Guia de instalação e configuração do NetIQ Sentinel 7.1
Contents
1. libstdc Lista de verifica o de instala o 69 Isof net tools openssl python libs sed zlib 70 Guia de instala o e configura o do NetIQ Sentinel 7 1 11 1 Instala o tradicional Este cap tulo fornece informa es sobre os diversos meios para instalar o Sentinel Secci n 11 1 Compreendendo as op es de instala o en la p gina 71 Secci n 11 2 Executando instala es interativas en la p gina 72 Secci n 11 3 Realizando uma instala o silenciosa en la p gina 75 Secci n 11 4 Instalando o Sentinel como um usu rio n o raiz en la p gina 75 Secci n 11 5 Modificando a configura o depois da instala o en la p gina 77 Secci n 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 Compreendendo as op es de instala o install sentinel help exibe as seguintes op es Op es location m manifest no configure n no start r recordunattended u unattended h help log file no banner q quiet V verbose Valor Diret rio Nome do arquivo Nome do arquivo Nome do arquivo Nome do arquivo Descri o Especifica um diret rio diferente do root para instalar o Sentinel Especifica um arquivo de manifesto do produto a usar em vez do arquivo de manifesto padr o Especifica para n o configu2. 19 3 Configurando a autentica o LDAP em modo FIPS 140 2 ccciccccciccc 111 19 4 Atualizando certificados do servidor nos Gerenciadores de Coletor e Mecanismos de Correla o remotos esn hren ET a e aa aia A T E A o doa TROS E E En 111 19 5 Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 112 19 5 1 Conector do Gerenciador de Agente sauasua anana rr 112 19 5 2 Conector de banco de dados JDBC usanaaaan anaana aeea 113 19 5 3 Conector do Link do Sentinel u a aaua aaua aaea 113 19 5 4 Conector Syslog se Sern ara a a a a Da cn a r Ed me Co SE 114 19 5 5 Windows Event WMI Connector ssssssaaaa saaan aeaaaee 115 19 5 6 Sentinel Link Integrator sasaaa anaana 116 19 5 EDAP Integrator saroe iii eaa o a DAS E A SE RS lg a E ea a A DO 117 19 5 8 SMTP Integratori z aa e ian i a a a aa a a E a E a a E E AaS 117 19 5 9 Usando conectores ativados n o FIPS com o Sentinel no modo FIPS 140 2 117 19 6 Importando certificados para o banco de dados de keystore do FIPS nnnnananannnnnnan 118 19 7 Revertendo o Sentinel para o modo n o FIPS aanaaaananaa aaaea 118 19 7 1 Revertendo o servidor do Sentinel para o modo n o FIPS ccccccccc 118 19 7 2 Revertendo Gerenciadores de Coletor ou Mecanismos de Correla o remotos para o modo nao FIPS es sra grandis n a ne ABS G IS ae a A E a 119 Parte V Fazendo upgrade do Sentinel 121 20 Fazen
3. Configura o p s instala o para a aplica o en la p gina 89 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais O procedimento para instalar um Gerenciador de coletor ou um Mecanismo de correla o o mesmo exceto que voc precisa fazer download do arquivo apropriado no site de download da Novell 1 Fa a download do arquivo de instala o da aplica o VMware no site de Download da Novell http download novell com index jsp Guia de instala o e configura o do NetIQ Sentinel 7 1 O arquivo correto da aplica o VMware possui vmx em seu nome Por exemplo sentinel collector manager 7 1 0 0 x86 64 vmx tar gz Estabele a um armazenamento de dados do ESX onde a imagem da aplica o possa ser instalada 3 Efetue login como Administrador no servidor em que deseja instalar a aplica o 4 Especifique o seguinte comando para extrair a imagem compactada da aplica o a partir da m quina onde o VM Converter est instalado tar zxvf lt install file gt Substitua lt arquivo instala o gt pelo nome real do arquivo Para importar a imagem VMware no servidor ESX use o VMware Converter e siga as instru es na tela do assistente de instala o 6 Efetue login na m quina do servidor ESX 7 Selecione a imagem VMware importada da aplica o e clique no cone Ligar 8 Especifique o nome de host endere o IP do servidor do Sentinel ao qual o Gerenciador de 10 11
4. Configure esses arquivos como Destinos iSCSI 1 Execute o YaST da linha de comandos ou use a GUI se preferir sbin yast 2 Selecione Network Devices Dispositivos de Rede gt Network Settings Configura es de Rede 3 Certifique se de que a guia Overview Vis o Geral seja selecionada 4 Selecione o NIC secund rio na lista exibida em seguida pressione Tab e avance at Editar e pressione Enter 5 Na guia Address Endere o designe o endere o IP est tico 10 0 0 3 Esse ser o IP interno das comunica es iSCSI 6 Clique em Next Pr ximo e em seguida clique em OK Configurando o Sentinel para alta disponibilidade 139 140 7 Natela principal selecione Network Services Servi os de Rede gt iSCSI Target Destino iSCSI 8 Quando solicitado instale o software iscsitarget RPM necess rio da m dia SUSE Linux 11 10 1 12 13 14 15 16 17 SP2 Clique em Service Servi o selecione a op o When Booting Ao Inicializar para assegurar que o servi o inicie na inicializa o do sistema operacional Clique em Global e selecione No Authentication Sem Autentica o porque o Agente de Recurso OCF para iSCSI atual n o suporta autentica o Clique em Targets Destinos e Add Adicionar para incluir um novo destino O Destino iSCSI gerar automaticamente um ID e apresentar uma lista vazia de LUNs unidades que est o dispon veis Clique em Add Adicionar para incluir uma nova
