Note di rilascio di Sentinel 8.1 Service Pack
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Note di rilascio di Sentinel 8.1 Service Pack 1 Gennaio 2018 Sentinel 8.1 Service Pack 1 offre nuove funzioni, maggiore semplicità di utilizzo e soluzioni a diversi problemi riscontrati nelle versioni precedenti. Molti miglioramenti sono stati apportati in base ai suggerimenti forniti dai clienti, che ringraziamo per la loro valida collaborazione. Confidiamo che anche in futuro continueranno ad aiutarci a migliorare i nostri prodotti affinché possano soddisfare tutte le loro esigenze. È possibile pubblicare commenti e opinioni nel forum di Sentinel, la nostra comunità online, che include anche informazioni sui prodotti, blog e collegamenti a risorse utili. La documentazione su questo prodotto è disponibile in formato HTML e PDF sul sito Web di NetIQ, all'interno di una pagina a cui è possibile accedere senza eseguire il login. Se si desidera fornire suggerimenti su come migliorare la documentazione, fare clic sull'icona dei commenti in una pagina qualsiasi della versione HTML della documentazione pubblicata nella pagina relativa alla documentazione di Sentinel . Per effettuare il download del prodotto, visitare il sito Web di upgrade di Sentinel. Sezione 1, “Novità”, a pagina 1 Sezione 2, “Requisiti di sistema”, a pagina 10 Sezione 3, “Installazione di Sentinel 8.1.1”, a pagina 10 Sezione 4, “Upgrade a Sentinel 8.1.1”, a pagina 10 Sezione 5, “Problemi noti”, a pagina 10 Sezione 6, “Informazioni di contatto”, a pagina 18 Sezione 7, “Note legali”, a pagina 18 1 Novità Nelle sezioni seguenti sono illustrati le funzioni principali e i miglioramenti, oltre ai problemi risolti in questo rilascio: Sezione 1.1, “Correzione della vulnerabilità della sicurezza”, a pagina 1 Sezione 1.2, “Upgrade di Oracle Java Runtime Environment”, a pagina 2 Sezione 1.3, “Miglioramenti”, a pagina 2 Sezione 1.4, “Correzioni software”, a pagina 4 1.1 Correzione della vulnerabilità della sicurezza Sentinel 8.1.1 include correzioni che consentono di risolvere la vulnerabilità all'attacco Sweet32 (CVE-2016-2183). Note di rilascio di Sentinel 8.1 Service Pack 1 1
1.2 Upgrade di Oracle Java Runtime Environment Sentinel include Java 8 Update 152, il quale contiene correzioni per numerose vulnerabilità della sicurezza. 1.3 Miglioramenti Sentinel 8.1.1 include i miglioramenti seguenti: Sezione 1.3.1, “Nuovi eventi di revisione per i messaggi 'Impossibile eseguire la correlazione'”, a pagina 2 Sezione 1.3.2, “Aggiunta della possibilità di assegnare l'autorizzazione Visualizza risultati rapporto a un ruolo”, a pagina 2 Sezione 1.3.3, “Miglioramenti apportati agli intervalli di tempo correlati alla modifica”, a pagina 3 Sezione 1.3.4, “Possibilità di impostare l'ora di fine per la sincronizzazione dei dati”, a pagina 3 Sezione 1.3.5, “Possibilità di aggiungere fino a 60 caratteri per un nome utente”, a pagina 3 Sezione 1.3.6, “Miglioramenti della frequenza di aggiornamento della dimensione della permanenza dati non elaborati”, a pagina 3 Sezione 1.3.7, “Utilizzo della colonna summary_key come chiave primaria per le tabelle di riepilogo degli eventi”, a pagina 3 1.3.1 Nuovi eventi di revisione per i messaggi 'Impossibile eseguire la correlazione' Sentinel è ora in grado di generare eventi di revisione per i messaggi 'Impossibile eseguire la correlazione'. Questi messaggi vengono visualizzati quando: Gli eventi arrivano in ritardo con uno scarto superiore a 30 secondi. Il buffer dei riordini è pieno. (Bug 1018336) 1.3.2 Aggiunta della possibilità di assegnare l'autorizzazione Visualizza risultati rapporto a un ruolo Problema: i clienti hanno richiesto la possibilità di poter creare un ruolo per consentire a un utente di visualizzare i risultati dei rapporti, ma non di eseguirli o eliminarli. L'autorizzazione Visualizza risultati rapporto esiste, ma non è possibile concederla a un ruolo in Gestione utente/ruolo. (Bug 1047479) Correzione: è ora possibile rendere visibile l'autorizzazione Visualizza risultati rapporto in Gestione utente/ruolo affinché sia possibile assegnarla a un ruolo. Completare la seguente procedura: 1 Aprire il file /etc/opt/novell/sentinel/config/ui-configuration.properties per la modifica. 2 Aggiungere la seguente proprietà: viewReportResults.hideUI=false 3 Salvare le modifiche. 4 Chiudere e riavviare l'interfaccia utente Web. È inoltre necessario premere Control-F5 per svuotare la cache del browser. 5 Accedere a Gestione utente/ruoloe creare un nuovo ruolo. Verrà visualizzata l'autorizzazione Visualizza risultati rapporto. 2 Note di rilascio di Sentinel 8.1 Service Pack 1
1.3.3 Miglioramenti apportati agli intervalli di tempo correlati alla modifica Quando si modificano i rapporti, lo strumento di selezione della data non visualizza più la data in cui il rapporto è stato eseguito l'ultima volta. Di default, viene ora visualizzata la data corrente per evitare di dover fare clic su molti mesi futuri, nel caso in cui la data di inizio sia antecedente alla data corrente. (Bug 1016005) 1.3.4 Possibilità di impostare l'ora di fine per la sincronizzazione dei dati È ora possibile impostare l'ora di fine per una policy di sincronizzazione dei dati affinché sia possibile sincronizzare i dati solo per alcuni intervalli di tempo. Questa funzionalità è disponibile solo per le nuove policy di sincronizzazione dei dati, ma non per le policy di sincronizzazione dei dati esistenti. (Bug 1053484) 1.3.5 Possibilità di aggiungere fino a 60 caratteri per un nome utente Durante la creazione degli utenti, è ora possibile immettere un numero massimo di 60 caratteri nel campo Nome utente. (Bug 1063025) 1.3.6 Miglioramenti della frequenza di aggiornamento della dimensione della permanenza dati non elaborati Nell'interfaccia utente Storage > Eventi > Permanenza dati sono stati apportati i seguenti miglioramenti all'intervallo di aggiornamento della dimensione della permanenza dati non elaborati: L'intervallo di aggiornamento della dimensione della permanenza dati non elaborati di default è stato modificato a ogni 12 ore, al fine di evitare problemi di prestazioni quando i dati non elaborati sono di grandi dimensioni. L'intervallo di timeout di default è stata modificato a ogni 60 minuti. È possibile personalizzare questi valori default, se necessario: 1. Eseguire il login al server Sentinel come utente novell. 