ou Facebook.
O Sentinel 8.1 apresenta os novos painéis de controle a seguir:
Painel de controle de integridade de segurança: fornece uma visão geral de alto nível da segurança do sistema à medida que se refere a ameaças de endereços IP de baixa reputação, vulnerabilidades e exploração potencial de quaisquer vulnerabilidades. O painel de controle fornece uma visão geral de alto nível do estado atual da segurança do sistema, incluindo informações sobre se o sistema está protegido ou comprometido.
Painel de controle de visão geral dos eventos: fornece uma visão geral de alto nível de todos os eventos recebidos. Os widgets fornecem informações sobre tipos específicos, como eventos de correlação, eventos de sistema e outros.
O Sentinel 8.1 apresenta a capacidade de gerenciar vários painéis de controle. Na primeira que efetuar login, o Sentinel direcionará você à função Gerenciar painéis de controle. Lá, você pode:
Acessar qualquer painel de controle ao qual tem permissões
Criar um novo painel de controle
Definir painéis de controle como sua home page
Com a disponibilidade dos painéis de controle Visão geral de eventos e Threat Intelligence em , as e as em serão descontinuadas futuramente para evitar redundância das interfaces de usuário para esses recursos.
Essa liberação inclui várias adições para expandir a funcionalidade de armazenamento escalável do Sentinel:
O SSDM (Sentinel Scalable Data Manager) agora inclui os seguintes recursos do Sentinel Enterprise:
Correlação
Correlação de padrão de evento em tempo real
Ações desencadeadas por regras de correlação
Triagem de alertas e visualização
Integração de dados de identidade do usuário
Coleta e visualização do NetFlow
Federação de dados
Designer de soluções
Para obter informações sobre os serviços do Sentinel Enterprise e recursos não disponíveis do SSDM, consulte Configuração de armazenamento escalável
no Guia de configuração e instalação do NetIQ Sentinel.
Não é mais necessário fazer uma instalação de atualização do Sentinel para usar o recurso de armazenamento escalável. Agora é possível habilitar o armazenamento escalável até mesmo em instalações de upgrade do Sentinel. Para obter informações sobre como habilitar o armazenamento escalável, consulte Configurando armazenamento escalável
no Guia de administração do NetIQ Sentinel.
Se desejar alavancar seus dados existentes no armazenamento tradicional no Sentinel com armazenamento escalável, agora você poderá migrar dados do armazenamento tradicional para o armazenamento escalável. Para obter mais informações, consulte Migrando dados do Sentinel com armazenamento tradicional
no Guia de administração do NetIQ Sentinel.
Em uma configuração de armazenamento escalável na qual a taxa EPS é usualmente alta, os mecanismos de correlação podem ser carregados com um grande número de eventos para processar. Por padrão, todos os eventos são enviados para todos os mecanismos de correlação. Para evitar a sobrecarga do evento, é possível verificar a utilização de EPS no mecanismo de correlação e, então, distribuir a carga de evento igualmente em vários mecanismos de correlação, se necessário. Distribuir eventos nos mecanismos de correlação não apenas ajuda no balanceamento da carga de evento, mas também ajuda a separar locatários de eventos para mecanismos de correlação específicos. Por exemplo, em um ambiente com vários locatários, é possível configurar mecanismos de correlação designados para cada locatário de modo que o mecanismo de correlação processe eventos específicos para cada locatário.
A opção para distribuir eventos nos mecanismos de correlação está disponível apenas no Sentinel com armazenamento escalável. Para obter mais informações, consulte Distribuindo eventos nos mecanismos de correlação
no Guia do usuário do NetIQ Sentinel.
O Pacote de solução do Threat Intelligence nas versões anteriores do Sentinel inclui fontes de dados como Palevo e ZeuS, que fornecem uma lista conhecida de endereços IP botnet. A partir do Sentinel 8.1, essas fontes de dados já não fazem parte do Pacote de Solução e estão disponíveis prontas para uso ao instalar o Sentinel. Além do Palevo e do Zeus, o Sentinel também fornece fontes de dados adicionais que proporcionam informações sobre ameaças existentes ou emergentes à segurança de uma organização. Muitas dessas fontes de dados são atualizadas diariamente. O Sentinel fornece a capacidade de fazer download desses dados em um arquivo de mapa, atualizá-los em intervalos programados ou conforme necessário e incorporar as informações de ameaças relevantes em regras de correlação. A opção para gerenciar essas fontes de dados de inteligência de ameaças está agora disponível em > na página principal do Sentinel.