5. Fazendo backup e restaurando dados no Guia de administra o do NetIQ Sentinel 7 1 Fa a login no console de aplicativo como o usu rio root Execute o seguinte comando usr bin zypper patch Digite 1 para aceitar a mudan a de fornecedor de Novell para NetIQ Digite Y S para continuar Digite yes sim para aceitar o contrato de licen a Reinicie a aplica o Sentinel Limpe o cache do navegador web para visualizar a ltima vers o do Sentinel Atualizando o aplicativo usando SMT Em ambientes seguros onde a aplica o deve ser executada sem acesso direto internet configure a aplica o com a Subscription Management Tool SMT que permite que voc fa a o upgrade da aplica o para as vers es mais recentes dispon veis 1 Certifique se de que o aplicativo esteja configurado com SMT Para obter mais informa es consulte a Secci n 12 4 4 Configurando a aplica o com SMT en la p gina 91 Fa a login no console do aplicativo como o usu rio root Atualize o reposit rio para atualiza o zypper ref s Verifique se o aplicativo est habilitado para atualiza o zypper lr Opcional Verifique se h atualiza es dispon veis para o aplicativo zypper lu Opcional Verifique se h pacotes que incluem as atualiza es dispon veis para o dispositivo zypper lp r SMT http lt smt server fqdn gt lt package name gt Atualize o aplicativo zypper up t patch r SMT http lt smt
6. es na tela 5 Reinicie o Gerenciador de Coletor ou o Mecanismo de Correla o remoto Operando o Sentinel no modo FIPS 140 2 119 120 Guia de instala o e configura o do NetIQ Sentinel 7 1 Fazendo upgrade do Sentinel Esta se o fornece informa es sobre a atualiza o do Sentinel e outros componentes Cap tulo 20 Fazendo upgrade do servidor Sentinel en la p gina 123 Cap tulo 21 Fazendo upgrade da aplica o Sentinel en la p gina 125 Cap tulo 22 Fazendo upgrade do Gerenciador de Coletor ou o Mecanismo de correla o en la p gina 127 Cap tulo 23 Fazendo upgrade de plug ins do Sentinel en la p gina 129 Fazendo upgrade do Sentinel 121 122 Guia de instala o e configura o do NetIQ Sentinel 7 1 Fazendo upgrade do servidor Sentinel Importante O Sentinel 7 1 ou mais recente exige que o sistema operacional esteja com o protocolo IPv6 ativado Certifique se de que o IPv esteja ativado no sistema operacional antes de fazer atualiza o para o Sentinel 7 1 ou mais recente Se o IPv6 n o estiver ativado componentes importantes n o funcionar o corretamente Use as etapas a seguir para fazer upgrade do servidor Sentinel 1 Fa a um backup de sua configura o e crie uma exporta o de ESM Para obter mais informa es sobre o backup de dados consulte Fazendo backup e restaurando dados no Guia de administra o do NetIQ Sentinel 7 1 2 Fa a downlo
7. o possa ser instalada 3 Efetue login como Administrador no servidor em que deseja instalar a aplica o Especifique o seguinte comando para extrair a imagem compactada da aplica o a partir da m quina onde o VM Converter est instalado tar zxvf lt install file gt Substitua lt arquivo instala o gt pelo nome real do arquivo 5 Para importar a imagem VMware no servidor ESX use o VMware Converter e siga as instru es na tela do assistente de instala o Instala o da aplica o 81 12 1 2 82 Oo ONOG 10 11 12 13 14 15 16 17 18 19 Efetue login na m quina do servidor ESX Selecione a imagem VMware importada da aplica o e clique no cone Ligar Selecione o idioma desejado e clique em Avan ar Selecione o layout do teclado e clique em Avan ar Leia e aceite o Contrato de Licen a do Software SUSE Linux Enterprise Server SLES 11 SP2 Leia e aceite o Contrato de Licen a do Usu rio Final do NetIQ Sentinel Na tela Nome de Host e Nome de Dom nio especifique o nome de host e o nome de dom nio Certifique se de que a op o Atribuir nome do host ao IP de loopback esteja selecionada Clique em Avan ar As configura es do nome de host s o gravadas Siga um destes procedimentos Para usar as configura s atuais da conex o de rede selecione Usar configura o a seguir na p gina Configura o de Rede II e em seguida clique em Avan ar Para mudar as configura
