O Sentinel 8.1 SP1 contém novos recursos, melhora o uso e resolve vários problemas anteriores.
Muitas destas melhorias foram feitas como resposta direta a sugestões de nossos consumidores. Agradecemos seu tempo e opiniões valiosas. Esperamos que você continue a nos ajudar para que nossos produtos atendam às suas necessidades. É possível publicar feedback no fórum do Sentinel, nossa comunidade online que também contém informações sobre produtos, blogs e links para recursos úteis.
A documentação deste produto está disponível nos formatos HTML e PDF no site da NetIQ, em uma página que não requer login. Se você tiver sugestões para aprimoramentos da documentação, clique no ícone de comentário em qualquer página na versão HTML da documentação publicada na página Documentação do Sentinel. Para fazer download deste produto, acesse o site Upgrade do Produto Sentinel.
As seções a seguir destacam os principais recursos e aprimoramentos, além dos problemas resolvidos nesta versão:
O Sentinel 8.1.1 contém ajustes para resolver a vulnerabilidade do Sweet32 (CVE-2016-2183).
O Sentinel inclui o Java 8 atualização 152, que traz correções para várias vulnerabilidades de segurança.
O Sentinel 8.1.1 inclui as seguintes melhorias:
Novos eventos de auditoria para mensagens de "Falha ao correlacionar"
Adiciona a capacidade de atribuir a permissão para Ver os resultados do relatório a uma função
Capacidade de definir o horário de término para sincronização de dados
Capacidade de adicionar até 60 caracteres para um nome de usuário
Melhorias na taxa de atualização do tamanho de retenção de dados brutos
Coluna summary_key como a chave primária para as tabelas de resumo de eventos
Agora, o Sentinel gera eventos de auditoria para mensagens de "Falha ao correlacionar" que ocorrem quando:
Eventos chegam atrasados com uma diferença de tempo maior que 30 segundos.
O buffer de reordenação está cheio.
(Bug 1018336)
Problema: Os clientes solicitaram a capacidade de criar uma função que deixaria um usuário ver os resultados de um relatório, mas não executar relatórios nem os apagar. A permissão para Ver os resultados do relatório existe, mas não pode ser concedida a uma função em Gestão de usuário/funções. (Bug 1047479)
Correção: Agora, é possível tornar visível a permissão para Ver os resultados do relatório na Gestão de usuário/funções para poder atribuir essa permissão a uma função. Execute as seguintes etapas:
Abra o arquivo /etc/opt/novell/sentinel/config/ui-configuration.properties para edição.
Adicione a seguinte propriedade:
viewReportResults.hideUI=false
Grave as mudanças feitas.
Saia e reinicie a IU da Web.
Você também deve pressionar Control-F5 para limpar o cache do browser.
Navegue até Gestão de usuário/funções e crie uma nova função.
Você deve ver a permissão para Ver os resultados do relatório.
Ao editar relatórios, o Seletor de data não mostra mais a data em que o relatório foi executado pela última vez. Agora, o padrão é exibir a data atual para evitar a necessidade de clicar muitos meses para a frente se o Horário de Início é mais antigo que a data atual. (Bug 1016005)
Agora, é possível definir o horário de término para uma política de sincronização de dados para que seja possível sincronizar dados somente para determinados períodos de tempo. Essa capacidade está disponível somente para novas políticas de sincronização de dados e não está disponível para políticas de sincronização de dados já existentes. (Bug 1053484)
É possível digitar no máximo 60 caracteres no campo Nome de usuário quando se cria um usuário. (Bug 1063025)
As seguintes melhorias foram implementadas para o intervalo de atualização do tamanho de retenção de dados brutos na interface do usuário Armazenamento > Eventos > Retenção de dados:
O intervalo de atualização padrão do tamanho de retenção de dados brutos foi mudado para 12 horas para evitar problemas de desempenho quando os dados brutos forem grandes.
O intervalo padrão do tempo de espera foi mudado para 60 minutos.