Para obter mais informações, consulte Configurando fontes de dados do Threat Intelligence
no Guia de administração do NetIQ Sentinel.
Não é mais necessário usar o Sentinel Control Center para configurar ou gerenciar as listas dinâmicas. A interface do usuário para configurar e gerenciar listas dinâmicas agora está disponível na página principal do Sentinel com usabilidade aprimorada. Para obter mais informações, consulte Configurando listas dinâmicas
no Guia do usuário do NetIQ Sentinel.
Há várias atualizações para as plataformas certificadas do Sentinel. Para obter mais detalhes sobre as plataformas certificadas, consulte a página Informações técnicas para o Sentinel.
O Sentinel agora está certificado nas seguintes plataformas:
Instalação tradicional:
SUSE Linux Enterprise Server (SLES) 12 SP2 de 64 bits
Red Hat Enterprise Linux Server 6.8 de 64 bits
Instalação da aplicação:
VMware ESX 6.5 (para ISO e OVF)
Hyper-V Server 2016 (somente ISO)
Sincronização de dados: Microsoft SQL Server 2016
SUSE Linux Enterprise Server 12 SP1
Novas instalações do Sentinel incluem as versões mais recentes de diversos plug-ins do Sentinel. Essas versões incluem as últimas correções de software, atualizações de documentação e melhorias para o plug-in. Para obter mais informações, consulte a documentação do plug-in específico no Site na Web dos Plug-ins do Sentinel.
As instalações de upgrade do Sentinel atualizam os seguintes plug-ins para verificar se eles são compatíveis com o Sentinel 8.1 e posterior:
Sentinel Agent Manager Connector para a versão 2017.1r1
Sentinel Link Connector para a versão 2011.1r5
O Sentinel 8.1 inclui correções de software que resolvem diversos problemas.
O relatório falha se a "data inicial" é posterior à data atual
Gravar uma pesquisa como CSV não mantém a ordem dos campos especificada
Algumas opções de critérios de edição criam pesquisas inválidas
O certificado personalizado faz com que o Sentinel Agent Manager não se conecte ao Sentinel
A API (Application Programming Interface) /SentinelRESTServices/objects/alert/count sempre retorna 0
Os campos de detalhes do evento exibem datas no formato incorreto
Várias mensagens SEVERE nos registros do servidor após habilitar o armazenamento escalável
O Sentinel Agent Manager 7.3 não considera a configuração RawDataTapFileSize
As visualizações de mapa lado a lado não funcionam no Gerenciador de dados escaláveis do Sentinel
Problema: Quando uma tarefa de relatório falha, você não pode pesquisá-la como um evento. (Bug 1017358)
Correção: Agora é possível pesquisar uma tarefa de relatório com falha como um evento.
Problema: O Sentinel permite o registro de fontes de evento das quais os eventos chegam e cujo atraso é superior ao limite especificado. Isso é útil para solução de problemas relacionados à chegada em atraso. O Sentinel não estava atualizando o arquivo de registro com as fontes de eventos. (Bug 979931)
Correção: O Sentinel agora atualiza o arquivo de registro como parte do instantâneo de desempenho.
Problema: Se você configurar uma definição de anomalia para enviar uma notificação por e-mail quando houver um desvio da linha de base, o Sentinel não poderá enviar o e-mail e retornará um erro IllegalStateException. (Bug 816622)
Correção: O Sentinel agora envia o e-mail corretamente.
Problema: Ocorre uma falha no relatório quando você programa um relatório para ser executado com o intervalo de data atual, mas a está no futuro. (Bug 914094)
Correção: O Sentinel permite definir para uma data futura para relatar fontes de eventos que não estejam corretamente sincronizadas no tempo. O Sentinel agora executa o relatório sem erros.
Problema: Ao gravar uma pesquisa como um arquivo CSV, o arquivo CSV não mantém a ordem dos campos especificada. (Bug 979916)
Correção: Ao gravar uma pesquisa como um arquivo CSV, o arquivo CSV agora mantém a ordem dos campos especificada.
Problema: Se você reiniciar o serviço do Sentinel em um computador com o Collector Manager com vários coletores de bancos de dados, alguns dos coletores não conseguem fazer a reconexão com as fontes de eventos. (Bug 1015375, Bug 1041866)
Correção: Todos os coletores agora se reconectam após você reiniciar o serviço do Sentinel.