8. 12 13 14 15 Coletor dever se conectar Especifique o n mero da porta do Servidor de Comunica o A porta padr o de barramento de mensagem 61616 Especifique o nome de usu rio do JMS que o nome de usu rio do Gerenciador de Coletor e Mecanismo de Correla o O nome de usu rio padr o collectormanager para o Gerenciador de Coletor e correlationengine para o Mecanismo de Correla o Especifique a senha do usu rio do JMS O nome do usu rio e senha est o armazenados no arquivo lt dir instala o gt etc opt novell sentinel config activemqusers properties que est localizado no servidor do Sentinel Opcional Para verificar a senha veja a seguinte linha em activemqusers properties Para o Gerenciador do Coletor collectormanager lt password gt Nesse exemplo collectormanager o nome de usu rio e o valor correspondente a senha Para o Mecanismo de Correla o correlationengine lt password gt Nesse exemplo correlationengine o nome de usu rio e o valor correspondente a senha Clique em Avan ar Aceite o certificado Clique em Avan ar para concluir a instala o Quando a instala o est conclu da o instalador exibe uma mensagem indicando que essa aplica o o Gerenciador de Coletor do Sentinel ou Mecanismo de Correla o do Sentinel dependendo do que voc escolheu instalar junto com o endere o IP Ela tamb m exibe o endere o IP da interface do usu rio
9. Instala o tradicional 73 74 Insira 2 para informar uma chave de licen a adquirida do Sentinel 9 Especifique a senha do usu rio administrador admin e confirme a senha novamente 11 12 13 14 15 Especifique a senha do usu rio do banco de dados dbauser e confirme a senha novamente A conta dbauser a identidade usada pelo Sentinel para interagir com o banco de dados A senha inserida aqui pode ser usada para realizar tarefas de manuten o de banco de dados incluindo a redefini o da senha do administrador caso ela seja esquecida ou perdida Especifique a senha do usu rio do aplicativo appuser e confirme a senha novamente Altere as atribui es de porta para os servi os do Sentinel inseerindo o n mero desejado e em seguida especificando o novo n mero da porta Depois de alterar as portas especifique 7 para concluir Insira 1 para autenticar os usu rios usando somente o banco de dados interno ou Se voc configurou um diret rio LDAP em seu dom nio insira 2 para autenticar os usu rios usando a autentica o do diret rio LDAP O valor padr o 1 Se voc deseja habilitar o Sentinel no modo FIPS 140 2 pressione s 15a Especifique uma senha forte para o banco de dados de keystore e confirme a senha novamente Nota A senha deve ter pelo menos sete caracteres de comprimento A senha deve conter pelo menos tr s das seguintes classes de caracteres d gitos letras ASCII min sculas let
10. eventos de acima dos valores determina dos causar o instabilida de Aumentar o EPS retidocom o tempo causar instabilida de na configura o do sistema Planejamento de parti es para armazenamento de dados Ao instalar o Sentinel necess rio montar a parti o de disco para o armazenamento local no mesmo local em que o Sentinel foi instalado como padr o o diret rio var opt novell Toda a estrutura de diret rio em var opt novell sentinel precisa residir em uma nica parti o de disco para garantir que o c lculos de uso de disco sejam realizados corretamente Caso contr rio as capacidades de gerenciamento autom tico de dados poder o excluir dados de eventos prematuramente Para obter mais informa es sobre o diret rio do Sentinel consulte Cap tulo 15 Estrutura de diret rios do Sentinel en la p gina 97 Atendendo aos requisitos do sistema 49 50 5 5 1 5 5 2 5 6 5 7 Como pr tica recomendada certifique se de que o diret rio de dados esteja localizado em uma parti o de disco diferente de onde se encontram os arquivos do sistema operacional arquivos de configura o e execut veis Os benef cios de armazenar dados vari veis separadamente incluem mais facilidade para realizar backups de conjuntos de campos mais simplicidade na recupera o em casos de corrup o e robustez adicional caso uma parti o de disco fique cheia Ele tamb m melhora o dese
11. lt IP Address Sentinel server gt 8443 O lt endere o IP servidor Sentinel gt o endere o IP ou o nome DNS do servidor do Sentinel e 8443 a porta padr o para o servidor do Sentinel Efetue login com o nome de usu rio e senha especificados durante a instala o do servidor do Sentinel 2 Na barra de ferramentas clique em Downloads 3 No cabe alho do Gerenciador de Coletor clique em Download dp Instalador 78 Guia de instala o e configura o do NetIQ Sentinel 7 1 11 6 3 4 Clique em Salvar Arquivo para salvar o instalador no local desejado 5 Especifique o seguinte comando para extrair o arquivo de instala o tar zxvf lt install filename gt Substitua lt nomearquivo instala o gt pelo nome real do arquivo de instala o 6 Mude para o diret rio no qual extraiu o instalador 7 Especifique o comando a seguir para instalar o Gerenciador de Coletor ou os Mecanismos de Correla o Para o Gerenciador do Coletor install cm Para o Mecanismo de Correla o install ce O script de instala o primeiro verifica a mem ria dispon vel e o espa o em disco Se a mem ria dispon vel for menor do que 1 5 GB o script terminar a instala o automaticamente Especifique o n mero do idioma que deseja usar na instala o O contrato de licen a de usu rio final ser exibido no idioma selecionado 9 Pressione a barra de espa o para ler o contrato de licen a 11 12 13 14 15