2. Nelladirectory /etc/opt/novell/sentinel/config, creare un file con il nome: obj- component. DiskStatisticsCache.properties. 3. Nel file delle proprietà impostare le proprietà per il valore desiderato nel modo seguente: esecurity.ccs.comp.auth.DiskStatisticsCache value_in_milliseconds value_in_milliseconds 4. Riavviare il server Sentinel. (Bug 1027773) 1.3.7 Utilizzo della colonna summary_key come chiave primaria per le tabelle di riepilogo degli eventi La colonna summary_key nelle tabelle di riepilogo degli eventi è ora la chiave primaria, permettendo ad altri strumenti del database di trarre vantaggio dai metadati corretti. (Bug 1048739) Note di rilascio di Sentinel 8.1 Service Pack 1 3
1.4 Correzioni software Sentinel 8.1.1 include correzioni software che risolvono i seguenti problemi: Sezione 1.4.1, “I risultati della ricerca nei file CSV esportati non includono dati”, a pagina 5 Sezione 1.4.2, “Le notifiche via e-mail per i rapporti pianificati non visualizzano gli indicatori orari AM o PM”, a pagina 5 Sezione 1.4.3, “La schermata principale di Sentinel nell'applicazione non viene avviata quando viene eseguito l'upgrade da Sentinel 7.0.3.x o versioni precedenti”, a pagina 5 Sezione 1.4.4, “L'API Rest EventSearch non funziona dopo l'upgrade da Sentinel 7.4.3 a Sentinel 8.0.1”, a pagina 5 Sezione 1.4.5, “Correlation Engine non attiva gli eventi della giornata corrente se l'evento precedente presentava una registrazione dell'orario oltre la data dell'epoca”, a pagina 5 Sezione 1.4.6, “Sentinel non risponde dopo l'abilitazione dell'integrazione di ISE”, a pagina 5 Sezione 1.4.7, “Nel pannello di ottimizzazione viene visualizzato il messaggio Errore durante la ricerca”, a pagina 6 Sezione 1.4.8, “La documentazione delle API di Sentinel non contiene tutte le librerie necessarie”, a pagina 6 Sezione 1.4.9, “I campi degli eventi non visualizzano alcuna informazione su Gestione servizi di raccolta”, a pagina 6 Sezione 1.4.10, “Alcuni rapporti pianificati restituiscono errori”, a pagina 7 Sezione 1.4.11, “I rapporti Sentinel Core Top 10 e Sentinel Core Top 10 Dashboard di Sentinel richiedono più tempo per l'esecuzione”, a pagina 7 Sezione 1.4.12, “La vista degli avvisi filtra correttamente i dati per 'tutti i nuovi avvisi'”, a pagina 7 Sezione 1.4.13, “L'API REST /SentinelRESTServices/objects/plugin fornisce le informazioni del plug-in in formato crittografato”, a pagina 7 Sezione 1.4.14, “Il processo Lavoro pianificato non riesce”, a pagina 7 Sezione 1.4.15, “Il rapporto Sentinel Core Top 10 non riesce”, a pagina 7 Sezione 1.4.16, “I risultati della ricerca di federazione dei dati contengono eventi duplicati”, a pagina 7 Sezione 1.4.17, “Sentinel Agent Manager Sincronizza gli agenti senza eccezioni”, a pagina 7 Sezione 1.4.18, “Correlation Engine indica lo stato non in linea quando il motore è in realtà inattivo”, a pagina 7 Sezione 1.4.19, “Errori nei log del server quando il campo Messaggio nell'evento contiene oltre 8.000 caratteri”, a pagina 8 Sezione 1.4.20, “La sincronizzazione dei dati non funziona dopo l'upgrade di Sentinel alla versione 8.1.0.1”, a pagina 8 Sezione 1.4.21, “La sezione Gestione agenti nella schermata principale di Sentinel è disattivata”, a pagina 8 Sezione 1.4.22, “La generazione dei rapporti non riesce se gli eventi contengono caratteri speciali”, a pagina 8 Sezione 1.4.23, “Gestione servizi di raccolta non viene riavviato quando sono presenti offset degli eventi di grandi dimensioni”, a pagina 8 Sezione 1.4.24, “Gli avvisi automatici aggiornano sempre EventThroughputUtilization al 100% di utilizzo”, a pagina 8 4 Note di rilascio di Sentinel 8.1 Service Pack 1
Sezione 1.4.25, “L'endpoint dell'API REST collectormgr-status visualizza uno stato non corretto”, a pagina 8 Sezione 1.4.26, “Lo script report_dev_setup non esegue il backup del file di configurazione del firewall”, a pagina 9 Sezione 1.4.27, “Il pulsante Test della connettività nella Console Sentinel Gestione agenti si avvia con un comando Ping”, a pagina 9 Sezione 1.4.28, “Durante l'upgrade dell'applicazione Sentinel da versioni precedenti alla 7.4 SP1, viene visualizzato un avviso non corretto”, a pagina 9 Sezione 1.4.29, “Eccezione registrata nel log del server Sentinel quando si esegue l'upgrade alla versione 7.3 SP1 e successive da versioni precedenti”, a pagina 9 Sezione 1.4.30, “Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6”, a pagina 9 1.4.1 I risultati della ricerca nei file CSV esportati non includono dati Problema: quando si esportano i risultati della ricerca che includono eventi provenienti dallo storage secondario, il file CSV contiene solo le intestazioni e non i risultati effettivi della ricerca. (Bug 1043709, Bug 1073502) Correzione: il file CSV include ora i risultati della ricerca esportati. 