É possível personalizar esses valores padrão, quando necessário:
Efetue login no servidor do Sentinel como usuário novell.
No diretório /etc/opt/novell/sentinel/config, crie um arquivo como: obj-component.DiskStatisticsCache.properties.
No arquivo de propriedades, defina as propriedades para os valores desejados, como a seguir:
<obj-component id="DiskStatisticsCache"> <class>esecurity.ccs.comp.auth.DiskStatisticsCache</class> <property name="onlineRawDataCheckInterval">value_in_milliseconds</property> <property name="onlineRawDataTaskTimeoutPeriod">value_in_milliseconds</property> </obj-component>
Reinicie o servidor do Sentinel.
(Bug 1027773)
A coluna summary_key nas tabelas de resumo de eventos agora é uma chave primária, que permite que outras ferramentas do banco de dados utilizem os metadados adequados. (Bug 1048739)
O Sentinel 8.1.1 inclui correções de software que resolvem os seguintes problemas:
Os resultados da pesquisa no arquivo CSV exportado estão em branco
As notificações de email para relatórios agendados não exibem AM ou PM para o horário
O Sentinel Main na aplicação não inicia quando é atualizado do Sentinel 7.0.3.x ou anterior
O Sentinel não responde após a habilitação da integração ISE
Os campos de eventos não exibem as informações do Gerenciador de Coletor
A tela de alertas filtra adequadamente os dados para "Todos os novos alertas"
Os resultados da pesquisa da federação de dados contêm eventos duplicados
O mecanismo de correlação indica o status como offline quando o mecanismo está, na verdade, inativo.
Erros nos logs do servidor quando o campo de mensagem no evento tem mais de 8.000 caracteres
A sincronização de dados não funciona após a atualização do Sentinel para a versão 8.1.0.1
A seção Agent Manager na página principal do Sentinel está bloqueada
A geração de relatório falha se os eventos contêm caracteres especiais
O gerenciador de coletor não reinicia quando há grandes diferenças de evento
O alerta automático sempre atualiza EventThroughputUtilization ao chegar a 100% de utilização
report_dev_setup.sh não faz backup do arquivo de configuração do firewall
O botão Testar conectividade no console do Sentinel Agente Manager inicia com um ping
Não é possível ver alertas com dados IPv6 nas exibições de alertas
Problema: Quando se exportam resultados de pesquisa que incluem eventos do armazenamento secundário, o arquivo CSV contém somente os cabeçalhos e não os resultados da pesquisa. (Bug 1043709, Bug 1073502)
Correção: O arquivo CSV agora inclui os resultados da pesquisa exportados.
As notificações de email agora exibem AM ou PM de modo adequado. (Bug 1040423)
O Sentinel Main agora é iniciado com sucesso. (Bug 1047106)
O API (Application Programming Interface) EventSearch Rest é completado com sucesso sem nenhuma exceção. (Bug 1038133)
Problema: O mecanismo de correlação não acionará eventos do dia atual se o evento anterior tiver uma marcação de horário posterior da data da época. Ele exibe a exceção O buffer de reordenação de correlação está cheio e acaba falhando. (Bug 1036765)
Correção: O mecanismo de correlação agora aciona os eventos do dia atual sem exceções.
Problema: Dois ou três dias após a integração ISE, o Sentinel para de responder. Os logs do servidor do Sentinel incluem a seguinte mensagem, que indica exceções de falta de memória e a incapacidade de criar threads.
java.lang.OutOfMemoryError: unable to create new native thread
Este problema era resultado do grande número de atualizações do mapa que a integração ISE aciona, assim como de um problema específico dos mapas com exatamente uma chave “RANGE” mais uma ou mais chaves “STRING”. Quando este conjunto específico de circunstâncias ocorria, o Sentinel criava um diretório h2temp separado para cada valor exclusivo de chave string. Isso significava que, quando o arquivo ISE ipmap.csv tinha mais de 6.000 entradas (como pode ocorrer tipicamente durante as horas normais de funcionamento), o Sentinel recriava os mais de 6.000 diretórios h2temp para cada atualização de mapa de 30 segundos. (Bug 1036765)
Correção: O mapa padrão usado para armazenar mapas, que contém especificamente uma chave “RANGE” mais uma ou mais chaves “STRING”, agora é um mapa na memória. O mapa não usa um banco de dados H2 e, portanto, não precisa criar os diversos diretórios h2temp.
