Sentinel 8.0 包含新的功能,改进了可用性,并解决了以前存在的多个问题。
其中的很多改进都是直接按照我们客户提供的建议做出的。我们非常感谢您在百忙中抽时间提供宝贵的意见。我们衷心地希望您能一如既往地帮助我们确保产品满足您的一切需求。您可以在 NetIQ 社区(我们的在线社区,其中还包括产品信息、博客以及指向有用资源的链接)中的 Sentinel 论坛上张贴反馈。
NetIQ 网站上提供了本产品 HTML 和 PDF 格式的文档,您无需登录即可访问该文档网页。如果您对文档改进有任何建议,请单击发布在 Sentinel NetIQ 文档页的 HTML 版本文档的任一页上的评论图标。若要下载该产品,请参见 Sentinel 产品升级网站。
有关此发行说明的最新版本,请参见 Sentinel 8.0 发行说明。
以下部分概述了主要功能和增强功能,以及此版本已解决的问题:
现在,您可以使用 Cloudera 的 Distribution Including Apache Hadoop (CDH) 框架将 Sentinel 配置为储存和管理大数据。使用基于 Hadoop 的可缩放储存,您可以通过单个 Sentinel 服务器将数据收集和可视化速率无缝地增至非常大的 EPS(每秒约 100 万个事件)。
配置有可缩放储存的 Sentinel 称为 Sentinel 可缩放数据管理器 (SSDM)。SSDM 版本的 Sentinel 提供了功能强大的可自定义事件可视化仪表板,有助于您搜索和查看事件,并对其进行详细的分析。您可以在分层系统中组合使用 SSDM 和配置有传统储存的 Sentinel,以执行更高级的分析功能,例如警报、关联和异常检测。
可缩放储存是可选的。根据 EPS 负载,您可以选择使用可缩放储存或传统储存。有关可缩放储存的详细信息,请参见《NetIQ Sentinel 安装和配置指南》中的数据储存注意事项
。
注:可缩放储存配置仅在 Sentinel 的新安装中可用。要使用此功能,您必须应用更新的许可证密钥,该密钥可通过客户关怀门户或 NetIQ 支持获得。
目前,Sentinel Web 控制台称为 Sentinel 主界面。
Sentinel 8.0 引入了威胁响应仪表板。通过将警报分组,例如状态、指派和优先级,该仪表板提供了当前工作负载的概述。采用这种方式对警报进行分组后,您便可以关注指派给您的高优先级警报并对其进行分类,然后再对其他警报进行分类。
对于角色为“操作员”的用户,威胁响应仪表板是用于警报查看和分类的主用户界面。任何拥有警报管理权限的用户,还都可以使用威胁响应仪表板。希望在 Sentinel 主界面中使用警报视图的用户可以单击左侧导航中的“Sentinel 主界面”。
Sentinel 认证平台有下面几项更新:
Sentinel 现已在以下平台上进行认证:
传统安装:
SUSE Linux Enterprise Server 12 SP1 64 位
Red Hat Enterprise Linux Server 7.2 64 位
设备安装: VMware ESX 6.0(对 ISO 和 OVF 都适用)
事件源: 适用于 UNIX 7.5 的安全代理
万维网浏览器: Microsoft Edge
Sentinel 弃用了以下平台:
传统安装:
SUSE Linux Enterprise Server 11 SP3 64 位
Red Hat Enterprise Linux Server 6.6 64 位
设备安装: Citrix XenServer 6.5(对 ISO 和 OVF 都适用)
万维网浏览器: Microsoft Internet Explorer 10
数据同步: Microsoft SQL Server 2005
有关认证平台的详细信息,请参见 Sentinel 的技术信息页面。
Sentinel 弃用了 Sentinel Control Center 内的活动视图,因此,您不再需要切换到多个用户界面,以实时查看事件。您可以使用 Sentinel 主界面中的实时事件视图,该视图提供了用于实时查看事件的高级选项。
有关详细信息,请参见《NetIQ Sentinel 用户指南》
中的实时查看事件。