1.4.2 Le notifiche via e-mail per i rapporti pianificati non visualizzano gli indicatori orari AM o PM Le notifiche e-mail visualizzano ora correttamente gli indicatori orari AM o PM (Bug 1040423) 1.4.3 La schermata principale di Sentinel nell'applicazione non viene avviata quando viene eseguito l'upgrade da Sentinel 7.0.3.x o versioni precedenti La schermata principale di Sentinel viene ora avviata correttamente. (Bug 1047106) 1.4.4 L'API Rest EventSearch non funziona dopo l'upgrade da Sentinel 7.4.3 a Sentinel 8.0.1 L'API Rest EventSearch viene eseguita correttamente senza alcuna eccezione. (Bug 1038133) 1.4.5 Correlation Engine non attiva gli eventi della giornata corrente se l'evento precedente presentava una registrazione dell'orario oltre la data dell'epoca Problema: Correlation Engine non attiva gli eventi della giornata corrente se l'evento precedente presentava una registrazione dell'orario oltre la data dell'epoca. Viene visualizzata l'eccezione buffer riordini correlazione pieno e infine il motore si blocca. (Bug 1036765) Correzione: Correlation Engine attiva ora gli eventi della giornata corrente senza eccezioni. 1.4.6 Sentinel non risponde dopo l'abilitazione dell'integrazione di ISE Problema: due o tre giorni dopo l'integrazione di ISE, Sentinel non risponde. I log del server Sentinel includono il seguente messaggio, il quale indica eccezioni di memoria esaurita e che non è stato possibile creare i thread: java.lang.OutOfMemoryError: unable to create new native thread Note di rilascio di Sentinel 8.1 Service Pack 1 5
Questo problema deriva dal numero elevato di aggiornamenti delle mappe attivati dall'integrazione di ISE, oltre a un problema specifico delle mappe con includono esattamente una chiave "RANGE" e più una o più chiavi "STRING". Quando si verificano queste circostanze specifiche, Sentinel crea una directory h2temp separata per ogni valore univoco della chiave STRING. Questo significa che quando il file ipmap.csv contiene oltre 6.000 voci (come potrebbe accadere durante il normale funzionamento), Sentinel ricreerà le directory h2temp con oltre 6000 voci per ciascun aggiornamento della mappa eseguito ogni 30 secondi. (Bug 1036765) Correzione: la mappa di default utilizzata per memorizzare le mappe, la quale contiene in particolare una chiave "RANGE" più una o più chiavi "STRING", è ora una mappa in memoria. La mappa non utilizza un database H2, pertanto la creazione di più directory h2temp non è necessaria. Nota: È possibile configurare le mappe intervallo/chiave in modo che utilizzino oggetti che richiedono directory temporanee. Aggiungere la nuova proprietà di sistema sentinel.mapping.h2.useDbRangeMap al file Configuration. Properties di Sentinel. Questa proprietà di sistema presenta i seguenti valori: false: vengono utilizzati gli oggetti DataObjectKeyRangeMap, che non richiedono directory temporanee (valore di default) true: vengono utilizzati gli oggettiDBRangeMapDataObjectStorage, che richiedono directory temporanee 1.4.7 Nel pannello di ottimizzazione viene visualizzato il messaggio Errore durante la ricerca Problema: se si esegue una ricerca per gli eventi e si fa clic sul pulsante Ricerca quando la ricerca è ancora in esecuzione, nel pannello di ottimizzazione viene visualizzato il seguente messaggio: Il campo esegue il conteggio in base ai primi eventi 0. (Bug 999743) Correzione: il pulsante Ricerca è ora disabilitato mentre la ricerca è in esecuzione. Al termine di tutti i processi, il pulsante Ricerca sarà nuovamente disponibile. 1.4.8 La documentazione delle API di Sentinel non contiene tutte le librerie necessarie Problema: la documentazione delle API non contiene tutte le librerie di scaricamento client che l'API REST richiede per il corretto funzionamento. (Bug 1047684) Correzione: la documentazione delle API di Sentinel contiene ora tutte le librerie di scaricamento client che l'API REST richiede. 1.4.9 I campi degli eventi non visualizzano alcuna informazione su Gestione servizi di raccolta Problema: quando un server Sentinel perde il contatto con una Gestione servizi di raccolta, genera gli eventi interniLostContactWithCollectorManager e CollectorManagerDown. I campi degli eventi CollectorNodeName(port) e CollectorManagerId(rv21) non visualizzano le informazioni relative a Gestione servizi di raccolta. (Bug 1050941) Correzione: i campi degli eventi CollectorNodeName(port) e CollectorManagerId(rv21) visualizzano ora correttamente il nome e l'ID di Gestione servizi di raccolta. 6 Note di rilascio di Sentinel 8.1 Service Pack 1
1.4.10 Alcuni rapporti pianificati restituiscono errori Tutti i rapporti vengono ora eseguiti correttamente. (Bug 1051167) 1.4.11 I rapporti Sentinel Core Top 10 e Sentinel Core Top 10 Dashboard di Sentinel richiedono più tempo per l'esecuzione I rapporti Sentinel Core Top 10 e Sentinel Core Top 10 Dashboard di Sentinel vengono ora eseguiti in minor tempo (Bug 1040660) 1.4.12 La vista degli avvisi filtra correttamente i dati per 'tutti i nuovi avvisi' Questa versione risolve il problema riscontrato quando Sentinel visualizza erroneamente tutti gli avvisi anche se si è scelto il filtro Tutti i nuovi avvisi in Visualizza avvisi. (Bug 991732) 1.4.13 L'API REST /SentinelRESTServices/objects/plugin fornisce le informazioni del plug-in in formato crittografato L'API REST /SentinelRESTServices/objects/plugin fornisce ora le informazioni del plug-in in un formato leggibile (Bug 992162) 1.4.14 Il processo Lavoro pianificato non riesce Il processo Lavoro pianificato viene ora eseguito correttamente. (Bug 1049055) 1.4.15 Il rapporto Sentinel Core Top 10 non riesce Il rapporto Sentinel Core Top 10 viene ora eseguito correttamente. (Bug 1055336) 1.4.16 I risultati della ricerca di federazione dei dati contengono eventi duplicati Problema: quando si utilizza la federazione dei dati per ricercare gli eventi in un ambiente distribuito, la pagina Risultati della ricerca visualizza eventi duplicati. (Bug 1048000) Correzione: nella pagina Risultati della ricerca non vengono più visualizzati eventi duplicati. 1.4.17 Sentinel Agent Manager Sincronizza gli agenti senza eccezioni Questa versione risolve il problema in cui il processo di sincronizzazione dei dati dell'agente (ETL) non riusciva e generava un'eccezione se un agente aggiunto si sincronizzava con Sentinel prima che Sentinel Agent Manager avesse raccolto gli attributi dell'agente. (Bug 1050192) 1.4.18 Correlation Engine indica lo stato non in linea quando il motore è in realtà inattivo Correlation Engine ora indica lo stato inattivo quando è effettivamente nello stato inattivo. (Bug 1062386) Note di rilascio di Sentinel 8.1 Service Pack 1 7