NOTA:É possível configurar se os mapas de faixa/chave usam objetos que precisam de diretórios temporários. Adicione a nova propriedade do sistema sentinel.mapping.h2.useDbRangeMap ao arquivo configuration.properties do Sentinel. A propriedade do sistema tem os seguintes valores:
false: Use objetos DataObjectKeyRangeMap, que não precisam de diretórios temporários (valor padrão)
true: Use objetos DBRangeMapDataObjectStorage, que precisam de diretórios temporários
Problema: Se você executa uma pesquisa por eventos e então clica no botão Pesquisar enquanto a pesquisa ainda está sendo executada, o painel de refinamento exibe a seguinte mensagem:
Contagens de campo com base nos primeiros 0 eventos.
(Bug 999743)
Correção: O botão Pesquisar agora permanece desabilitado enquanto a pesquisa está sendo executada. Depois que todos os trabalhos forem concluídos, o botão Pesquisar estará novamente disponível.
Problema: A documentação do API (Application Programming Interface) não lista todas as bibliotecas download de clientes de que o API (Application Programming Interface) REST necessita para funcionar adequadamente. (Bug 1047684)
Correção: A documentação do API (Application Programming Interface) do Sentinel agora lista todas as bibliotecas de download de que o API (Application Programming Interface) REST necessita.
Problema: Quando um servidor do Sentinel perde contato com o Gerenciador de Coletor, o servidor gera os eventos internos LostContactWithCollectorManager e CollectorManagerDown. Os campos de eventos CollectorNodeName(porta) e CollectorManagerId(rv21) nesses eventos internos não exibem as informações relacionadas ao Gerenciador de Coletor. (Bug 1050941)
Correção: Os campos de eventos CollectorNodeName(porta) e CollectorManagerId(rv21) agora exibem corretamente o nome do Gerenciador de Coletor e o ID do gerenciador de coletor.
Todos os relatórios programados agora são executados com sucesso. (Bug 1051167)
O Sentinel Core Top 10 e o Sentinel Core Top 10 Dashboard Reports agora levam menos tempo para serem executados. (Bug 1040660)
Esta versão resolve um problema no qual o Sentinel exibe erroneamente todos os alertas, mesmo quando se seleciona o filtro Todos os novos alertas na Tela de alertas. (Bug 991732)
O API (Application Programming Interface) REST /SentinelRESTServices/objects/plugin agora fornece informações de plugins em um formato legível. (Bug 992162)
A tarefa de pesquisa agendada agora é executada com sucesso. (Bug 1049055)
O relatório do Sentinel Core Top 10 agora é executado com sucesso. (Bug 1055336)
Problema: Quando se usa a federação de dados para pesquisar eventos em um ambiente distribuído, a página Resultados da Pesquisa exibe eventos duplicados. (Bug 1048000)
Correção: A página Resultados da Pesquisa já não exibe mais eventos duplicados.
Esta versão soluciona um problema no qual o processo de sincronização de dados de agentes (ETL) falhava com uma exceção se um agente adicionado fosse sincronizado com o Sentinel antes que o Sentinel Agente Manager coletasse os atributos do agente. (Bug 1050192)
O mecanismo de correlação agora indica o seu status como inativo quando ele está no estado inativo. (Bug 1062386)
Problema: Quando o campo Mensagem de um evento tem mais de 8.000 caracteres, o Sentinel trunca a mensagem. Ele imprime os primeiros 8.000 caracteres, assim como os caracteres truncados juntamente com a seguinte mensagem nos logs, o que resulta em logs preenchidos com as informações da mensagem:
Valor do atributo msg é longo demais. O tamanho é de 4.096 utf-8 (cada caractere pode ter vários bytes), o máximo é de 4.000 bytes, truncando <caracteres_truncados>
(Bug 927550)
Correção: O Sentinel agora exibe somente 256 caracteres da mensagem trucada no log server0.0.