12. no Guia do usu rio do NetIQ Sentinel 7 1 Para monitorar eventos de acordo com as Regras de correla o necess rio implantar as regras no Mecanismo de correla o Quando um evento que atende aos crit rios da regra ocorrer o Mecanismo de correla o gera um evento de correla o descrevendo o padr o Para obter mais informa es consulte Mecanismo de correla o no Guia do usu rio do NetIQ Sentinel 7 1 Intelig ncia de seguran a O recurso de correla o do Sentinel fornece a capacidade de conhecer padr es de atividade sejam eles para seguran a conformidade ou outros fins O recurso Security Intelligence procura atividades fora do comum e que possam ser maliciosas mas que n o correspondem a nenhum padr o conhecido O recurso Intelig ncia de Seguran a do Sentinel concentra se na an lise estat stica dos dados de s ries cronol gicas para permitir que os analistas identifiquem e analisem desvios anomalias usando um mecanismo estat stico autom tico ou uma representa o visual dos dados estat sticos para interpreta o manual Para obter mais informa es consulte Analisando tend ncias em dados no Guia do Usu rio do NetIQ Sentinel 7 1 Corre o de incidente O Sentinel fornece um sistema de gerenciamento automatizado de respostas a incidentes que permite que voc documente e formalize o processo de monitoramento encaminhamento e resposta a incidentes e viola es de pol tica al m de f
13. 18 Selecione Add Adicionar para incluir uma nova parti o para o disco vazio Formate o disco como uma parti o ext3 prim ria mas n o a monte Certifique se que a op o Do not mount partition N o montar parti o esteja selecionada 19 Selecione Next Pr ximo e Finish Terminar ap s examinar as mudan as que ser o feitas Presumindo que voc crie uma nica parti o grande nesse LUN iSCSI compartilhado voc deve encerrar com um dev sdb1 ou disco formatado similar chamado como dev lt COMPARTILHADO1 gt abaixo 20 Volte para o particionador e repita o processo de particionamento formata o etapas 16 19 para dev sdc ou para qualquer dispositivo de blocos que corresponda ao armazenamento de rede Isso resultar em uma parti o dev sdc1 ou disco formatado similar chamado como dev lt REDE1 gt abaixo 21 Saia do YaST 22 Finalmente crie um ponto de montagem e teste a montagem da parti o local como segue o nome do dispositivo exato pode depender da implementa o espec fica mkdir var opt novell mount dev lt SHAREDI gt var opt novell 23 Voc deve ser capaz de criar arquivos na nova parti o e v los onde quer que estejam montados Para desmontar umount var opt novell Repita as etapas 1 15 no procedimento acima para assegurar que cada n do cluster possa montar o armazenamento compartilhado local Substitua o IP do n na etapa 5 por um IP diferente por exemplo node02 g
14. 52 52 53 54 54 55 57 58 58 58 59 60 60 60 61 61 61 63 63 64 65 67 68 68 69 11 6 3 Adicionando um usu rio personalizado ao Gerenciador de Coletor ou Mecanismo de Correla o ss ie said ira LS ag en SECA MATE AGR AE SALE SEA dia PS 79 12 Instala o da aplica o 81 12 1 Instalando a aplica o VMware ccciccssis aa 81 12 1 1 Instalando o Sentinel cccccccccccc aa 81 12 1 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais 82 12 1 3 Instalando o VMware Tools cccciiicccccc 84 12 2 Instalando a aplica o Xen cccccccscs aaa 84 12 2 1 Instalando o Sentinel s assar sos dep od Seal bio Duda DA RUA Sept dp SA da Gra 8 ia 84 12 2 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais 86 12 3 Instala o do aplica o ISO cccccccicc eee aa 87 12 3 1 cInstalando o Sentinela ss snes atari T A SS al DA LO pa Cica a eb A ir 87 12 3 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais 88 12 4 Configura o p s instala o para a aplica o ciciiiiiiiiciscis erra 89 12 4 1 Configura o do WebYaST ciicicii rr 89 12 4 2 Criando parti es e receita e a eia ir EEE E 90 12 4 3 Registrando para receber atualiza es nunan nn naan 90 12 4 4 Configurando a aplica o com SMT n s sssaaa anaana eaaa 91 12 5 Parando e iniciando
15. 7 3 1 Portas derede see a T ra RIO R TO e aa n e a a da GS A 7 3 2 Portas espec ficas da aplica o do Mecanismo de Correla o n unana nannan nna 8 Op es de instala o 8 1 Instala o tradicional 4 2 sata e E DS Ra E ara a E E E E a P 8 2 Instala o da aplica o cccccccic aaa Parte III Instalando o Sentinel 9 Vis o geral da instala o 9 1 Vantagens de Gerenciadores de Coletor adicionais s sasae nerean 9 2 Vantagens dos mecanismos de correla o adicional s sasaaa aaua aaee 10 Lista de verifica o de instala o 11 Instala o tradicional 11 1 Compreendendo as op es de instala o cccicicisicil 11 2 Executando instala es interativas ciccccciciccc ra 11 21 Jlhstala o padr o renina ne pues dE DEDE GERIR qu a E E BOA RU E EA ia a 11 2 2 Instala o Personalizada unanunua naaa aa 11 3 Realizando uma instala o silenciosa s saaana ennaa 11 4 Instalando o Sentinel como um usu rio n o raiz nanasan aaae 11 5 Modificando a configura o depois da instala o icccccciccciciccic sa 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais 11 6 1 Lista de verifica o de instala o cicccciiiiiicciscs sra 11 6 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais Guia de instala o e configura o do NetIQ Sentinel 7 1 51 51 51