1.4.19 Errori nei log del server quando il campo Messaggio nell'evento contiene oltre 8.000 caratteri Problema: quando il campo Messaggio di un evento include oltre 8.000 caratteri, Sentinel tronca il messaggio. Vengono stampati i primi 8.000 caratteri, nonché i caratteri troncati con il seguente messaggio nei log per creare i log completati con le informazioni del messaggio: Il valore dell'attributo msg è troppo lungo. La dimensione è 4.096 utf-8 (ogni carattere potrebbe essere multibyte), il max è 4.000 byte, troncamento < caratteri_troncati > (Bug 927550) Correzione: Sentinel visualizza ora solo 256 caratteri del messaggio troncato nel log del server0.0. 1.4.20 La sincronizzazione dei dati non funziona dopo l'upgrade di Sentinel alla versione 8.1.0.1 La sincronizzazione dei dati funziona correttamente dopo l'upgrade di Sentinel alla versione 8.1.0.1. (Bug 1052566) 1.4.21 La sezione Gestione agenti nella schermata principale di Sentinel è disattivata Problema: nella scheda Raccolta dei dati > Origini eventi la sezione Gestione agenti non è attiva ed è necessario utilizzare Sentinel Control Center per eseguire qualsiasi operazione. (Bug 1008335) Correzione: la sezione Gestione agenti è ora abilitata nella schermata principale di Sentinel. 1.4.22 La generazione dei rapporti non riesce se gli eventi contengono caratteri speciali La generazione dei rapporti non riesce anche se gli eventi contengono caratteri speciali (Bug 1060132) 1.4.23 Gestione servizi di raccolta non viene riavviato quando sono presenti offset degli eventi di grandi dimensioni Gestione servizi di raccolta viene ora riavviato quando sono presenti differenze degli eventi di grandi dimensioni (Bug 1049771) 1.4.24 Gli avvisi automatici aggiornano sempre EventThroughputUtilization al 100% di utilizzo Problema: gli avvisi automatici aggiornano sempre EventThroughputUtilization al 100% di utilizzo anche se non sono presenti avvisi da generare. (Bug 1065679) Correzione: gli aggiornamenti automatici degli avvisi visualizzano ora la percentuale EventThroughputUtilization effettiva. 1.4.25 L'endpoint dell'API REST collectormgr-status visualizza uno stato non corretto Problema: quando sono presenti più istanze di Gestione servizi di raccolta configurate con un singolo server Sentinel, l'endpoint dell'API collectormgr-status visualizza l'errore404 not found anche se le Gestioni servizi di raccolta sono presenti. (Bug 1011921) 8 Note di rilascio di Sentinel 8.1 Service Pack 1
Correzione: ora l'API collectormgr-status visualizza correttamente lo stato. 1.4.26 Lo script report_dev_setup non esegue il backup del file di configurazione del firewall Lo scriptreport_dev_setup consente ora di eseguire il backup del file di configurazione del firewall consentendo di eseguire facilmente il ripristino in caso di errori. Lo script include inoltre miglioramenti per aumentare la facilità di utilizzo. (Bug 752657) Nota: Il backup del file SuSEfirewall2 viene eseguito solo quando la porta di PostgreSQL non viene aggiunta alla configurazione del firewall SUSE. 1.4.27 Il pulsante Test della connettività nella Console Sentinel Gestione agenti si avvia con un comando Ping Problema: il pulsante Test della connettività si avvia con un comando Ping, il che indica un problema di sicurezza.(Bug 1009722) Correzione: il pulsante Test della connettività non utilizza più un pacchetto ICMP (Ping) seguito da un comando HTTP alla porta del connettore come parte della procedura test. Ora utilizza solo il comando HTTP per verificare se la connessione è riuscita. Questo potrebbe causare il prolungamento di un minuto dell'esecuzione del test della connettività quando il dispositivo remoto non è attivo o non risponde correttamente. 1.4.28 Durante l'upgrade dell'applicazione Sentinel da versioni precedenti alla 7.4 SP1, viene visualizzato un avviso non corretto Problema: una modifica alla memorizzazione della password in Sentinel 7.4 SP1 genera la visualizzazione dell'errore seguente quando si esegue l'upgrade dell'applicazione da versioni precedenti alla 7.4 SP1: Failed to set encrypted password (Bug 967764) Correzione: Sentinel non visualizza più il messaggio di avviso. 1.4.29 Eccezione registrata nel log del server Sentinel quando si esegue l'upgrade alla versione 7.3 SP1 e successive da versioni precedenti Problema: Quando si esegue l'upgrade di Sentinel dalla versione 7.3 alla versione 7.3 SP1 e si avvia il server Sentinel, nel log del server potrebbe apparire l'eccezione seguente: Invalid length of data object ...... (Bug 933640) Correzione: Sentinel non visualizza più l'eccezione durante l'upgrade. 1.4.30 Impossibile visualizzare nelle viste avvisi gli avvisi contenenti dati IPv6 Problema: nelle viste e nei dashboard degli avvisi di Sentinel non vengono visualizzati gli avvisi con indirizzi IPv6 nei campi degli indirizzi IP. (Bug 924874) Note di rilascio di Sentinel 8.1 Service Pack 1 9