A sincronização de dados funciona com sucesso após a atualização do Sentinel para 8.1.0.1. (Bug 1052566)
Problema: Na guia Coleta de dados > Fontes de eventos, a seção Agent Manager está bloqueada e é necessário usar o Sentinel Control Center para realizar qualquer operação. (Bug 1008335)
Correção: A seção Agent Manager agora está habilitada na página principal do Sentinel.
A geração de relatório tem êxito mesmo se os eventos contêm caracteres especiais. (Bug 1060132)
O gerenciador de coletor agora é reiniciado com sucesso e processa as diferenças de fontes de eventos como esperado. (Bug 1049771)
Problema: O alerta automático sempre atualiza EventThroughputUtilization ao chegar a 100% de utilização, mesmo quando não há alertas sendo gerados. (Bug 1065679)
Correção: As atualizações do alerta automático agora exibem a real porcentagem de EventThroughputUtilization.
Problema: Quando há vários Gerenciadores de Coletor configurados com um servidor Sentinel, o endpoint do API (Application Programming Interface) collectormgr-status exibe o erro 404 não encontrado mesmo com os gerenciadores de coletor presentes. (Bug 1011921)
Correção: O API (Application Programming Interface) collectormgr-status agora exibe o status corretamente.
O script report_dev_setup.sh agora faz o backup do arquivo de configuração do firewall, tornando possível reverter facilmente em caso de falhas. O script também contém melhorias para melhorar o uso. (Bug 752657)
NOTA:O arquivo SuSEfirewall2 somente é gravado cm backup quando a porta PostgreSQL não é adicionada à configuração do firewall SUSE.
Problema: Testar conectividade inicia com um ping, o que é um problema de segurança.(Bug 1009722)
Correção: O botão Testar Conectividade não usa mais um pacote ICMP (ping) seguido de um comando HTTP para a porta do conector como parte do procedimento de teste. Agora ele conta apenas com o comando HTTP para validar o sucesso da conexão. Isso pode fazer o teste de conectividade demorar até um minuto a mais quando a extremidade remota não está ativa ou não está respondendo de modo adequado.
Problema: Uma mudança no armazenamento de senhas no Sentinel 7.4 SP1 ao fazer upgrade da aplicação de versões anteriores a 7.4 SP1 resulta na exibição do seguinte erro:
Failed to set encrypted password
(Bug 967764)
Correção: O Sentinel não mais exibe a mensagem de aviso.
Problema: Quando você faz upgrade do Sentinel da versão 7.3 para a versão 7.3 SP1 e inicia o servidor do Sentinel, é possível ver a seguinte exceção no registro do servidor:
Invalid length of data object ......
(Bug 933640)
Correção: O Sentinel não exibe mais a exceção durante o upgrade.
Problema: As exibições de alerta e painéis de controle de alerta do Sentinel não exibem alertas que possuem endereços IPv6 nos campos de endereço IP. (Bug 924874)
Correção: As exibições de alertas e os painéis de alerta agora exibem alertas que têm endereços IPv6 nos campos de endereço IP.
Para obter informações sobre os requisitos de hardware, os sistemas operacionais e os navegadores suportados, consulte a página Informações técnicas do Sentinel.
Para obter informações sobre como instalar o Sentinel 8.1.1, consulte o Guia de instalação e configuração do NetIQ Sentinel.
Você pode fazer upgrade para o Sentinel 8.1.1 do Sentinel 7.4 e posterior. Para obter informações sobre como fazer upgrade para o Sentinel 8.1.1, consulte o Guia de instalação e configuração do NetIQ Sentinel.