16. Configurando o hor rio no Sentinel en la p gina 103 Secci n 16 3 Tratando fusos hor rios en la p gina 103 Entendendo o hor rio no Sentinel O Sentinel um sistema distribu do composto por v rios processos distribu dos por toda a sua rede Al m disso podem ocorrer certos atrasos introduzidos pela fonte de eventos Para lidar com essa situa o os processos do Sentinel reordenam os eventos em um fluxo ordenado por hor rios antes de realizar o processamento Todo evento tem tr s campos de hor rio Hor rio do evento o hor rio de evento usado por todos os mecanismo de an lise pesquisa relat rios etc Hor rio de processamento do Sentinel o hor rio em que o Sentinel coleta os dados do dispositivo obtido a partir do hor rio de sistema do Gerenciador de coletor Hor rio do evento do observador a marca o de hor rio que o dispositivo coloca nos dados O dados nem sempre podem conter uma marca o de hor rio confi vel e podem ser bem diferentes do Hor rio de processamento do Sentinel Por exemplo quando o dispositivo entrega dados em lotes A ilustra o a seguir explica como o Sentinel faz isso Configurando o hor rio 101 102 Dispositivos de Seguran a Figura 16 1 Hor rio do Sentinel al c Telas Ativas Relat rios e G Reordenar Buffer Eventos de dispositivos R o de seguran a exemplo SASO IDS 4 Firewalls O Sistema Operacional Rotea
17. O m dulo de criptografia NSS fornecido pelo SLES 11 SP2 ainda n o foi oficialmente validado pelo FIPS 140 2 mas o trabalho est em progresso para obter a valida o do FIPS 140 2 para o m dulo SUSE Uma vez que a valida o esteja dispon vel nenhuma mudan a necess ria para o Sentinel antecipada para disponibilizar dentro do FIPS 140 2 na plataforma SUSE Para obter informa es sobre a certifica o RHEL 6 2 FIPS 140 2 veja M dulos criptogr ficos validados para FIPS 140 1 e FIPS 140 2 Pacotes RHEL NSS O Sentinel requer os seguintes pacotes NSS de 64 bits para dar suporte ao modo FIPS 140 2 nspr 4 9 1 el6 x86 64 nss sysinit 3 13 3 6 el6 x86 64 nss util 3 13 3 2 e16 x86 64 nss softokn freebl 3 12 9 11 el6 x86 64 Considera es sobre a implementa o do Sentinel Operacional no modo FIPS 140 2 51 52 6 1 2 6 2 nss softokn 3 12 9 11 el6 x86 64 nss 3 13 3 6 el6 x86 64 nss tools 3 13 3 6 el6 x86 64 Se qualquer um desses pacotes n o estiver instalado instale o antes de ativar o modo FIPS 140 2 no Sentinel Pacotes SLES NSS O Sentinel requer os seguintes pacotes NSS de 64 bits para dar suporte ao modo FIPS 140 2 libfreebl3 3 13 1 0 2 1 mozilla nspr 4 8 9 1 2 2 1 mozilla nss 3 13 1 0 2 1 mozilla nss tools 3 13 1 0 2 1 Se qualquer um desses pacotes n o estiver instalado instale o antes de ativar o modo FIPS 140 2 no Sentinel Componentes ativados para FIPS no
18. Opcional Opcional Obrigat rio Descri o Usada para conex es de auditoria Usada para mensagens syslog Usada para mensagens syslog criptografas por SSL Usada para mensagens syslog Usadas com ferramentas de monitoramento para conectarem se com o processo do servidor do Sentinel usando o JMX Java Management Extensions Inicia uma conex o para o servidor do Sentinel Portas espec ficas da aplica o do Gerenciador de Coletor Al m das portas acima as seguintes portas ficam abertas para a aplica o do Gerenciador de Coletor do Sentinel Portas Dire o TCP 22 Interno TCP 54984 Interno Necess ria opcional Obrigat rio Obrigat rio Descri o Usada para fornecer acesso seguro ao shell para a aplica o do Sentinel Usadas pelo Console de Gerenciamento da Aplica o do Sentinel WebYaST Tamb m usada pelo servi o de atualiza o da aplica o do Sentinel Guia de instala o e configura o do NetIQ Sentinel 7 1 Necess ria Portas Dire o opcional Descri o TCP 289 Interno Opcional Encaminhada para 1289 para conex es de auditoria UDP 514 Interno Opcional Encaminhada para 1514 para mensagens syslog TCP 1290 Interno Opcional Esta a porta de vincula o do Sentinel que tem permiss o para se conectar por meio do Firewall do SuSE UDP e TCP Interno Opcional As portas podem ser usadas ao configurar servidores de 40000 41000 coleta de dados como o syslog O Sentinel