Correzione: le viste e i dashboard degli avvisi visualizzano ora avvisi con indirizzi IPv6 nei campi degli indirizzi IP. 2 Requisiti di sistema Per informazioni su requisiti hardware, sistemi operativi supportati e browser, visitare la pagina delle informazioni tecniche su Sentinel. 3 Installazione di Sentinel 8.1.1 Per informazioni sull'installazione di Sentinel 8.1.1, vedere la Guida all'installazione e alla configurazione di NetIQ Sentinel. 4 Upgrade a Sentinel 8.1.1 È possibile eseguire l'upgrade a Sentinel 8.1.1 da Sentinel 7.4 e versioni successive. Per informazioni sull'upgrade a Sentinel 8.1.1, vedere Guida all'installazione e alla configurazione di NetIQ Sentinel. 5 Problemi noti NetIQ Corporation si impegna affinché i propri prodotti forniscano soluzioni di qualità che soddisfino le esigenze software aziendali. I problemi elencati di seguito sono attualmente in fase di studio. Per ulteriore assistenza relativamente a un problema, rivolgersi al supporto tecnico. L'aggiornamento Java 8 incluso in Sentinel potrebbe avere ripercussioni sui seguenti plug-in: Connettore Cisco SDEE Connettore (XAL) SAP Integratore Remedy Per eventuali problemi con tali plug-in, NetIQ definirà le priorità e fornirà le soluzioni in base alle policy standard di gestione dei difetti. Per ulteriori informazioni sulle policy di supporto, vedere la pagina relativa alle policy di supporto. Sezione 5.1, “Impossibile eseguire i rapporti locali con la licenza EPS di default”, a pagina 11 Sezione 5.2, “Impossibile convertire Sentinel in modalità FIPS a causa di un problema con NSS di Mozilla”, a pagina 12 Sezione 5.3, “Correlation Engine si disconnette al termine dell'upgrade”, a pagina 12 Sezione 5.4, “Dopo la conversione del nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, è necessario avviare manualmente la sincronizzazione”, a pagina 14 Sezione 5.5, “Impossibile avviare il dashboard di visualizzazione degli eventi”, a pagina 14 Sezione 5.6, “Impossibile installare Sentinel in SLES 11 SP4 in modalità FIPS”, a pagina 14 Sezione 5.7, “Nell'interfaccia principale di Sentinel appare una pagina vuota dopo la conversione a Sentinel Scalable Data Manager”, a pagina 14 Sezione 5.8, “Le ricerche nella tabella Suggerimenti non restituiscono un elenco completo dei campi degli avvisi nelle installazioni di upgrade di Sentinel”, a pagina 15 Sezione 5.9, “La ricerca degli eventi non risponde se non si dispone di alcuna autorizzazione per la visualizzazione degli eventi”, a pagina 15 10 Note di rilascio di Sentinel 8.1 Service Pack 1
Sezione 5.10, “Nella pagina della pianificazione non viene visualizzato il pannello Campi evento quando si modifica una ricerca salvata”, a pagina 15 Sezione 5.11, “Sentinel non restituisce alcun evento correlato quando si effettua la ricerca di eventi relativi alla regola installata utilizzando la ricerca Totale attivazioni di default”, a pagina 15 Sezione 5.12, “Nel dashboard di Security Intelligence viene visualizzata una durata non valida quando si rigenera la linea di base”, a pagina 16 Sezione 5.13, “Errore dello script report_dev_setup.sh quando si configurano le porte di Sentinel per le eccezioni del firewall nelle installazioni di upgrade dell'applicazione Sentinel”, a pagina 16 Sezione 5.14, “Le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host”, a pagina 16 Sezione 5.15, “Quando la modalità FIPS 140-2 è abilitata, per Gestione agenti è necessario utilizzare l'autenticazione SQL”, a pagina 16 Sezione 5.16, “Durante l'installazione di Sentinel con configurazione ad alta disponibilità in modalità non FIPS 140-2 viene visualizzato un errore”, a pagina 17 Sezione 5.17, “Imprecisioni nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo”, a pagina 17 Sezione 5.18, “Nell'evento di revisione IssueSAMLToken vengono visualizzate informazioni errate sul dashboard di Security Intelligence”, a pagina 17 Sezione 5.19, “Il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione quando si effettua una ricerca”, a pagina 17 Sezione 5.20, “La sincronizzazione dei dati ha esito negativo quando si sincronizzano indirizzi IPv6 in formato leggibile dall'uomo”, a pagina 18 Sezione 5.21, “Impossibile visualizzare più di un risultato dei rapporti contemporaneamente”, a pagina 18 5.1 Impossibile eseguire i rapporti locali con la licenza EPS di default Problema: se nell'ambiente è presente la licenza di default per 25 EPS e si esegue un rapporto, l'operazione ha esito negativo e viene restituito l'errore seguente: License for Distributed Search feature is expired (La licenza per la ricerca distribuita è scaduta) Soluzione: per eseguire i rapporti nella stessa JVM di Sentinel, effettuare le operazioni seguenti: 1 Eseguire il login al server Sentinel e aprire il file /etc/opt/novell/sentinel/config/ server.xml. 2 Individuare la proprietà seguente: true 3 Modificare l'impostazione in false. false 4 Riavviare Sentinel. Note di rilascio di Sentinel 8.1 Service Pack 1 11
5.2 Impossibile convertire Sentinel in modalità FIPS a causa di un problema con NSS di Mozilla Problema: se durante o dopo l'installazione si tenta di convertire Sentinel (Server, RCM o RCE) in modalità FIPS, si verifica un problema con i pacchetti NSS di Mozilla che sono forniti dal sistema operativo SLES 12 che impedisce il corretto completamento della conversione. La conversione si interrompe quando viene richiesta la password del database dell'archivio chiavi FIPS anche se la password specificata soddisfa i criteri previsti. (Bug 1065329) Soluzione: Per convertire Sentinel in modalità FIPS, completare i passaggi seguenti: 1 Eseguire il login al Server Sentinel, RCM o RCE come utente root. 2 Avviare Gestione del software YaST: yast sw_single 3 Ricercare i seguenti pacchetti e installare o eseguire l'upgrade alla versione più recente: mozilla-nss-tools