A NetIQ Corporation se esforça para garantir que nossos produtos forneçam soluções de qualidade para suas necessidades de software empresarial. Os problemas a seguir estão sendo atualmente pesquisados. Se você precisar de assistência adicional com qualquer problema, entre em contato com o Suporte técnico.
A atualização do Java 8 incluída no Sentinel pode impactar os seguintes plug-ins:
Conector Cisco SDEE
Conector SAP (XAL)
Integrador do Remedy
Caso haja problemas com esses plug-ins, o NetIQ priorizará e corrigirá os problemas de acordo com as políticas de gerenciamento de defeitos padrão. Para obter mais informações sobre as políticas de suporte, consulte Políticas de suporte.
Seção 5.1, O Sentinel não pode executar relatórios locais com a licença EPS padrão
Seção 5.2, É impossível converter o Sentinel para modo FIPS por causa de um problema com Mozilla NSS
Seção 5.3, O Correlation Engine é desconectado após o upgrade
Seção 5.5, Não é possível iniciar o Painel de controle de visualização de eventos
Seção 5.6, Não é possível instalar o Sentinel no SLES 11 SP4 em modo FIPS
Seção 5.9, A pesquisa de evento não responderá se você não tiver uma permissão de exibição de evento
Seção 5.15, O Gerente de agente exige autenticação SQL quando o modo FIPS 140-2 for ativado
Seção 5.16, A instalação de alta disponibilidade do Sentinel em modo não FIPS 140-2 exibe um erro
Seção 5.17, Imprecisões de colunas Acessados e Duração de trabalhos de pesquisa ativa
Seção 5.20, Falha na sincronização de dados ao sincronizar endereços IPv6 no formato legível
Seção 5.21, Não é possível exibir mais de um Relatório de Resultado de cada vez
Problema: Se o seu ambiente tiver a licença padrão EPS 25 e você executar um relatório, o relatório falhará com o seguinte erro:
License for Distributed Search feature is expired (O recurso de Licença para Pesquisa Distribuída expirou)
Solução temporária: Para executar relatórios na mesmo JVM que o Sentinel, conclua as seguintes etapas:
Efetue login no servidor do Sentinel e abra o arquivo /etc/opt/novell/sentinel/config/server.xml.
Localize a seguinte propriedade:
<property name="reporting.process.oktorunstandalone">true</property>
Mude a configuração para false:
<property name="reporting.process.oktorunstandalone">false</property>
Reinicie o Sentinel.
Problema: Ao tentar converter o Sentinel (Server, RCM ou RCE) para o modo FIPS durante a instalação ou após a instalação, um problema com os pacotes do Mozilla NSS que são fornecidos pelo sistema operacional SLES 12 impedem que a conversão seja concluída com sucesso. A conversão para no prompt para a senha do banco de dados keystore, mesmo que a senha especificada atenda aos critérios esperados. (Bug 1065329)
Solução temporária: Para converter o Sentinel para o modo FIPS, realize as seguintes etapas:
Efetue login no Sentinel Server, RCM ou RCE como o usuário root.
Inicie o gerente do software YaST:
yast sw_single
Pesquise os seguintes pacotes e instale ou faça o upgrade para a versão mais recente:
mozilla-nss-tools
libfreebl3-hmac
libsoftokn3-hmac
Limpe os artefatos das tentativas anteriores de conversão para FIPS:
rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile
Repita a conversão para FIPS.
Problema: Mudanças recentes na forma como o Sentinel valida as regras causarão falhas de conexão no Correlation Engine se o seu ambiente tiver uma regra implantada mais antiga com sintaxe incorreta. (Bug 1039598)
Solução temporária: Para reconectar o Correlation Engine, você pode corrigir a sintaxe na regra que está causando o problema e, em seguida, reiniciar o Sentinel.