19. Para obter mais informa es consulte Acessando o gerenciamento de fonte de eventos no Guia de administra o do NetIQ Sentinel 7 1 2 Clique com o bot o direito do mouse na fonte de eventos para a qual alterar a configura o de hor rio e em seguida selecione Editar 3 Marque ou desmarque a op o Confiar na Fonte de Eventos na parte inferior da guia Geral 4 Clique em OK para gravar a mudan a Tratando fusos hor rios Tratar fusos hor rios pode se tornar muito completo em um ambiente ditribuido Por exemplo voc pode ter uma fonte de eventos em um fuso hor rio o Gerenciador de Coletor em outro o servidor back end do Sentinel em outro e o cliente que visualiza os dados em outro Ao adicionar preocupa es como hor rio de ver o e as v rias fontes de evento que n o relatam para que fuso hor rio est o configuradas como todas as fontes de syslog h muitos problemas poss veis que precisam ser tratados O Sentinel flex vel de forma que voc possa representar adequadamente o hor rio quando os eventos ocorrem de fato e comparar esses eventos a outros eventos de outras fontes em fusos hor rios iguais ou diferentes Em geral h tr s diferentes cen rios para como as fontes de evento relatam marca es de hor rio A fonte de eventos informa o hor rio em UTC Por exemplo todos os eventos do log de eventos do Windows s o sempre informados em UTC A fonte de eventos informa o hor rio local mas sem
20. Por exemplo Sentinel 7 1 0 0 x86 64 xen tar gz 2 Especifique o comando a seguir para descompactar o arquivo tar zxvf lt install file gt Substitua lt arquivo instala o gt pelo nome real do arquivo de instala o 3 V para o novo diret rio de instala o O diret rio cont m os seguintes arquivos lt nome arquivo gt raw lt nome arquivo gt xenconfig 4 Abra o arquivo lt nome arquivo gt xenconfig usando um editor de texto 5 Modifique o arquivo da seguinte maneira Especifique o caminho completo do arquivo raw na configura o de disk Especifique a configura o de ponte para a configura o da rede Por exemplo bridge br0 ou bridge xenbro0 Especifique os valores para as configura es de name e memory Por exemplo mode python name Sentinel 7 1 0 0 x86 64 memory 4096 Comente a seguinte linha vfb type vnc vncunused 1 vnclisten 0 0 0 0 84 Guia de instala o e configura o do NetIQ Sentinel 7 1 10 1 12 13 14 15 16 17 Adicione a linha a seguir extra console hvc0 xencons tty O arquivo xenconfig atualizado deve ser como segue mode python name install file name memory 4096 disk tap aio var lib xen images install directory install filename vif bridge br0 tvfb type vnc vncunused 1 vnclisten 0 0 0 0 extra console hvc0 xencons tty Ap s modificar o arquivo lt nome arquivo gt xenconfig especifique o s
21. a de avalia o Licen a de avalia o O licenciamento padr o do Sentinel permite usar todos os recursos corporativos do Sentinel pelo per odo de avalia o de 90 dias Um sistema em execu o com a licen a de avalia o exibe um indicador na interface da web indicando que a chave de licen a tempor ria est sendo usada Ele tamb m exibe o n mero de dias restante antes que a funcionalidade expire e indica como atualizar para uma licen a completa Nota A data de expira o do sistema baseada nos dados mais antigos do sistema Se voc restaurar eventos antigos no sistema a data de expira o ser ajustada de acordo com eles Ap s o per odo de 90 dias de avalia o a maioria das funcionalidades fica desabilitada mas voc ainda pode efetuar login e atualizar o sistema para usar uma chave de licen a empresarial Depois de atualizar para uma licen a empresarial todas as funcionalidades s o restauradas Para evitar qualquer interrup 9o na funcionalidade preciso atualizar o sistema com uma licen a corporativa antes da data de expira o Licen as corporativas Ao adquirir o Sentinel voc receber uma chave de licen a por meio do portal do cliente Dependendo do que foi adquirido sua chave de licen a ativar certos recursos taxas de coleta de dados e fontes de evento Pode haver termos de licen a adicionais que n o s o impostos pela chave de licen a portanto leia seu contrato de licen a c
22. es de conex o de rede selecione Alterar fa a as mudan as desejadas e em seguida clique em Avan ar As configura es de conex o da rede ser o gravadas Defina a data e o hor rio e clique em Avan ar Para mudar a configura o NTP ap s a instala o use YaST na linha de comando da aplica o O WebYast pode ser usado para mudar a data e o hor rio mas n o a configura o NTP Se o hor rio estiver fora de sincronia imediatamente ap s a instala o execute o seguinte comando para reiniciar o NTP rentp restart Defina a senha root e clique em Avan ar A instala o verifica a mem ria e o espa o em disco dispon veis Se a mem ria dispon vel for menor do que 2 5 GB a instala o n o permitir que voc prossiga e o bot o Avan ar estar em cinza Se a mem ria dispon vel for maior do que 2 5 GB mas menor do que 6 7 GB a instala o exibir uma mensagem informando que voc tem menos mem ria do que o recomendado Quando essa mensagem for exibida clique em Avan ar para prosseguir com a instala o Configure a senha do administrador do Sentinel e em seguida clique em Avan ar Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Anote o endere o IP da aplica o exibido no console Avance para a Secci n 12 4