Problema: Se você modificar os critérios para uma pesquisa e selecionar , ou , os resultados da pesquisa serão inválidos. (Bug 894421)
Correção: As opções , ou não estão mais disponíveis ao editar os critérios de pesquisa.
Problema: Se um assunto de certificado personalizado contiver vários atributos ou caracteres especiais, o Sentinel Agent Manager não conseguirá se conectar ao Sentinel. (Bug 1018133)
Correção: O Sentinel Agent Manager agora consegue se conectar ao Sentinel quando o assunto de certificado personalizado contém vários atributos ou caracteres especiais.
Problema: Quando você faz upgrade do Sentinel 8.0 e posterior, o instalador exibe o seguinte erro:
Installing: novell-Sentinelwebapp-8.0.0.1-3404 [done] Additional rpm output: /var/tmp/rpm-tmp.28463: line 263: [: search.hideUI=false: binary operator expected /var/tmp/rpm-tmp.40511: line 254: [: too many arguments
(Bug 1025512)
Correção: Este erro não ocorre mais durante o processo de upgrade.
Problema: Executar a API (Application Programming Interface) /SentinelRESTServices/objects/alert/count sempre retorna 0, mesmo se houverem vários alertas. (Bug 1028317)
Correção: A API (Application Programming Interface) /SentinelRESTServices/objects/alert/count agora retorna o número correto de alertas.
Problema: Ao exibir todos os detalhes do evento, as horas e as datas são mostradas no formato UTC (Tempo Universal Coordenado) incorreto. (Bug 1031523, Bug 1034531)
Correção: Os campos de detalhes do evento agora exibem todas as datas no formato apropriado para o idioma especificado no seu browser.
Problema: Após habilitar o armazenamento escalável, os registros do servidor SSDM exibem diversas instâncias da seguinte mensagem:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
Você pode ignorar essas mensagens com segurança. Não há impacto funcional. (Bug 1009662)
Correção: Os registros do servidor SSDM não exibem mais essa mensagem.
Problema: O SSDM no modo de HA (alta disponibilidade) não preenche os endereços IP adequados dos nós do cluster de HA nos arquivos de configuração de plug-in de segurança do Elasticsearch. Como resultado, pesquisas e painéis de controle de visualização de eventos mostram erros. (Bug 1012251)
Correção: O SSDM no modo de alta disponibilidade agora preenche corretamente os endereços IP adequados dos nós do cluster de HA nos arquivos de configuração de plug-in de segurança do Elasticsearch.
Problema: Em uma instalação baseada em RPM do Elasticsearch, painéis de controle de Visualização de Eventos e pesquisas no SSDM não funcionam. (Bug 1014448)
Correção: Os painéis de controle de visualização de eventos e as pesquisas no SSDM agora funcionam.
Problema: O NetIQ eDirectory Instrumentation não é capaz de se conectar com o Audit Connector por meio do Agente de Plataforma. Como resultado, o Sentinel não pode receber eventos do eDirectory. Esse problema ocorre porque o eDirectory Instrumentation usa algoritmo de certificado RSA MD5, que foi descontinuado na atualização 77 do Java 8 usado no Sentinel 8.1.(Bug 985312)
Correção: Uma nova versão do Audit Connector permite que o Sentinel receba eventos do eDirectory.
Problema: A tarefa com.novell.sentinel.spark.StreamingEventIndexer não suporta IPv6. Se um evento contiver um endereço IPv6, a tarefa falhará. (Bug 1006975)
Correção: A tarefa com.novell.sentinel.spark.StreamingEventIndexer agora dá suporte a IPv6.
Problema: O Sentinel Agent Manager 7.3 ignora o valor especificado no atributo RawDataTapFileSize do arquivo SMServiceHost.exe.config para a configuração do tamanho do arquivo de dados brutos e interrompe a gravação no arquivo de dados brutos quando o tamanho do arquivo atinge 10 MB. (Bug 867954)
Correção: O Sentinel Agent Manager usa corretamente os valores especificados no atributo RawDataTapFileSize no arquivo SMServiceHost.exe.config e grava novos dados ao arquivo de dados brutos.