libfreebl3-hmac libsoftokn3-hmac 4 Eliminare gli elementi relativi ai tentativi di conversione FIPS precedenti: rm -rf /etc/opt/novell/sentinel/3rdparty/nss rm /etc/opt/novell/sentinel/3rdparty/newpwfile 5 Riprovare a eseguire la conversione FIPS. 5.3 Correlation Engine si disconnette al termine dell'upgrade Problema: le recenti modifiche apportate al modo in cui Sentinel convalida le regole fanno sì che Correlation Engine non riesca a connettersi, nel caso in cui nell'ambiente dell'utente sia presente una regola distribuita meno recente con sintassi errata. (Bug 1039598) Soluzione: per connettere di nuovo Correlation Engine, è possibile correggere la sintassi della regola che causa il problema, quindi riavviare Sentinel. Per trovare la regola e correggerne la sintassi, eseguire la procedura seguente: 1 Nel file server.log, cercare Failed to initialize CorrelationEngine. Ad esempio, quando si cerca Failed to initialize CorrelationEngine, viene visualizzato un messaggio di log analogo al seguente: Wed May 17 10:58:09 CDT 2017|INFO|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate Failed to initialize CorrelationEngine Scorrere verso l'alto per visualizzare il messaggio di log precedente, nel quale viene indicata la regola e ne viene mostrata la sintassi. Il messaggio è analogo al seguente: Wed May 17 10:58:09 CDT 2017|SEVERE|Container Startup Thread|esecurity.base.ccs.proxy.ComponentElementProxy.activate Root cause: Duration must be within a day (antlr.RecognitionException) esecurity.ccs.correlation.impl.tpm.IllegalRuleException: SEN-13003 Invalid Rule Definition: filter(((e.evt = "GET: Forbidden")) AND ((e.port = "Apache HTTP Server")) AND ((e.dhn = "n0")) AND ((e.fn != "favicon.ico")) AND ((e.fn != 12 Note di rilascio di Sentinel 8.1 Service Pack 1
"apple-touch-icon-precomposed.png")) AND ((e.fn != "apple-touch-icon.png")) AND ((e.fn != "apple-touch-icon-120x120-precomposed.png")) AND ((e.fn != "apple-touch-icon-120x120.png")))flow trigger(20,86460,discriminator(e.sip)) In questo esempio, il messaggio di log indica che il problema si è verificato perché la durata specificata era superiore a un giorno. La sintassi della regola riporta un numero maggiore di secondi (86460) rispetto a quelli di un giorno (86400). 2 Eseguire il login a Sentinel. 3 Aprire una nuova scheda del browser. 4 In questa nuova scheda, accedere all'URL seguente: https://:8443/SentinelRESTServices/objects/correlation-rule 5 Per trovare il nome e l'ID della regola nell'elenco di regole di correlazione, cercare una parte univoca della sintassi della regola, ad esempio, 86460. 6 (Condizionale) Se non è possibile trovare il nome e l'ID della regola nell'elenco delle regole di correlazione, eseguire la procedura seguente: 6a In un prompt di comandi, passare all'utente novell. Utilizzare il seguente comando: su -novell 6b Passare alla directory /opt/novell/sentinel/bin. 6c Utilizzare il seguente comando SQL: ./db.sh sql SIEM dbauser "select * from CORR_RULE where rule_lg like '%UniqueText%'" In questo caso, UniqueText rappresenta la parte univoca relativa alla sintassi della regola, ad esempio, 86460. 7 (Condizionale) Se non è stato già eseguito il passaggio all'utente novell, aprire un prompt dei comandi e passare all'utente novell. Utilizzare il seguente comando: su -novell 8 Passare alla directory /opt/novell/sentinel/bin. 9 Verificare che la regola si trovi nel database. Utilizzare il seguente comando SQL: ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID" In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza. 10 Aggiornare la regola con un nuovo filtro che non genera un errore durante la convalida. Utilizzare il seguente comando SQL: ./db.sh sql SIEM dbauser "update CORR_RULE set rule_lg = 'filter(1=0)' where RULE_ID=RuleID" In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza. 11 Verificare che il filtro sia stato modificato nel database. Utilizzare il seguente comando SQL: ./db.sh sql SIEM dbauser "select * from CORR_RULE where RULE_ID=RuleID" In questo caso, RuleID corrisponde all'ID della regola trovata in precedenza. 12 Arrestare Sentinel. Utilizzare il seguente comando: ./server.sh stop 13 Riavviare Sentinel. Utilizzare il seguente comando: ./server.sh start Note di rilascio di Sentinel 8.1 Service Pack 1 13
5.4 Dopo la conversione del nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, è necessario avviare manualmente la sincronizzazione Problema: quando si converte il nodo attivo alla modalità FIPS 140-2 in Sentinel High Availability, la sincronizzazione per convertire tutti i nodi passivi alla modalità FIPS 140-2 non viene eseguita completamente. La sincronizzazione deve essere avviata manualmente. (Bug 1014472) Soluzione: sincronizzare manualmente tutti i nodi passivi alla modalità FIPS 140-2 come indicato di seguito: 1 Eseguire il login come utente root nel nodo attivo. 2 Aprire il file /etc/csync2/csync2.cfg. 3 Modificare la riga seguente: include /etc/opt/novell/sentinel/3rdparty/nss/*; come segue include /etc/opt/novell/sentinel/3rdparty/nss; 4 Salvare il file csync2.cfg. 5 Avviare manualmente la sincronizzazione eseguendo il comando seguente: csync2 -x -v 5.5 Impossibile avviare il dashboard di visualizzazione degli eventi Problema: un problema impedisce a Internet Explorer 11 di aprire il dashboard di visualizzazione degli eventi. (Bug 981308) Soluzione: per visualizzare o modificare il dashboard di visualizzazione, utilizzare un browser diverso. 