Sentinel 7.3.0.1 版本說明

問題： 您無法編輯與其中一個觸發操作結合的複雜關連規則，例如 Window、Sequence、Distinct 或 Gate 操作。例如，您無法編輯「PCI 8.5 多位使用者帳戶存取」及「PCI 8.5 單位使用者多帳戶」關連規則。然而，關連規則會如預期般運作。(錯誤 917737)

修復： 現在您可以編輯包含觸發操作的複雜關連規則。

問題： SpyEye Tracker 饋送的資料提供者已停止更新此饋送，宣稱 SpyEye 威脅似乎已降低。此饋送外掛程式仍在 Sentinel 套裝中。由於資料提供者不再提供有效的威脅饋送，饋送外掛程式會使用未預期的資料填入動態清單，相關的關連規則也無法正常運作。「饋送」使用者介面只會顯示已成功處理的資料，但不會顯示資料無效。(錯誤 916560)。

解決方式： SpyEye Tracker 外掛程式不會對您的伺服器造成任何問題，但您可透過移除此饋送外掛程式和其相關的 Sentinel 物件來節省系統資源：動態清單和關連規則。

問題： 在已升級的 Sentinel 7.3 安裝中，當您在 Web 主控台的「秘訣」表格中搜尋警示屬性時，搜尋無法傳回警示欄位的完整清單。不過，若您清除搜尋，「秘訣」表格中的警示欄位即可正確顯示。(錯誤 914755)

解決方式： 目前尚未提供解決方式。

問題： 當 Sentinel 伺服器以 FIPS 140-2 模式執行時，若 Java Runtime Environment (JRE) 版本為 8 或更新版本，則您無法使用 Java Web Start 在用戶端電腦中啟動 Sentinel 控制中心和 Solution Designer。(錯誤 910452)

因應措施： 確定您在想要啟動 Sentinel 控制中心或 Solution Designer 的用戶端電腦中執行以下操作：

問題： 當您嘗試以人類看得懂的格式同步化 IPv6 位址欄位至外部資料庫時，資料同步化失敗。如需設定 Sentinel 以人類看得懂的點標記格式填入 IP 位址欄位的詳細資訊，請參閱《NetIQ Sentinel 管理指南》中的「建立資料同步化規則」。(錯誤 913014)

解決方式： 若要修正此問題，請在目標資料庫中將 IP 位址欄位的大小上限手動變更為至少 46 個字元，然後重新同步化資料庫。

問題： 若在您角色的安全性過濾器空白時執行事件搜尋，但您的角色沒有事件檢視許可，搜尋就不會完成。搜尋不會顯示任何關於無效事件檢視許可的錯誤訊息。(錯誤 908666)

解決方式： 使用下列其中一個選項更新角色：

問題： Sentinel Agent Manager 會針對原始資料檔案大小組態忽略在 SMServiceHost.exe.config 檔案的 RawDataTapFileSize 屬性中指定的值，並在檔案大小達到 10 MB 時停止寫入原始資料檔案。(錯誤 867954)

解決方式： 手動將原始資料檔案的內容複製至其他檔案，然後在檔案大小達到 10 MB 時將它清除，讓 Sentinel Agent Manager 可將新資料寫入其中。

問題： 當編輯從 Sentinel 7.2 升級至新版的已儲存搜尋時，用於在搜尋報告 CSV 中指定輸出欄位的「事件欄位」面板在排程頁面中遺失。(錯誤 900293)

解決方式： 在升級 Sentinel 後，重新建立並重新編程搜尋以在排程頁面中檢視「事件欄位」面板。

問題： 在規則的「關連摘要」頁面中按一下「活動統計資料」面板上「引發計數」旁的圖示，當您搜尋在規則已部署或已啟用後產生的所有關連事件時，Sentinel 不會傳回任何關連事件。(錯誤 912820)

解決方式： 將「事件搜尋」頁面中「從」欄位中的值變更至比欄位中填入時間更早的時間，然後再按一下「搜尋」。

問題： 當您搜尋「Change Guardian」事件並按一下「Change Guardian」圖示時，在 FIPS 模式中執行的 Sentinel 不會顯示「Change Guardian」Delta 附加資訊，即便已設定好接收「Change Guardian」事件。「Change Guardian」4.1.1.1 和舊版不支援在 FIPS 相容模式中傳送事件。(錯誤 912230)