Problema: Em ambientes do SSDM, se você criar uma visualização de mapa lado a lado com as opções padrão, um problema com o Kibana evitará que a nova visualização de mapa lado a lado funcione no painel de controle de visualização de eventos. Para obter mais informações sobre o problema do Kibana, consulte https://github.com/elastic/kibana/issues/7717. (Bug 1001909)
Correção: As visualizações de mapa lado a lado com opções padrão agora funcionam corretamente no painel de controle de Visualização de Eventos.
Para obter informações sobre os requisitos de hardware, os sistemas operacionais e os navegadores suportados, consulte a página Informações técnicas do Sentinel.
Para obter informações sobre como instalar o Sentinel 8.1, consulte o Guia de instalação e configuração do NetIQ Sentinel.
Você pode fazer upgrade para o Sentinel 8.1 do Sentinel 7.4 e posterior.
Para obter informações sobre como fazer upgrade para o Sentinel 8.1, consulte o Guia de instalação e configuração do NetIQ Sentinel.
A NetIQ Corporation se esforça para garantir que nossos produtos forneçam soluções de qualidade para suas necessidades de software empresarial. Os problemas a seguir estão sendo atualmente pesquisados. Se você precisar de assistência adicional com qualquer problema, entre em contato com o Suporte técnico.
A atualização do Java 8 incluída no Sentinel pode impactar os seguintes plug-ins:
Conector Cisco SDEE
Conector SAP (XAL)
Integrador do Remedy
Caso haja problemas com esses plug-ins, o NetIQ priorizará e corrigirá os problemas de acordo com as políticas de gerenciamento de defeitos padrão. Para obter mais informações sobre as políticas de suporte, consulte Políticas de suporte.
Seção 5.2, O Sentinel não pode executar relatórios locais com a licença EPS padrão
Seção 5.3, O Correlation Engine é desconectado após o upgrade
Seção 5.6, Não é possível iniciar o Painel de controle de visualização de eventos
Seção 5.7, Não é possível instalar o Sentinel no SLES 11 SP4 em modo FIPS
Seção 5.11, Não é possível ver alertas com dados IPv6 nas exibições de alertas
Seção 5.13, Falha na sincronização de dados ao sincronizar endereços IPv6 no formato legível
Seção 5.22, Não é possível exibir mais de um Relatório de Resultado de cada vez
Seção 5.23, O Gerente de agente exige autenticação SQL quando o modo FIPS 140-2 for ativado
Seção 5.24, A instalação de alta disponibilidade do Sentinel em modo não FIPS 140-2 exibe um erro
Seção 5.25, Imprecisões de colunas Acessados e Duração de trabalhos de pesquisa ativa
Problema: A instalação da aplicação Collector Manager e Correlation Engine falha no modo MFA se o idioma do sistema operacional é diferente do inglês. (Bug 1045967)
Solução temporária: Instale as aplicações Collector Manager e Correlation Engine em inglês. Após concluir a instalação, mude o idioma conforme desejado.
Problema: Se o seu ambiente tiver a licença padrão EPS 25 e você executar um relatório, o relatório falhará com o seguinte erro:
License for Distributed Search feature is expired (O recurso de Licença para Pesquisa Distribuída expirou)
Solução temporária: Para executar relatórios na mesmo JVM que o Sentinel, conclua as seguintes etapas:
Efetue login no servidor do Sentinel e abra o arquivo /etc/opt/novell/sentinel/config/server.xml.
Localize a seguinte propriedade:
<property name="reporting.process.oktorunstandalone">true</property>
Mude a configuração para false:
<property name="reporting.process.oktorunstandalone">false</property>
Reinicie o Sentinel.
Problema: Mudanças recentes na forma como o Sentinel valida as regras causarão falhas de conexão no Correlation Engine se o seu ambiente tiver uma regra implantada mais antiga com sintaxe incorreta. (Bug 1039598)
Solução temporária: Para reconectar o Correlation Engine, você pode corrigir a sintaxe na regra que está causando o problema e, em seguida, reiniciar o Sentinel.
Para encontrar a regra e corrigir sua sintaxe, conclua as seguintes etapas:
No arquivo server.log, pesquise Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine).
Por exemplo, ao pesquisar Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine), você verá uma mensagem de registro similar à seguinte:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine)
Mova a barra de rolagem para cima para ver a mensagem de registro anterior, que especifica a regra e exibe sua sintaxe. Isso será semelhante ao seguinte:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
Nesse exemplo, a mensagem de registro indica que o problema ocorreu porque a duração especificada foi maior que um dia. A sintaxe da regra especifica mais segundos (86460) do que há em um dia (86400).