23. mail As a es podem ser acionadas por regras de roteamento execu o manual de um evento ou opera o incidente bem como por regras de correla o O Sentinel fornece uma lista de A es pr configuradas Voc pode usar as a es padr es e reconfigur las conforme necess rio ou pode adicionar novas A es Para obter mais informa es consulte Configurando a es no Guia de administra o do NetIQ Sentinel 7 1 Uma A o pode ser executada por conta pr pria ou pode utilizar um inst ncia de Integrador a partir de um plug in de Integrador Plug ins do Integrador ampliam os recursos e a funcionalidade das a es de remedia o do Sentinel Os Integradores fornecem a capacidade de se conectar a um sistema externo como um servidor SOAP SMTP ou LDAP para executar uma a o Para obter mais informa es consulte Configurando integradores no Guia de administra o do NetIQ Sentinel 7 1 Relat rios O Sentinel fornece um recurso para executar relat rios nos dados coletados O Sentinel preparado com uma variedade de relat rios personaliz veis Alguns desses relat rios apresentam flexibilidade para permitir que voc especifique as colunas que devem ser exibidas nos resultados poss vel executar programar e enviar relat rios PDF por e mail Voc tamb m pode executar qualquer relat rio como uma pesquisa e depois interagir com os resultados como faria com uma pesquisa por exemplo refinando a pesqui
24. o e configura o do NetIQ Sentinel 7 1 6 1 6 1 1 Considera es sobre a implementa o do Sentinel Operacional no modo FIPS140 2 O Sentinel pode ser configurado opcionalmente para usar o Mozilla Network Security Services NSS que um provedor criptogr fico validado pelo FIPS 140 2 para sua criptografia interna e outras fun es A finalidade de fazer isso assegurar que o Sentinel esteja dentro do FIPS 140 2 e seja compat vel com as pol ticas e os padr es de compra federais dos EUA Ativar o modo Sentinel FIPS 140 2 causa a comunica o entre o servidor do Sentinel os Gerenciadores de Coletor remotos do Sentinel os Mecanismos de Correla o remotos do Sentinel a UI da web do Sentinel o Sentinel Control Center e o servi o Sentinel Advisor para usar a criptografia validada pelo FIPS 140 2 Secci n 6 1 Implementa o do FIPS no Sentinel en la p gina 51 Secci n 6 2 Componentes ativados para FIPS no Sentinel en la p gina 52 Secci n 6 3 Lista de verifica o da implementa o en la p gina 53 Secci n 6 4 Cen rios de implanta o en la p gina 54 Implementa o do FIPS no Sentinel O Sentinel usa as bibliotecas do Mozilla NSS que s o fornecidas pelo sistema operacional O RHEL Red Hat Enterprise Linux e o SLES SUSE Linux Enterprise Server t m conjuntos diferentes de pacotes NSS O m dulo criptogr fico NSS fornecido pelo RHEL 6 2 validado pelo FIPS 140 2
25. o inicial en la p gina 137 Secci n A 4 2 Configura o de armazenamento compartilhado en la p gina 139 Secci n 4 4 3 Instala o do Sentinel en la p gina 141 Secci n A 4 4 Instala o do cluster en la p gina 143 Secci n A 4 5 Configura o do Cluster en la p gina 143 Secci n A 4 6 Configura o do recurso en la p gina 146 Secci n A 4 7 Configura o do armazenamento de rede en la p gina 147 Configura o inicial Configure o hardware da m quina hardware de rede hardware de armazenamento sistemas operacionais contas de usu rio e outros recursos b sicos do sistema pelos requisitos documentados para o Sentinel e os requisitos do cliente local Teste os sistemas para assegurar a fun o adequada e estabilidade Como uma pr tica recomendada todos os n s do cluster devem estar sincronizados ao mesmo tempo use NTP ou uma tecnologia similar para esse fim O cluster exigir uma resolu o de nome de host confi vel Como uma pr tica recomendada talvez voc deseje inserir todos os nomes de host de cluster internos no arquivo etc hosts para assegurar a continuidade do cluster no caso de falha do DNS Se qualquer n do cluster n o puder resolver todos os outros n s por nome a configura o do cluster descrita nesta se o falhar As caracter sticas de CPU RAM e espa o em disco de cada n do cluster devem satisfazer aos requisitos do
26. os do Sentinel no computador de origem Guia de instala o e configura o do NetIQ Sentinel 7 1 19 3 Configurando a autentica o LDAP em modo FIPS 140 2 19 4 Para configurar a autentica o do LDAP dos servidores do Sentinel executando no modo FIPS 140 2 1 Obtenha o certificado do servidor LDAP do administrador do LDAP ou use um comando Por exemplo openssl s client connect lt LDAP server IP gt 636 e copiar o texto retornado entre sem incluir as linhas BEGIN e END em um arquivo 2 Importe o certificado do servidor LDAP para o keystore do Sentinel FIPS Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 3 Efetue login no console da Web do Sentinel como um usu rio na fun o de administrador e prossiga com a configura o da autentica o do LDAP Para obter mais informa es consulte Configurando a autentica o do LDAP no Guia de Administra o do NetIQ Sentinel 7 1 Nota Tamb m poss vel configurar a autentica o do LDAP para um servidor do Sentinel executando no modo FIPS 140 2 ao executar o script Idap auth config sh no diret rio opt novell sentinel setup Atualizando certificados do servidor nos Gerenciadores de Coletor e Mecanismos de Correla o remotos Para configurar Gerenciadores de coletor e Mecanismos de correla o remotos para se comunicar com um servidor do Senti