Para encontrar a regra e corrigir sua sintaxe, conclua as seguintes etapas:
No arquivo server.log, pesquise Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine).
Por exemplo, ao pesquisar Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine), você verá uma mensagem de registro similar à seguinte:
Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Failed to initialize CorrelationEngine (Falha ao inicializar o CorrelationEngine)
Mova a barra de rolagem para cima para ver a mensagem de registro anterior, que especifica a regra e exibe sua sintaxe. Isso será semelhante ao seguinte:
Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate
Root cause: Duration must be within a day (antlr.RecognitionException)
esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != "apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip))
Nesse exemplo, a mensagem de registro indica que o problema ocorreu porque a duração especificada foi maior que um dia. A sintaxe da regra especifica mais segundos (86460) do que há em um dia (86400).
Efetue login no Sentinel.
Abra uma nova guia do browser.
Na nova guia, vá para o seguinte URL:
https://<YOUR SENTINEL IP>:8443/SentinelRESTServices/objects/correlation-rule
Para encontrar o nome e o ID da regra na lista de regras de correlação, pesquise uma parte exclusiva da sintaxe da regra, como 86460.
(Condicional) Se você não conseguir encontrar o nome e o ID da regra na lista de regras de correlação, conclua as seguintes etapas:
No prompt de comando, alterne para o usuário novell. Utilize o seguinte comando:
su -novell
Mude para o diretório /opt/novell/sentinel/bin.
Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'"
Em que UniqueText é uma parte exclusiva de sintaxe da regra, como 86460.
(Condicional) Se você ainda não alternou para o usuário novell, abra um prompt de comando e alterne para o usuário novell. Utilize o seguinte comando:
su -novell
Mude para o diretório /opt/novell/sentinel/bin.
Verifique se a regra está no banco de dados. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Atualize a regra com um novo filtro que não acionará um erro durante a validação. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Verifique se o filtro foi mudado no banco de dados. Use o seguinte comando do SQL:
./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID"
Em que RuleID é o ID da regra que você encontrou anteriormente.
Pare o Sentinel. Utilize o seguinte comando:
./server.sh stop
Reinicie o Sentinel. Utilize o seguinte comando:
./server.sh start
Problema: Quando você converte o nó ativo para o modo FIPS 140-2 no Sentinel de Alta Disponibilidade, a sincronização para converter todos os nós passivos para o modo FIPS 140-2 não é completamente executada. Você deve iniciar a sincronização manualmente. (Bug 1014472)
Solução temporária: Sincronize manualmente todos os nós passivos para o modo FIPS 140-2 da seguinte maneira:
Efetue login como o usuário root no nó ativo.
Abra o arquivo /etc/csync2/csync2.cfg.
Mude a linha a seguir:
include /etc/opt/novell/sentinel/3rdparty/nss/*;
para
include /etc/opt/novell/sentinel/3rdparty/nss/*;
Grave o arquivo csync2.cfg.
Inicie a sincronização manualmente executando o seguinte comando:
csync2 -x -v
Problema: Um problema impede o Internet Explorer 11 de abrir o painel de controle de Visualização de Eventos. (Bug 981308)
Solução temporária: Use um browser diferente para ver e modificar o painel de controle de visualização.
Problema: Se você tentar instalar o Sentinel em um computador que estiver executando o sistema operacional SLES 11 SP4 em modo FIPS, o processo de instalação falhará. (Bug 990201)
Solução temporária: Verifique se o sistema operacional não está em modo FIPS e, então, conclua as seguintes etapas:
Instale o Sentinel. Para obter mais informações, consulte Installing Sentinel (Instalando o Sentinel)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Habilite o servidor do Sentinel para executar no modo FIPS. Para obter mais informações, consulte Enabling Sentinel Server to Run in FIPS 140-2 Mode (Habilitando o servidor do Sentinel para executar no modo FIPS 140-2)
no Sentinel Installation and Configuration Guide (Guia de Instalação e Configuração do Sentinel).