Efetue login no Sentinel.
Abra uma nova guia do browser.
Na nova guia, vá para o seguinte URL:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
Para encontrar o nome e o ID da regra na lista de regras de correlação, pesquise uma parte exclusiva da sintaxe da regra, como 86460.
(Condicional) Se você não conseguir encontrar o nome e o ID da regra na lista de regras de correlação, conclua as seguintes etapas:
No prompt de comando, alterne para o usuário novell. Utilize o seguinte comando:
su -novell
Mude para o diretório /opt/novell/sentinel/bin.
Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
Em que UniqueText é uma parte exclusiva de sintaxe da regra, como 86460.
(Condicional) Se você ainda não alternou para o usuário novell, abra um prompt de comando e alterne para o usuário novell. Utilize o seguinte comando:
su -novell
Mude para o diretório /opt/novell/sentinel/bin.
Verifique se a regra está no banco de dados. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Atualize a regra com um novo filtro que não acionará um erro durante a validação. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Verifique se o filtro foi mudado no banco de dados. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Pare o Sentinel. Utilize o seguinte comando:
./server.sh stop
Reinicie o Sentinel. Utilize o seguinte comando:
./server.sh start
Problema: O SSDM no modo de alta disponibilidade não preenche os endereços IP adequados dos nós do cluster de HA nos arquivos de configuração de plug-in de segurança do Elasticsearch. Como resultado, pesquisas e painéis de controle de visualização de eventos mostram erros.
Solução temporária: Após instalar o plug-in de segurança do Elasticsearch, realize as seguintes etapas em cada nó do cluster do Elasticsearch:
Efetue login no nó do Elasticsearch como o usuário com o qual o Elasticsearch foi instalado.
Adicione entradas para o endereço IP físico de cada nó ativo e passivo do cluster de HA no arquivo <diretório_instalação_elasticsearch>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt a seguir:
<IP_físico_nó_cluster>:<Porta_HTTP_Elasticsearch_Destino>
Adicione cada entrada em uma nova linha e grave o arquivo.
No arquivo <diretório_instalação_elasticsearch>/plugins/elasticsearch-security-plugin/plugin-configuration.properties, defina a propriedade authServer.host para o endereço IP virtual do cluster de HA da maneira a seguir:
authServer.host=<IP_Virtual_Cluster>
Reinicie o Elasticsearch.
Problema: Quando você converte o nó ativo para o modo FIPS 140-2 no Sentinel de Alta Disponibilidade, a sincronização para converter todos os nós passivos para o modo FIPS 140-2 não é completamente executada. Você deve iniciar a sincronização manualmente. (Bug 1014472)
Solução temporária: Sincronize manualmente todos os nós passivos para o modo FIPS 140-2 da seguinte maneira:
Efetue login como o usuário root no nó ativo.
Abra o arquivo /etc/csync2/csync2.cfg.
Mude a linha a seguir:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
para
include /etc/opt/novell/sentinel/3rdparty/nss/*;
Grave o arquivo csync2.cfg.
Inicie a sincronização manualmente executando o seguinte comando:
csync2 -x -v
Problema: Um problema impede o Internet Explorer 11 de abrir o painel de controle de Visualização de Eventos. (Bug 981308)
Solução temporária: Use um browser diferente para ver e modificar o painel de controle de visualização.
Problema: Se você tentar instalar o Sentinel em um computador que estiver executando o sistema operacional SLES 11 SP4 em modo FIPS, o processo de instalação falhará. (Bug 990201)
Solução temporária: Verifique se o sistema operacional não está em modo FIPS e, então, conclua as seguintes etapas:
Instale o Sentinel. Para obter mais informações, consulte Installing Sentinel (Instalando o Sentinel)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Habilite o servidor do Sentinel para executar no modo FIPS. Para obter mais informações, consulte Enabling Sentinel Server to Run in FIPS 140-2 Mode (Habilitando o servidor do Sentinel para executar no modo FIPS 140-2)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Use o comando a seguir para habilitar a execução do sistema operacional em modo FIPS:
fips=1 /boot/grub/menu.lst
Problema: Uma mudança no armazenamento de senhas no Sentinel 7.4 SP1 ao fazer upgrade da aplicação de versões anteriores a 7.4 SP1 resulta na exibição do seguinte erro:
Failed to set encrypted password
(Bug 967764)
Solução temporária: O aviso é esperado e você pode ignorá-lo com segurança. Não afeta o upgrade.