解決方式： 目前尚未提供解決方式。

問題： 在警示檢視中，當您重新整理警示檢視後，「發生次數」計數會減少。(錯誤 913838)

解決方式： 按一下「發生次數」計數已減少的警示旁的「檢視詳細資料」以瀏覽至警示摘要頁面。警示摘要頁面會顯示正確的「發生次數」值。

問題： 升級至 Sentinel 7.3 造成資料收集和與 DB2 資料庫的資料同步化失敗，因為升級時移除了 IBM DB2 JDBC 驅動程式。(錯誤 909343)

解決方式： 升級至 Sentinel 7.3 後，加入正確的 JDBC 驅動程式，並執行下列步驟為其進行資料收集和資料同步化設定：

問題： 當您在警示檢視中按一下「全部選取」以選取警示、取消選取少數警示和修改警示時，也會在重新整理後的警示檢視中選取新收到的警示。這會造成已選取要修改的警示計數錯誤，而且看起來好像您也要修改新收到的警示。不過，系統只會修改原始已選取的警示。(錯誤 904830)

解決方式： 若您使用自定時間範圍建立警示檢視，就不會有新警示顯示在警示檢視中。

問題： 歷史安全情報 (SI) 資料需要很長時間才能在具有高每秒事件量（EPS）負載的 Sentinel 系統中載入。(錯誤 908599)

解決方式： 若您要使用歷史資料建立安全情報儀表板，請計劃在系統上的負載較低時部署儀表板 (若可能)。目前尚未提供其他解決方式。

問題： 在安全情報基線重新產生期間，基線的開始和結束日期錯誤並顯示 1/1/1970。(錯誤 912009)

解決方式： 基線重新產生完成後，即會更新正確日期。

問題： 若單一分割區中有大量已編製索引的事件，當您執行搜尋時，Sentinel 伺服器會關閉。(錯誤 913599)

解決方式： 建立保留規則，讓一天內至少有兩個分割區開啟。有一個以上的分割區開啟可協助減少在分割區中已編製索引的事件數目。

問題： 系統會建立新警示，而非將警示資訊彙總至現有警示。這是偶發的問題。(錯誤 914512)

解決方式： 目前尚未提供解決方式。

問題： 當您使用 report_dev_setup.sh 程序檔設定防火牆例外的 Sentinel 連接埠時，Sentinel 會顯示錯誤。(錯誤 914874)

解決方式： 若要設定防火牆例外的 Sentinel 連接埠，請執行下列操作：

問題： 在 Microsoft Active Directory 和 Windows 收集器上啟用一般主機名稱解析服務收集器時，Sentinel 一般收集器效能會降低。當遠端收集器管理員傳送事件時，EPS 會降低 50%。(錯誤 906715)

解決方式： 目前尚未提供解決方式。

問題： 當您在 FIPS 模式中安裝 Sentinel 時，安全情報資料庫的連接器無法啟動，Sentinel 也無法存取安全情報、Netflow 和警示資料。(錯誤 915241)

解決方式： 在 FIPS 模式中進行安裝和設定後，重新啟動 Sentinel。

問題： 當您從由非 root 使用者所安裝且是在 FIPS 模式中設定的·Sentinel·自定安裝升級至·Sentinel·7.3·時，安全情報資料庫和警示儀表板有時會無法啟動。(錯誤 916285)

解決方式： 請執行以下步驟：

問題： 在警示檢視中，當您按一下任何遠端警示旁的「檢視詳細資料」並跳至「警示詳細資料」頁面時，該警示的觸發事件無法顯示在 「關聯的資料」面板中。(錯誤 916116)

解決方式： 登入資料來源伺服器並在本機檢視警示詳細資料。

問題： 在警示檢視中，若已自定「狀態」和「優先程度」欄位的值，這些欄位的遠端警示不會顯示任何資料。這些欄位在警示的「警示詳細資料」頁面中也不會顯示任何資料。(錯誤 915762)