5.6 Impossibile installare Sentinel in SLES 11 SP4 in modalità FIPS Problema: se si tenta di installare Sentinel in un computer in cui il sistema operativo SLES 11 SP4 viene eseguito in modalità FIPS, la procedura di installazione ha esito negativo. (Bug 990201) Soluzione: verificare che il sistema operativo non sia in modalità FIPS ed effettuare i passaggi seguenti: 1. Installare Sentinel. Per ulteriori informazioni, consultare “Installazione di Sentinel” nella Guida alla configurazione e all'installazione di NetIQ Sentinel. 2. Abilitare l'esecuzione in modalità FIPS del server Sentinel. Per ulteriori informazioni, vedere “Abilitazione dell'esecuzione in modalità FIPS 140-2 nel server Sentinel” nella Guida all'installazione e alla configurazione di Sentinel. 3. Per abilitare l'esecuzione del sistema operativo in modalità FIPS, utilizzare il comando seguente: fips=1 /boot/grub/menu.lst 5.7 Nell'interfaccia principale di Sentinel appare una pagina vuota dopo la conversione a Sentinel Scalable Data Manager Problema: dopo aver abilitato SSDM, quando si esegue il login all'interfaccia principale di Sentinel, il browser visualizza una pagina vuota. (Bug 1006677) 14 Note di rilascio di Sentinel 8.1 Service Pack 1
Soluzione: chiudere il browser e ripetere il login all'interfaccia principale di Sentinel. Questo problema si verifica quando si esegue il login all'interfaccia principale di Sentinel per la prima volta dopo aver abilitato SSDM. 5.8 Le ricerche nella tabella Suggerimenti non restituiscono un elenco completo dei campi degli avvisi nelle installazioni di upgrade di Sentinel Problema: nelle installazioni di upgrade di Sentinel, quando si cercano attributi degli avvisi nella tabella Suggerimenti dell'interfaccia principale di Sentinel, la ricerca non restituisce l'elenco completo dei campi degli avvisi. Tuttavia, i campi degli avvisi vengono visualizzati correttamente nella tabella Suggerimenti se la ricerca viene annullata. (Bug 914755) Soluzione: non è ancora disponibile una soluzione. 5.9 La ricerca degli eventi non risponde se non si dispone di alcuna autorizzazione per la visualizzazione degli eventi Problema: se si effettua una ricerca di eventi quando il filtro di sicurezza del ruolo è vuoto e il ruolo utilizzato non dispone di autorizzazioni per la visualizzazione degli eventi, la ricerca non viene completata. Non vengono visualizzati messaggi di errore relativi alle autorizzazioni non valide per la visualizzazione degli eventi. (Bug 908666) Soluzione: aggiornare il ruolo utilizzando una delle opzioni seguenti: 1 Specificare i criteri nel campo Solo eventi che corrispondono ai criteri. Se gli utenti del ruolo non devono visualizzare alcun evento, è possibile immettere NOT sev:[0 TO 5]. 2 Selezionare Visualizzare eventi di sistema. 3 Selezionare Visualizza tutti i dati dell'evento (inclusi i dati non elaborati e quelli NetFlow). 5.10 Nella pagina della pianificazione non viene visualizzato il pannello Campi evento quando si modifica una ricerca salvata Problema: quando si modifica una ricerca salvata di cui è stato eseguito l'upgrade da Sentinel 7.2 a una versione più recente, il pannello Campi evento, utilizzato per specificare i campi di output nel file CSV del rapporto di ricerca, non è presente nella pagina della pianificazione. (Bug 900293) Soluzione: dopo aver eseguito l'upgrade di Sentinel, per visualizzare il pannello Campi evento nella pagina della pianificazione, ricreare e ripianificare la ricerca. 5.11 Sentinel non restituisce alcun evento correlato quando si effettua la ricerca di eventi relativi alla regola installata utilizzando la ricerca Totale attivazioni di default Problema: in Sentinel non viene restituito alcun evento correlato quando si cercano tutti gli eventi correlati generati dopo l'installazione o l'abilitazione della regola facendo clic sull'icona accanto a Totale attivazioni nel pannello Statistiche attività della pagina Riepilogo correlazione per la regola. (Bug 912820) Soluzione: modificare il valore nel campo Da della pagina Ricerca evento impostando un orario precedente a quello popolato nel campo e fare nuovamente clic su Cerca. Note di rilascio di Sentinel 8.1 Service Pack 1 15
5.12 Nel dashboard di Security Intelligence viene visualizzata una durata non valida quando si rigenera la linea di base Problema: quando si rigenera la linea di base di Security Intelligence, le relative date iniziale e finale sono errate e viene visualizzato il valore 1/1/1970. (Bug 912009) Soluzione: al termine della rigenerazione della linea di base le date vengono aggiornate correttamente. 5.13 Errore dello script report_dev_setup.sh quando si configurano le porte di Sentinel per le eccezioni del firewall nelle installazioni di upgrade dell'applicazione Sentinel Problema: in Sentinel viene visualizzato un errore quando si utilizza lo script report_dev_setup.sh per configurare le porte di Sentinel per le eccezioni del firewall. (Bug 914874) Soluzione: configurare le porte di Sentinel per le eccezioni del firewall eseguendo le operazioni seguenti: 1 Aprire il file /etc/sysconfig/SuSEfirewall2. 2 Modificare la riga seguente: FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590" come segue FW_SERVICES_EXT_TCP=" 443 8443 4984 22 61616 10013 289 1289 1468 1443 40000:41000 1290 1099 2000 1024 1590 5432" 3 Riavviare Sentinel. 5.14 Le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host Problema: le prestazioni del servizio di raccolta generico di Sentinel diminuiscono quando lo si abilita per la risoluzione dei nomi host in Microsoft Active Directory e nel servizio di raccolta di Windows. Il valore EPS diminuisce del 50% quando le istanze remote di Collector Manager inviano eventi. (Bug 906715) Soluzione: non è ancora disponibile una soluzione. 5.15 Quando la modalità FIPS 140-2 è abilitata, per Gestione agenti è necessario utilizzare l'autenticazione SQL Problema: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, l'utilizzo dell'autenticazione Windows per Gestione agenti causa un errore di sincronizzazione con il database di Gestione agenti. (Bug 814452) Soluzione: quando nell'ambiente Sentinel è abilitata la modalità FIPS 140-2, utilizzare l'autenticazione SQL per Gestione agenti. 16 Note di rilascio di Sentinel 8.1 Service Pack 1