Problema: Após habilitar o SSDM, quando você efetuar login na interface principal do Sentinel, o browser exibirá uma página em branco. (Bug 1006677)
Solução temporária: Feche o seu browser e efetue login novamente na interface principal do Sentinel. Esse problema acontece somente uma vez, ao efetuar login na interface principal do Sentinel pela primeira vez após habilitar o SSDM.
Problema: Quando você faz upgrade do Sentinel da versão 7.3 para a versão 7.3 SP1 e inicia o servidor do Sentinel, é possível ver a seguinte exceção no registro do servidor:
Invalid length of data object ......
(Bug 933640)
Solução temporária: Ignore a exceção. Não há nenhum impacto no desempenho do Sentinel por causa dessa exceção.
Problema: As exibições de alerta e painéis de controle de alerta do Sentinel não exibem alertas que possuem endereços IPv6 nos campos de endereço IP. (Bug 924874)
Solução temporária: Para ver alertas com endereços IPv6 no Sentinel, realize as etapas mencionadas no Artigo da Base de Conhecimento NetIQ 7016555.
Problema: Nas instalações com upgrade do Sentinel, ao pesquisar atributos de alerta na tabela Dicas da interface principal do Sentinel, a pesquisa não retorna a lista completa de campos do alerta. No entanto, os campos do alerta serão exibidos corretamente na tabela Dicas se você limpar a pesquisa. (Bug 914755)
Solução temporária: Não há solução temporária para esse problema.
Problema:
A sincronização de dados falha quando você tenta sincronizar campos de endereço IPv6 em um formato legível com bancos de dados externos. Para obter informações sobre como configurar o Sentinel para preencher os campos de endereço IP no formato de notação de ponto legível, consulte Creating a Data Synchronization Policy (Criando uma política de sincronização de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel). (Bug 913014)
Solução temporária: Para corrigir este problema, mude manualmente o tamanho máximo dos campos de endereço IP para pelo menos 46 caracteres no banco de dados de destino e sincronize novamente o banco de dados.
Problema: Se você executar uma pesquisa de evento quando o filtro de segurança da sua função estiver em branco e a sua função não tiver permissões de visualização de eventos, a pesquisa não será concluída. A pesquisa não exibe nenhuma mensagem de erro sobre as permissões inválidas de exibição de evento. (Bug 908666)
Solução temporária: Atualize a função com uma das opções a seguir:
Especifique critérios no campo . Se os usuários na função não puderem visualizar nenhum evento, digite .
Selecione .
Selecione .
Problema: Ao editar uma pesquisa gravada atualizada do Sentinel 7.2 para uma versão posterior, o painel , usado para especificar os campos de saída no arquivo CSV de relatório de pesquisa, não é exibido na página Programar. (Bug 900293)
Solução temporária: Após fazer o upgrade do Sentinel, recrie e reprograme a pesquisa para exibir o painel na página Programar.
Problema: O Sentinel não retorna nenhum evento correlacionado quando você pesquisa por todos os eventos correlacionados que foram gerados após a regra ser implantada ou habilitada, clicando no ícone ao lado de no painel na página Resumo da Correlação da regra. (Bug 912820)
Solução temporária: Mude o valor no campo na página Pesquisa de evento para um horário anterior ao horário preenchido no campo e clique em novamente.
Problema: Durante a regeneração da linha de base de Inteligência de Segurança, as datas de início e de fim da linha de base são exibidas incorretamente como 1/1/1970. (Bug 912009)
Solução temporária: As datas corretas são atualizadas após a conclusão da regeneração da linha de base.
Problema: O servidor do Sentinel desliga ao executar uma pesquisa quando há um número grande de eventos indexado em uma única partição. (Bug 913599)
Solução temporária: Crie políticas de retenção de forma que haja pelo menos duas partições abertas em um dia. Ter mais de uma partição aberta ajuda a reduzir o número de eventos indexados nas partições.
Você pode criar políticas de retenção que filtrem eventos com base no campo estzhour, que controla a hora do dia. Dessa forma, é possível criar uma política de retenção com estzhour:[0 TO 11] como o filtro e outra política de retenção com estzhour:[12 TO 23] como o filtro.
Para obter mais informações, consulte Configuring Data Retention Policies (Configurando políticas de retenção de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel).