解決方式： 登入資料來源伺服器並在本機檢視警示。

問題： 若您重新啟動 Sentinel 並登入，Sentinel 有時無法在任何警示檢視中顯示警示。(錯誤 916133)

解決方式： 執行以下步驟，重新啟動安全情報資料庫：

問題： SSL 3.0 中存在漏洞，可能會允許計算安全連線的純文字。如需詳細資訊，請參閱 CVE-2014-3566。此漏洞存在於 Syslog 連接器 2011.1r4 綑綁銷售版本中，因為它使用 SSL 通訊協定。

解決方式： Syslog 連接器版本 2011.1r5 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前，您可從預覽區段下載該連接器。

問題： 若剖析事件的連接器支援多個連接模式，Agent Manager 連接器版本 2011.1r3 無法設定事件中的 CONNECTION_MODE 屬性。(錯誤 880564)

解決方式： Agent Manager 連接器版本 2011.1r5 和更新版本可解決此問題。在 Sentinel 外掛程式網站正式發行前，您可從預覽區段下載該連接器。

問題： 安裝 Sentinel 裝置時，網路介面未按預設完成設定。(錯誤 867013)

解決方式： 要設定網路介面：

問題： 當輸出搜尋結果到 Sentinel 時，網頁瀏覽器可能在您修改操作系統語言設定時顯示錯誤。(錯誤 834874)

解決方式： 要正確輸出搜尋結果，請執行下列其中一個步驟：

問題： 當您使用連接埠轉送、或目的網路位址轉譯 (DNAT) 啟動 Sentinel Web 主控台時，顯示空白頁面。(錯誤 694732)

解決方式： 請勿使用連接埠轉遞或目的地網路位址轉譯 (DNAT) 啟動 Sentinel Web 主控台。

問題： 當您建立或重新產生安全情報基線時，Sentinel 成功可建立基線，但會顯示錯誤訊息。(錯誤 848067)

解決方式： 請忽略該錯誤訊息。建立基線可能要花費數分鐘的時間。

問題： 如果次要儲存空間可保留資料的天數少於主要儲存空間的保留資料天數，Sentinel 就不能有效率地使用主要儲存空間。為了釋出空間而從次要儲存空間移除的分割區，也會自主要儲存空間移除。(錯誤 860888)

解決方式： 在次要儲存空間中配置足夠空間，以便保留資料直到您想在線上儲存 (可搜尋) 的總天數。

問題： 在磁碟空間超過 2 TB 的系統上，Sentinel 在安裝之後可能無法自動啟動。(錯誤 846296)

解決方式： 指定下列指令來手動啟用 Sentinel 服務，此為一次性活動：

問題： 在 Sentinel 裝置安裝中，若您以 Kerberos 模組設定 Kerberos 驗證，主控台會顯示 Kerberos 用戶端設定成功的確認訊息。不過，當您再次檢視 Kerberos 模組時，「啟用 Kerberos 驗證」選項不會選取。(錯誤 843623)

解決方式： 目前尚未提供解決方式。

問題： 安裝遠端收集器管理員時，如果您指定包含特殊字元的密碼 (例如 ‘$’、‘"‘、‘\’ 或 ‘/’)，安裝會失敗並出現錯誤。(錯誤 812111)

解決方式： 請勿在遠端收集器管理員密碼中使用特殊字元。

問題： 當您重新啟動遠端收集器管理員裝置時，連接到 UDP 連接埠的 Syslog 事件來源會失去連接。(錯誤 795057)

解決方式： 目前尚未提供因應措施。

問題： 在等待一個報告結果 PDF 開啟時 (特別是 1 百萬個事件的報告結果)，若按下其他要檢視的報告結果 PDF，報告結果無法顯示。(錯誤 804683)

解決方式： 再次按下第二個報告結果 PDF 以檢視報告結果。

問題： 當 Sentinel 環境中啟用 FIPS 模式時，使用代理程式管理員的 Windows 驗證會造成與代理程式管理員資料庫同步失敗。(錯誤 814452)