5.16 Durante l'installazione di Sentinel con configurazione ad alta disponibilità in modalità non FIPS 140-2 viene visualizzato un errore Problema: l'installazione di Sentinel ad alta disponibilità in modalità non FIPS 140-2 viene eseguita correttamente ma appare per due volte l'errore seguente: /opt/novell/sentinel/setup/configure.sh: line 1045: [: too many arguments (Bug 810764) Soluzione: si tratta di un errore previsto che può essere ignorato. Anche se il programma di installazione visualizza un errore, la configurazione ad alta disponibilità di Sentinel funziona correttamente in modalità non FIPS 140-2. 5.17 Imprecisioni nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo Problema: quando l'orologio del computer dell'interfaccia principale di Sentinel è indietro rispetto a quello del server Sentinel, l'interfaccia principale di Sentinel visualizza numeri negativi nelle colonne Durata e Accesso eseguito del lavoro di ricerca attivo. Vale a dire che se l'orologio dell'interfaccia principale di Sentinel è impostato alle 13:30 e il server Sentinel è impostato alle 14:30, in queste colonne sono visualizzati numeri negativi. (Bug 719875) Soluzione: assicurarsi che l'ora del computer utilizzato per accedere all'interfaccia principale di Sentinel sia la stessa o successiva a quella del computer del server Sentinel. 5.18 Nell'evento di revisione IssueSAMLToken vengono visualizzate informazioni errate sul dashboard di Security Intelligence Problema: quando si esegue il login al dashboard di Security Intelligence e si cerca l'evento di revisione IssueSAMLToken, il nome host (InitiatorUserName) o l'indirizzo IP (SourceIP) vengono visualizzati in modo errato nell'evento di revisione IssueSAMLToken. (Bug 870609) Soluzione: non è ancora disponibile una soluzione. 5.19 Il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione quando si effettua una ricerca Problema: quando si effettua una ricerca, il server Sentinel viene chiuso in caso di numero elevato di eventi in una sola partizione. (Bug 913599) Soluzione: creare policy di permanenza affinché nel corso di una giornata siano aperte almeno due partizioni. L'utilizzo di più partizioni aperte contribuisce a ridurre il numero di eventi indicizzati nelle partizioni stesse. Si possono creare policy di permanenza che filtrino gli eventi in base al campo estzhour utilizzato per controllare l'orario della giornata. È quindi possibile creare una policy di permanenza utilizzando estzhour:[0 TO 11] come filtro e un'altra con estzhour:[12 TO 23]. Per ulteriori informazioni, vedere “Configuring Data Retention Policies” (Configurazione delle policy di permanenza dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). Note di rilascio di Sentinel 8.1 Service Pack 1 17
5.20 La sincronizzazione dei dati ha esito negativo quando si sincronizzano indirizzi IPv6 in formato leggibile dall'uomo Problema: la sincronizzazione dei dati ha esito negativo quando si tenta di sincronizzare con database esterni i campi degli indirizzi IPv6 in formato leggibile dall'uomo. Per informazioni sulla configurazione di Sentinel affinché i campi degli indirizzi IP vengano popolati utilizzando la notazione col punto leggibile dall'uomo, vedere “Creating a Data Synchronization Policy” (Creazione di una policy di sincronizzazione dei dati) nella NetIQ Sentinel Administration Guide (Guida all'amministrazione di NetIQ Sentinel). (Bug 913014) Soluzione: per risolvere questo problema, modificare manualmente la dimensione massima dei campi degli indirizzi IP impostando almeno 46 caratteri nel database di destinazione, quindi ripetere la sincronizzazione del database. 5.21 Impossibile visualizzare più di un risultato dei rapporti contemporaneamente Problema: mentre si attende l'apertura del PDF dei risultati dei rapporti, specialmente i risultati di rapporti relativi a un milione di eventi, se si seleziona un altro PDF relativo ad altri risultati dei rapporti per visualizzarne i contenuti, i risultati non vengono visualizzati. (Bug 804683) Soluzione: fare nuovamente clic sul secondo PDF dei risultati dei rapporti per visualizzarlo. 6 Informazioni di contatto NetIQ desidera fornire tutta la documentazione necessaria per indicare le soluzioni più appropriate alle esigenze degli utenti. Per suggerimenti relativi a miglioramenti, inviare un'e-mail all'indirizzo Documentation-Feedback@netiq.com. La collaborazione degli utenti è una fonte preziosa e saremo lieti di ricevere qualsiasi suggerimento. Per informazioni di contatto dettagliate, vedere il sito Web delle informazioni di contatto del supporto tecnico. Per informazioni relative al prodotto o di carattere più generale sull'azienda, vedere il sito Web di NetIQ Corporate. Per conversazioni interattive con colleghi ed esperti NetIQ, è necessario diventare un membro attivo della nostra comunità. La comunità online di NetIQ fornisce informazioni sui prodotti, collegamenti utili a risorse preziose, blog e canali social media. 7 Note legali Per ulteriori informazioni su note legali, marchi, dichiarazioni di non responsabilità, garanzie, esportazioni e altre limitazioni di utilizzo, diritti limitati dal governo degli Stati Uniti, politiche sui brevetti e conformità FIPS di NetIQ, consultare http://www.netiq.com/company/legal/. Copyright © 2018 NetIQ Corporation. Tutti i diritti riservati. 18 Note di rilascio di Sentinel 8.1 Service Pack 1
Puoi anche leggere