Problema: O Sentinel exibe um erro quando o script report_dev_setup.sh é usado para configurar as portas do Sentinel de exceção do firewall. (Bug 914874)
Solução temporária: Configure as portas do Sentinel de exceção do firewall com as etapas a seguir:
Abra o arquivo /etc/sysconfig/SuSEfirewall2.
Mude a linha a seguir:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
para
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie o Sentinel.
Problema: O desempenho do coletor genérico do Sentinel é reduzido quando o coletor do serviço de resolução de hostname genérico é habilitado no Microsoft Active Directory e no Windows Collector. O EPS diminui 50% quando as instâncias do Collector Manager remotas enviam eventos. (Bug 906715)
Solução temporária: Não há solução temporária para esse problema.
Problema: Ao exportar os resultados de pesquisa no Sentinel, o browser da web pode exibir uma mensagem de erro se você alterar as configurações de idioma do sistema operacional. (Bug 834874)
Solução temporária: Para exportar os resultados de pesquisa corretamente, realize uma das seguintes ações:
Ao exportar os resultados de pesquisa, remova quaisquer caracteres especiais (fora dos caracteres ASCII) do nome do arquivo de exportação.
Habilite a opção UTF-8 nas configurações de idioma do sistema operacional, reinicie a máquina e o servidor do Sentinel.
Problema: Enquanto você espera para abrir um resultado de relatório em PDF, relate principalmente os resultados de 1 milhão de eventos. Se você clicar em outro resultado de relatório em PDF para visualizar, o resultado de relatório não será exibido. (Bug 804683)
Solução temporária: Clique no segundo resultado de relatório em PDF novamente para ver o resultado do relatório.
Problema: Quando o modo FIPS 140-2 for ativado no seu ambiente do Sentinel, usar a autenticação do Windows para o Gerente de agente fará com que a sincronização com o banco de dados do Gerente de agente falhe. (Bug 814452)
Solução temporária: Use a autenticação SQL para o Gerente de agente quando o modo FIPS 140-2 estiver ativado no seu ambiente do Sentinel.
Problema: A instalação do Sentinel de Alta Disponibilidade no modo não FIPS 140-2 é concluída com sucesso, mas exibe o seguinte erro duas vezes:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Solução temporária: O erro é esperado e você pode ignorá-lo com segurança. Embora o instalador exiba o erro, a configuração de alta disponibilidade do Sentinel funciona com sucesso em modo não FIPS 140-2.
Problema: A interface principal do Sentinel exibe números negativos nas colunas Acessados e Duração da Tarefa de Pesquisa Ativa quando o relógio do computador da interface principal do Sentinel estiver atrasado em relação ao do servidor do Sentinel. Por exemplo, as colunas Duração e Acessados exibirão números negativos quando o relógio da interface principal do Sentinel estiver definido para 13:30 e o relógio do servidor do Sentinel estiver definido para 14:30. (Bug 719875)
Solução temporária: Verifique se a hora no computador usado para acessar a interface principal do Sentinel é a mesma ou está adiantada em relação à do computador do servidor do Sentinel.
Problema: Ao efetuar login no painel de controle de segurança e pesquisar pelo evento de auditoria IssueSAMLToken, o evento de auditoria IssueSAMLToken exibe o nome de host (InitiatorUserName) ou (endereço IP) SourceIP incorretos. (Bug 870609)
Solução temporária: Não há solução temporária para esse problema.
Nosso objetivo é fornecer uma documentação que atende às suas necessidades. Se você tiver sugestões de melhorias, envie um e-mail para Documentation-Feedback@netiq.com. Valorizamos sua opinião e aguardamos seu contato.
Para obter informações de contato detalhadas, veja o site na web Informações de Contato de Suporte.
Para obter informações gerais sobre a empresa e o produto, consulte o site do NetIQ Corporate na web.
Para conversas interativas com seus pares e com os especialistas do NetIQ, torne-se membro ativo da nossa comunidade. A comunidade online do NetIQ fornece informações do produto e links para recursos, blogs e canais de mídia social úteis.
Para obter detalhes sobre informações legais da NetIQ, isenções de responsabilidades, garantias, exportação e outras restrições de uso, direitos restritos do Governo dos EUA, política de patente e conformidade de FIPS, consulte http://www.netiq.com/company/legal/.
Copyright © 2017 NetIQ Corporation. Todos os direitos reservados.