Use o comando a seguir para habilitar a execução do sistema operacional em modo FIPS:
fips=1 /boot/grub/menu.lst
Problema: Após habilitar o SSDM, quando você efetuar login na interface principal do Sentinel, o browser exibirá uma página em branco. (Bug 1006677)
Solução temporária: Feche o seu browser e efetue login novamente na interface principal do Sentinel. Esse problema acontece somente uma vez, ao efetuar login na interface principal do Sentinel pela primeira vez após habilitar o SSDM.
Problema: Nas instalações com upgrade do Sentinel, ao pesquisar atributos de alerta na tabela Dicas da interface principal do Sentinel, a pesquisa não retorna a lista completa de campos do alerta. No entanto, os campos do alerta serão exibidos corretamente na tabela Dicas se você limpar a pesquisa. (Bug 914755)
Solução temporária: Não há solução temporária para esse problema.
Problema: Se você executar uma pesquisa de evento quando o filtro de segurança da sua função estiver em branco e a sua função não tiver permissões de visualização de eventos, a pesquisa não será concluída. A pesquisa não exibe nenhuma mensagem de erro sobre as permissões inválidas de exibição de evento. (Bug 908666)
Solução temporária: Atualize a função com uma das opções a seguir:
Especifique critérios no campo Apenas os eventos que correspondem aos critérios. Se os usuários na função não puderem visualizar nenhum evento, digite NOT sev:[0 TO 5].
Selecione Exibir eventos do sistema.
Selecione Visualizar todos os dados de evento (incluindo dados não processados e dados do NetFlow).
Problema: Ao editar uma pesquisa gravada atualizada do Sentinel 7.2 para uma versão posterior, o painel Campos de evento, usado para especificar os campos de saída no arquivo CSV de relatório de pesquisa, não é exibido na página Programar. (Bug 900293)
Solução temporária: Após fazer o upgrade do Sentinel, recrie e reprograme a pesquisa para exibir o painel Campos de evento na página Programar.
Problema: O Sentinel não retorna nenhum evento correlacionado quando você pesquisa por todos os eventos correlacionados que foram gerados após a regra ser implantada ou habilitada, clicando no ícone ao lado de Contagem Acionada no painel Estatísticas de atividade na página Resumo da Correlação da regra. (Bug 912820)
Solução temporária: Mude o valor no campo De na página Pesquisa de evento para um horário anterior ao horário preenchido no campo e clique em Pesquisar novamente.
Problema: Durante a regeneração da linha de base de Inteligência de Segurança, as datas de início e de fim da linha de base são exibidas incorretamente como 1/1/1970. (Bug 912009)
Solução temporária: As datas corretas são atualizadas após a conclusão da regeneração da linha de base.
Problema: O Sentinel exibe um erro quando o script report_dev_setup.sh é usado para configurar as portas do Sentinel de exceção do firewall. (Bug 914874)
Solução temporária: Configure as portas do Sentinel de exceção do firewall com as etapas a seguir:
Abra o arquivo /etc/sysconfig/SuSEfirewall2.
Mude a linha a seguir:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
para
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
Reinicie o Sentinel.
Problema: O desempenho do coletor genérico do Sentinel é reduzido quando o coletor do serviço de resolução de hostname genérico é habilitado no Microsoft Active Directory e no Windows Collector. O EPS diminui 50% quando as instâncias do Collector Manager remotas enviam eventos. (Bug 906715)
Solução temporária: Não há solução temporária para esse problema.
Problema: Quando o modo FIPS 140-2 for ativado no seu ambiente do Sentinel, usar a autenticação do Windows para o Gerente de agente fará com que a sincronização com o banco de dados do Gerente de agente falhe. (Bug 814452)
Solução temporária: Use a autenticação SQL para o Gerente de agente quando o modo FIPS 140-2 estiver ativado no seu ambiente do Sentinel.