解決方式： 當 Sentinel 環境中啟用 FIPS 模式時，使用代理程式管理員的 SQL 驗證。

問題： 若啟用 FIPS 模式，Sentinel 高可用性安裝會顯示下列錯誤：

解決方式： 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤，但是 Sentinel 高可用性組態在 FIPS 模式中仍可順利運作。

問題： 已成功使用 FIPS 模式完成安裝 Sentinel 高可用性，但出現下列錯誤兩次：

解決方式： 目前尚未提供修復或因應措施。雖然安裝程式顯示錯誤，但是 Sentinel 高可用性組態在非 FIPS 模式中仍可順利運作。

問題： 無法更新 Sentinel 7.2 之前版本的裝置，因為更新套件的廠商已從 Novell 變更為 NetIQ。(錯誤 780969)

解決方式： 使用 zypper 指令來升級裝置。如需詳細資訊，請參閱《NetIQ Sentinel 安裝及組態指南》中的「使用 zypper 將裝置升級」。

問題： 如果您在密碼中指定「$」字元，Sentinel 將根據該「$」字元在密碼中所在的位置，在資料庫中儲存不同的密碼。如果密碼以特殊字元「$」開始，則 Sentinel 會以檔案名稱儲存該密碼。如果字元「$」在密碼中的別處，Sentinel 將會截短密碼至「$」字元的位置。(錯誤 734500)

解決方式： 實際的密碼儲存在 home/novell/.pgpass 檔案中。請從該檔案取得密碼後登入 Sentinel。例如，如果您指定密碼為「abc$123」，則 Sentinel 將以「abc」為密碼並儲存在 .pgpass 檔案之中。您可以使用「abc」做為密碼登入 Sentinel。

問題： 當系統中已有相同名稱的關連規則存在時，解決方案管理員不會再安裝其他相同名稱的關連規則。主控台中會記錄 NullPointerException 錯誤。(錯誤 713962)

解決方式： 請確認所有的關連規則都具有唯一的名稱。

問題： 當您從 Web 主控台執行 Sentinel Link 動作時，即使透過「Sentinel 控制中心」執行 Sentinel Link 連接器整合器測試失敗，Sentinel 仍會顯示成功訊息。(錯誤 710305)

解決方式： 目前尚未提供解決方式。

問題： 當「安全情報儀表板」與異常定義具有相同名稱時，「異常詳細資料」頁面上的儀表板連結會停用。(錯誤 715986)

解決方式： 請確認在建立儀表板和異常定義時使用唯一的名稱。

問題： Sentinel Web 主控台電腦時鐘的時間晚於 Sentinel 伺服器時鐘的時間時，Sentinel Web 主控台的「主動搜尋工作期間」和「已存取」欄中會顯示負值。例如，當 Sentinel Web 主控台時鐘設為 2:30 PM，而 Sentinel 伺服器設為 1:30 PM 時，「持續時間」和「已存取」欄會顯示負值。(錯誤 719875)

解決方式： 請確認用來存取 Sentinel Web 主控台的電腦時間與 Sentinel 伺服器電腦上的時間相同或較晚。

問題： 當您登入安全性儀表板並執行搜尋 IssueSAMLToken 稽核事件時，IssueSAMLToken 稽核事件顯示不正確的主機名稱 (InitiatorUserName) 或 (IP 位址) SourceIP 。(錯誤 870609)

解決方式： 目前尚未提供解決方式。

問題： 當用戶端電腦上安裝了 NetIQ Identity Manager Designer 且 Designer 使用系統 JRE 時，Sentinel 控制中心無法啟動。Designer 需要將 xml-apis.jar 這類支援的 jar 檔案加進 lib/endorsed 目錄。在 xml-apis.jar 檔案中的類別有些會置換 Sentinel 控制中心所用之系統 JRE 中對應的類別。(錯誤 888085)

解決方式： 設定 Designer 使用自己的 JRE。

問題： 在收集事件資料時，Sentinel Agent Manager 不會擷取包含 Null 值的 Windows 插入字串欄位。(錯誤 838825)

解決方式： 目前尚未提供解決方式。