Sentinel 现在包括一个名为 TenantID (tid) 的新事件字段,用于为每个租户都生成一个唯一的 ID。即使 TenantName 发生更改,此唯一的 ID 仍保持不变。现在,您便可以使用 tid 事件字段来搜索特定租户的事件了。根据 tid 字段,SSDM 会按租户隔离事件和原始数据。
Sentinel 8.0 包含以下增强功能:
一些 Sentinel 组件允许使用 TLSv1.0 进行通讯。为了改善安全状况,并防止已知的漏洞,您现在可以禁用 TLSv1.0,以便于 Sentinel 可以使用更高版本的 TLS,例如 TLSv1.1 和 TLSv1.2。有关详细信息,请参见《NetIQ Sentinel 管理指南》中的启用更高版本的 TLS 以进行通讯
。
“讯息 (msg)”事件字段的大小现已从 4000 个字符增至 8000 个字符。如果您已在早期版本的 Sentinel 中创建了数据同步策略,以将“讯息 (msg)”事件字段同步到外部数据库,则需要在外部数据库表中修改目标列大小,以反映该字段大小的增加。有关数据同步的详细信息,请参见《NetIQ Sentinel 管理指南》
中的配置数据同步。
现在,具有管理员角色的任何用户均可安装 Collector Manager 和 Correlation Engine。
此前,只有管理员用户有权安装 Collector Manager 和 Correlation Engine。这意味着,必须向安装 Collector Manager 和 Correlation Engine 的人员授予访问管理员用户身份凭证的权限,这可能会导致违反组织的安全实践。现在,您可以使用具有管理员角色的任何用户的身份凭证安装 Collector Manager 和 Correlation Engine。(Bug 982716)
Sentinel 8.0 根据最小权限原则修改“用户”角色的默认权限,以反映最佳实践。修改的“用户”角色没有“修改事件”权限。为避免破坏现有的环境,修改的权限不适用于升级。如果您要升级到 Sentinel 8.0,NetIQ 建议您手动修改“用户”角色的权限。有关详细信息,请参见《NetIQ Sentinel 管理指南》
中的配置角色和用户。
为帮助您更轻松地管理 Sentinel 生成的临时数据,Sentinel 8.0 为 Sentinel 临时文件添加了以下目录:
/var/opt/novell/sentinel/tmp
现有的 /tmp 目录中目前只包含操作系统临时文件。
Sentinel 8.0 包括 Java 8 update 102,该更新包括几个安全漏洞的修复。
Sentinel 8.0 包括用于解决多个问题的软件修复。
问题: Sentinel 不清理导出的关联目录中的事件关联数据。因此,该目录的大小会增加,这可能会导致性能问题。(Bug 891686)
修复:
现在,Sentinel 将导出的关联目录中的事件关联数据默认保留 14 天。但是,您可以更改此保留期限。有关如何配置事件关联数据的保留期限的详细信息,请参见《NetIQ Sentinel 管理指南》中的配置事件关联数据的保留期限
。
问题: 收集器实例使用单个 CPU 线程来处理数据。因此,来自事件源的大量数据可能会让收集器不堪重负,即使计算机上有未占用的 CPU 资源,也是如此。(Bug 908321)
修复: 您可以将收集器实例配置为使用多个线程。通过此项改进功能,收集器每秒可以处理更多数量的事件。
要配置线程数,请在“编辑收集器”对话框中单击“配置收集器”选项卡。将线程数设置为要使用的线程数。有关详细信息,请参见《NetIQ Sentinel 管理指南》中的连接到事件源
。
注:此更改不影响需要多条讯息才能分析单个事件的事件源。
问题: 将 Sentinel 转换为 FIPS 模式时,如果计算机上同时存在 32 位和 64 位 NSS RPM,则转换过程将失败。此时,将显示一条错误讯息,错误地指出该过程找不到一个或多个必要的 64 位 NSS 包。(Bug 978639)
修复: 现在,在转换过程中可以正确地识别 64 位 NSS RPM。
问题: 在 Sentinel 高可用性 (HA) 中,通过在主动节点上更新配置文件或在 Sentinel 主界面中进行更改来自定义 Sentinel 时,所做的更改未反映在被动节点上。需要手动启动同步。
例如,在以下情况下您必须手动启动同步:
通过在 /etc/opt/novell/sentinel/config/databasePlatforms.xml 文件中更新以下属性,将通讯协议更改为 SSL 时:
ssl=require
Sentinel 在 FIPS 模式下时,要将所有被动节点转换为 FIPS 模式的同步未成功执行。在此类情况中发生故障转移时,Sentinel 主界面未起动。
更改主动节点中的 LDAP 配置时,未同步到被动节点。因此,将无法在被动节点中鉴定 LDAP 帐户。
(Bug 845850)
修复: 在 Sentinel 高可用性 (HA) 中,如果您通过以下方式之一在主动节点上自定义 Sentinel,则所做的更改现在可以正确地反映在被动节点上:
更新配置文件
在 Sentinel 主界面中进行更改
进行更改之后,请在主动节点上运行 csync2 -x -v。
有关硬件要求、支持的操作系统和浏览器的信息,请参见 Sentinel 的技术信息页面。
有关安装 Sentinel 8.0 的信息,请参见《NetIQ Sentinel 安装和配置指南》。
您可以从 Sentinel 7.3 或更高版本升级到 Sentinel 8.0。
从 NetIQ 下载网站下载 Sentinel 安装程序。有关升级到 Sentinel 8.0 的信息,请参见《NetIQ Sentinel 安装和配置指南》
中的升级 Sentinel。
Sentinel 8.0 与 Change Guardian 4.2 和更高版本兼容。
升级之前,如果您的环境中运行的不是兼容此版本的 Sentinel 的 Change Guardian 版本,则您必须将 Change Guardian 服务器、代理和策略编辑器升级到 4.2 或更高版本。
如果按照Sentinel 7.3.2 发行说明
中的升级 NetIQ Change Guardian RPM 所述手动升级了 NetIQ Change Guardian RPM,则可以仅使用 WebYaST 在 Sentinel 7.3 SP2 或更高版本上升级 Sentinel 设备。
若要从 Sentinel 7.3 SP2 之前的版本升级设备,请使用 zypper 命令行实用程序,因为需要通过用户交互来完成升级。WebYaST 对所需要的用户交互没有辅助作用。有关使用 zypper 升级设备的详细信息,请参见《NetIQ Sentinel 安装和配置指南》
中的使用 zypper 升级设备。
(Bug 956278)
NetIQ Corporation 将努力确保我们的产品提供高品质的解决方案,以满足企业的软件需求。以下问题目前正在研究中。如果需要有关任何问题的进一步帮助,请联系技术支持。
Sentinel 中包含的 Java 8 更新可能会影响以下插件:
Cisco SDEE 连接器
SAP (XAL) 连接器
Remedy 集成商
有关这些插件的任何问题,NetIQ 将根据标准的缺陷处理策略优先考虑和修复这些问题。有关支持策略的详细信息,请参见支持策略。
问题: 高可用性模式的 SSDM 没有将相应的 HA 群集节点 IP 地址填充到 Elasticsearch 安全插件配置文件中。因此,搜索和事件可视化仪表板显示错误。
解决方法: 安装 Elasticsearch 安全插件以后,在 Elasticsearch 群集的每个节点上执行以下步骤:
以安装 Elasticsearch 时的用户身份登录到 Elasticsearch 节点。
将 HA 群集的每个主动节点和被动节点的物理 IP 地址的项添加到 <elasticsearch 安装目录>/plugins/elasticsearch-security-plugin/elasticsearch-ip-whitelist.txt 文件中,如下所示:
<群集节点物理 IP>:<目标 Elasticsearch HTTP 端口>
将每个项添加到新行中,然后保存文件。
在 <elasticsearch 安装目录>/plugins/elasticsearch-security-plugin/plugin-configuration.properties 文件中,将 authServer.host 属性设置为 HA 群集的虚拟 IP 地址,如下所示:
authServer.host=<群集虚拟 IP>