Problema: A instalação do Sentinel de Alta Disponibilidade no modo não FIPS 140-2 é concluída com sucesso, mas exibe o seguinte erro duas vezes:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
Solução temporária: O erro é esperado e você pode ignorá-lo com segurança. Embora o instalador exiba o erro, a configuração de alta disponibilidade do Sentinel funciona com sucesso em modo não FIPS 140-2.
Problema: A interface principal do Sentinel exibe números negativos nas colunas Acessados e Duração da Tarefa de Pesquisa Ativa quando o relógio do computador da interface principal do Sentinel estiver atrasado em relação ao do servidor do Sentinel. Por exemplo, as colunas Duração e Acessados exibirão números negativos quando o relógio da interface principal do Sentinel estiver definido para 13:30 e o relógio do servidor do Sentinel estiver definido para 14:30. (Bug 719875)
Solução temporária: Verifique se a hora no computador usado para acessar a interface principal do Sentinel é a mesma ou está adiantada em relação à do computador do servidor do Sentinel.
Problema: Ao efetuar login no painel de controle de segurança e pesquisar pelo evento de auditoria IssueSAMLToken, o evento de auditoria IssueSAMLToken exibe o nome de host (InitiatorUserName) ou (endereço IP) SourceIP incorretos. (Bug 870609)
Solução temporária: Não há solução temporária para esse problema.
Problema: O servidor do Sentinel desliga ao executar uma pesquisa quando há um número grande de eventos indexado em uma única partição. (Bug 913599)
Solução temporária: Crie políticas de retenção de forma que haja pelo menos duas partições abertas em um dia. Ter mais de uma partição aberta ajuda a reduzir o número de eventos indexados nas partições.
Você pode criar políticas de retenção que filtrem eventos com base no campo estzhour, que controla a hora do dia. Dessa forma, é possível criar uma política de retenção com estzhour:[0 TO 11] como o filtro e outra política de retenção com estzhour:[12 TO 23] como o filtro.
Para obter mais informações, consulte Configuring Data Retention Policies (Configurando políticas de retenção de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel).
Problema:
A sincronização de dados falha quando você tenta sincronizar campos de endereço IPv6 em um formato legível com bancos de dados externos. Para obter informações sobre como configurar o Sentinel para preencher os campos de endereço IP no formato de notação de ponto legível, consulte Creating a Data Synchronization Policy (Criando uma política de sincronização de dados)
no NetIQ Sentinel Administration Guide (Guia de Administração do NetIQ Sentinel). (Bug 913014)
Solução temporária: Para corrigir este problema, mude manualmente o tamanho máximo dos campos de endereço IP para pelo menos 46 caracteres no banco de dados de destino e sincronize novamente o banco de dados.
Problema: Enquanto você espera para abrir um resultado de relatório em PDF, relate principalmente os resultados de 1 milhão de eventos. Se você clicar em outro resultado de relatório em PDF para visualizar, o resultado de relatório não será exibido. (Bug 804683)
Solução temporária: Clique no segundo resultado de relatório em PDF novamente para ver o resultado do relatório.
Nosso objetivo é fornecer uma documentação que atende às suas necessidades. Se você tiver sugestões de melhorias, envie um e-mail para Documentation-Feedback@netiq.com. Valorizamos sua opinião e aguardamos seu contato.
Para obter informações de contato detalhadas, veja o site na web Informações de Contato de Suporte.
Para obter informações gerais sobre a empresa e o produto, consulte o site do NetIQ Corporate na web.
Para conversas interativas com seus pares e com os especialistas do NetIQ, torne-se membro ativo da nossa comunidade. A comunidade online do NetIQ fornece informações do produto e links para recursos, blogs e canais de mídia social úteis.
Para obter detalhes sobre informações legais da NetIQ, isenções de responsabilidades, garantias, exportação e outras restrições de uso, direitos restritos do Governo dos EUA, política de patente e conformidade de FIPS, consulte http://www.netiq.com/company/legal/.
Copyright © 2018 NetIQ Corporation. Todos os direitos reservados.