重启动 Elasticsearch。
问题: 在 SSDM 环境中,如果您使用默认选项创建了图块地图可视化项,则 Kibana 问题会使新建的图块地图可视化项在事件可视化仪表板中不起作用。有关 Kibana 问题的详细信息,请参见 https://github.com/elastic/kibana/issues/7717。(Bug 1001909)
解决方法: 创建新的图块地图可视化项后,请在选项下方选择兼容 WMS 的地图服务器。
问题: Kibana 问题使 Internet Explorer 11 无法打开事件可视化仪表板。(Bug 981308)
解决方法: 使用其他浏览器来查看或修改可视化仪表板。
问题: 如果您尝试在运行的是 SLES 11 SP4 操作系统的计算机上以 FIPS 模式安装 Sentinel,则安装过程将失败。(Bug 990201)
解决方法: 确保操作系统不处于 FIPS 模式,然后完成以下步骤:
安装 Sentinel。有关详细信息,请参见《 Sentinel 安装和配置指南》
中的安装 Sentinel。
启用 Sentinel 服务器,以在 FIPS 模式下运行。有关详细信息,请参见《Sentinel 安装和配置指南中的启用 Sentinel 服务器以在 FIPS 140-2 模式下运行
。
使用以下命令启用操作系统,以在 FIPS 模式下运行:
fips=1 /boot/grub/menu.lst
问题: Sentinel 无法通过 Sentinel Link Connector 接收事件。(Bug 989784)
解决方法: Sentinel Link 连接器版本 2011.1r4 解决了此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器的预览版本。
问题: NetIQ eDirectory 工具无法通过平台代理连接到审计连接器。因此,Sentinel 无法收到来自 eDirectory 的事件。出现此问题的原因是,eDirectory 工具使用 MD5 RSA 证书算法,该算法已在 Sentinel 8.0 (Bug 985312) 使用的 Java 8 更新 77 中弃用。
解决方法: 要允许 eDirectory 工具使用自定义证书,请执行 NetIQ 知识库文章 7017764 中所述的步骤。
问题: 如果在 Sentinel 7.4 SP1 中对口令储存进行更改,则将该设备从早期版本升级到 7.4 SP1 时会显示以下错误:
Failed to set encrypted password
(Bug 967764)
解决方法: 应该显示该警告,您可以安全地将其忽略。这对升级没有影响。
问题: 启用 SSDM 后,如果您登录到 Sentinel 主界面,则浏览器将显示空白页。(Bug 1006677)
解决方法: 关闭您的浏览器,然后重新登录到 Sentinel 主界面。在您启用 SSDM 后首次登录到 Sentinel 主界面时,该问题只出现一次。
问题: com.novell.sentinel.spark.StreamingEventIndexer 作业不支持 IPv6。如果事件中包含 IPv6 地址,则该作业将失败。(Bug 1006975)
解决方法: 解决方法是将 IP 类型更改为字符串。要进行此项更改,请与技术支持联系。
问题: 启用可缩放储存后,SSDM 服务器日志会显示以下讯息的多个实例:
SEVERE|TimerThreadPool pool|esecurity.ccs.comp.scalablestorage.KibanaVisualAnalyticsUtil.initializeKibanaMappingSearchUnsuccessful in initializing the kibana mapping search call with status code 400
(Bug 1009662)
解决方法: 您可以安全地忽略这些讯息。对功能没有任何影响。
问题: 将 Sentinel 从 7.3 版本升级到 7.3 SP1 版本并启动 Sentinel 服务器时,您可能会在服务器日志中看到以下异常:
Invalid length of data object ......
(Bug 933640)
解决方法: 不必在意该异常。没有因为该异常对 Sentinel 的性能产生影响。
问题: Sentinel 警报视图和警报仪表板不会在 IP 地址字段中显示含有 IPv6 地址的警报。(Bug 924874)
解决方法: 要在 Sentinel 中查看含有 IPv6 地址的警报,请执行在 NetIQ 知识库文章 7016555 中提到的步骤。
问题: Sentinel Link 连接器中存在着 Bar Mitzvah 安全漏洞。Sentinel Link 连接器在 SSL 和 TSL 协议中使用 RC4 算法,这可能会允许针对某个流中的初始字节进行明文恢复攻击。有关详细信息,请参见 CVE-2015-2808。(Bug 933741)
解决方法: Sentinel Link 连接器版本 2011.1r4 解决了此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器。
问题: 如果收集器分析事件支持多个连接模式,则代理管理器连接器版本 2011.1r3 不会设置事件中的 CONNECTION_MODE 属性。(Bug 880564)
解决方法: 代理管理器连接器版本 2011.1r5 及更高版本可以解决此问题。此版本在 Sentinel 插件网站上正式发布后,您可以从预览部分下载此连接器。
问题: Sentinel 代理管理器 7.3 忽略原始数据文件大小配置的 SMServiceHost.exe.config 文件中 RawDataTapFileSize 属性中所指定的值,并且当文件大小达到 10 MB 时停止写入原始数据文件。(Bug 867954)
解决方法: 在文件大小达到 10 MB 时,将原始数据文件的内容手动复制到其他文件,并清除原始数据文件的内容,以便 Sentinel 代理管理器能将新数据写入该文件。
问题: 在 Sentinel 的升级安装中,在 Sentinel 主界面的提示表中搜索警报属性时,该搜索不会返回警报字段的完整列表。但是,如果您清除该搜索,则会在提示表中正确显示警报字段。(Bug 914755)
解决方法: 目前没有任何解决方法。
问题:
在尝试将人类可读格式的 IPv6 地址字段同步到外部数据库时,数据同步失败。有关配置 Sentinel 来填充人类可读点标记格式的 IP 地址字段的信息,请参见《NetIQ Sentinel 管理指南》
中的创建数据同步策略。(Bug 913014)
解决方法: 若要修复此问题,请在目标数据库中手动将 IP 地址字段的最大大小更改为不少于 46 个字符,然后重新同步此数据库。
问题: 如果在您的角色的安全过滤器为空且您的角色没有事件查看许可权限的情况下运行事件搜索,则该搜索无法完成。该搜索不显示任何有关无效事件查看许可权限的错误讯息。(Bug 908666)
解决方法: 使用以下选项之一更新此角色:
在仅匹配准则的事件字段中指定准则。如果用户处于不应看到任何事件的角色中,则您可以输入 NOT sev:[0 TO 5]。
选择查看系统事件。
选择查看所有事件数据(包括原始数据和 NetFlow 数据)。
问题: 在编辑从 Sentinel 7.2 升级到后续版本的已保存搜索时,在日程表页中缺少用于指定搜索报告 CSV 中的输出字段的事件字段面板。(Bug 900293)
解决方法: 在升级 Sentinel 后,重创建并重安排搜索来查看日程表页中的事件字段面板。
问题: 当您通过单击该规则的关联摘要页的活动统计面板的 Fire 计数旁边的图标,搜索部署或启用该规则后生成的所有关联事件时,Sentinel 不会返回任何关联事件。(Bug 912820)
解决方法: 将事件搜索页中 From 字段的值更改为一个早于此字段中填充时间的时间,并再次单击搜索。
问题: 在安全智能基线重新生成期间,基线的开始和结束日期不正确,并显示为 1/1/1970。(Bug 912009)
解决方法: 在完成基线的重新生成后,更新正确的日期。
问题: 如果在单个分区中有大量索引的事件,运行搜索时,Sentinel 服务器会关闭。(Bug 913599)
解决方法: 通过在一天中至少打开两个分区的方式,创建保留策略。打开多个分区有助于减少分区中索引的事件数量。
您可以基于跟踪一天中小时的 estzhour 字段来创建过滤事件的保留策略。因此,您可以使用 estzhour:[0 TO 11] 作为过滤器来创建一个保留策略,并使用 estzhour:[12 TO 23] 作为过滤器来创建另一个保留策略。
有关详细信息,请参见《NetIQ Sentinel 管理指南》
中的配置数据保留策略。
问题: 当您使用 report_dev_setup.sh 脚本为防火墙异常配置 Sentinel 端口时,Sentinel 显示错误。(Bug 914874)
解决方法: 通过以下步骤,为防火墙异常配置 Sentinel 端口:
打开 /etc/sysconfig/SuSEfirewall2 文件。
将以下行:
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590"
更改为
FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432"
重启动 Sentinel。
问题: 当在 Microsoft Active Directory 和 Windows Collector 上启用通用主机名解析服务收集器时,Sentinel 通用收集器的性能会下降。当远程 Collector Manager 发送事件时,EPS 下降 50%。(Bug 906715)
解决方法: 目前没有任何解决方法。
问题: 当您在 FIPS 140-2 模式下安装 Sentinel 时,连接到安全智能数据库的连接器无法启动,并且 Sentinel 无法访问安全智能、Netflow 和警报数据。(Bug 915241)
解决方法: 在 FIPS 140-2 模式中进行安装和配置后,重启动 Sentinel。
问题: 当在 Sentinel 中导出搜索结果时,如果您修改操作系统语言设置,Web 浏览器可能显示一则错误信息。(Bug 834874)
解决方法: 若要正确导出搜索结果,请执行任一下列操作:
当导出搜索结果时,去除导出文件名中的任何特殊字符(ASCII 字符除外)。
启用操作系统语言设置中的 UTF-8,重启计算机,然后重启 Sentinel 服务器。
问题: 当您等待一个报告结果 PDF(具体而言,100 万个事件的报告结果)打开时,如果单击另一个报告结果 PDF 进行查看,则不会显示报告结果。(Bug 804683)
解决方法: 再次单击第二个报告结果 PDF 即可查看报告结果。
问题: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,如果对代理管理器使用 Windows 鉴定,将导致与代理管理器数据库的同步失败。(Bug 814452)
解决方法: 在 Sentinel 环境中启用了 FIPS 140-2 模式时,对代理管理器使用 SQL 鉴定。
问题: 在非 FIPS 140-2 模式下成功完成了 Sentinel 高可用性安装,但会显示以下错误两次:
/opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments
(Bug 810764)
解决方法: 应该显示该错误,您可以安全地将其忽略。虽然安装程序会显示错误,但 Sentinel 高可用性配置将在非 FIPS 140-2 模式下成功地正常工作。
问题: 当 Sentinel 主界面的计算机时钟比 Sentinel 服务器时钟慢时,Sentinel 主界面会在“活动搜索作业的持续时间”和“已访问”列中显示负数。例如,当 Sentinel 主界面时钟设置为 1:30 PM,而 Sentinel 服务器时钟设置为 2:30 PM 时,“持续时间”和“已访问”列便会显示负数。(Bug 719875)
解决方法: 确保您用于访问 Sentinel 主界面的计算机上的时间与 Sentinel 服务器计算机上的时间相同或比该时间要晚。
问题: 当您登录到安全性仪表板并进行 IssueSAMLToken 审计事件的搜索操作时,IssueSAMLToken 审计事件将显示错误的主机名 (InitiatorUserName) 或(IP 地址)SourceIP。(Bug 870609)
解决方法: 目前没有任何解决方法。
我们的目标是提供满足您的需要的文档。如果您有改进建议,请发送电子邮件至 Documentation-Feedback@netiq.com。我们会重视您的意见,欢迎您提供建议。
有关详细的联系信息,请参见支持联系信息网站。
有关一般的公司和产品信息,请参见 NetIQ 公司网站。
如需与您的同行以及 NetIQ 专家进行交流,不妨成为我们社区的活跃成员。NetIQ 在线社区会提供产品信息以及有用资源、博客和社交媒体渠道的实用链接。
有关 NetIQ 法律声明、商标、免责声明、保证条款、出口和其他使用限制、美国政府限制权限、专利政策以及 FIPS 合规性的信息,请参见 http://www.netiq.com/company/legal/。
版权所有 © 2016 NetIQ Corporation。保留所有权利。