27. um endere o IP dedicado para se conectar ao destino iSCSI Um IP virtual que possa ser migrado do n do cluster para o n do cluster para servir como o endere o IP externo do Sentinel Pelo menos um endere o IP por n do cluster para comunica es internas do cluster A solu o de exemplo usar um endere o IP unicast simples mas o multicast preferido para ambientes de produ o Instala o e configura o Esta se o fornece as etapas para instala o e configura o do Sentinel em um ambiente de alta disponibilidade Cada etapa descreve a abordagem geral em seguida faz refer ncia a uma configura o de demonstra o que documenta os detalhes de uma solu o de cluster de exemplo Voc pode usar outras op es ou tecnologias diferentes das listadas neste documento sujeitas s restri es descritas no Secci n A 2 Suportabilidade en la p gina 135 O diagrama a seguir representa uma arquitetura de alta disponibilidade ativa passiva 136 Guia de instala o e configura o do NetIQ Sentinel 7 1 A 4 1 Cluster SLE HAE vMotion etc DE DaN Syslog LEA etc Spanos Gerenciador Dados de config de Coletor do Sentinel IP Virtual Dados de evento Syslog JDBC etc do Sentinel Servidores IP Virtual i i Servi o de a i Coleta de WMI e Servidores Microsoft 1 Windows IP Virtual Cliente Sentinel Secci n A 4 1 Configura
28. voc pode substituir a licen a de avalia o por uma chave de licen a comprada Especifique a senha do usu rio administrador admin 72 Guia de instala o e configura o do NetIQ Sentinel 7 1 11 2 2 10 Confirme a senha novamente Essa senha usada por admin dbauser e appuser A instala o do Sentinel conclu da e o servidor iniciado Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Para acessar a interface da web do Sentinel especifique o seguinte URL no seu navegador https lt IP Address Sentinel server gt 8443 O lt endere o IP servidor Sentinel gt o endere o IP ou o nome DNS do servidor do Sentinel e 8443 a porta padr o para o servidor do Sentinel Instala o Personalizada Se voc estiver instalando o Sentinel com uma configura o personalizada ser poss vel especificar a chave de licen a alterar a senha dos diversos usu rios e especificar os valores para diferentes portas usadas para interagir com os componentes internos 1 Fa a download do arquivo de instala o do Sentinel na p gina Downloads da Novell ta No campo Produto ou tecnologia navegue para selecionar SIEM Sentinel 1b Clique em Pesquisar 1c Clique no bot o na coluna Download para Avalia o do Sentinel 7 1 1d Clique em continuar
29. 16 Digite yes ou y para aceitar o contrato de licen a e prosseguir com a instala o A instala o poder levar alguns segundos antes de solicitar o tipo de configura o Quando solicitado especifique 1 para prosseguir com a configura o padr o Insira o nome de host ou o endere o IP do servidor de comunica o da m quina na qual o Sentinel est instalado Especifique o nome de usu rio e senha do Gerenciador de Coletor ou do Mecanismo de Correla o O nome de usu rio e a senha est o armazenados no arquivo lt install dir gt etc opt novell sentinel config activemqgusers properties localizado no servidor do Sentinel Quando solicitado aceite o certificado permanentemente Insira yes sim ou y s para habilitar o modo FIPS 140 2 no Sentinel e continue com a configura o do FIPS Continue com a instala o como solicitado at que ela esteja conclu da Adicionando um usu rio personalizado ao Gerenciador de Coletor ou Mecanismo de Correla o O Sentinel recomenda que voc use os nomes de usu rio padr o para o Gerenciador de Coletor e Mecanismo de Correla o remotos No entanto se voc tiver v rios Gerenciadores de Coletor remotos instalados e desejar identific los sepradamente poder criar novos usu rios 1 2 3 Efetue login no servidor como o usu rio que tem acesso aos arquivos de instala o do Sentinel Abra o arquivo activemggroups properties Esse arquivo est localizado no di
30. Console de Gerenciamento da Aplica o do Sentinel WebYaST Tamb m usada pelo servi o de atualiza o da aplica o do Sentinel Encaminhada para 1289 para conex es de auditoria Encaminhada para 8443 para comunica o HTTPS Encaminhada para 1514 para mensagens syslog Portas usadas 59 7 2 1 1 2 2 60 Portas TCP 1290 UDP e TCP 40000 41000 TCP 443 ou 80 TCP 80 Dire o Interno Interno Externo Externo Necess ria opcional Opcional Opcional Obrigat rio Opcional Descri o A porta do Sentinel Link que tem permiss o para se conectar por meio do Firewall do SuSE As portas podem ser usadas ao configurar servidores de coleta de dados como o syslog O Sentinel n o se comunica nessas portas por padr o Inicia uma conex o ao reposit rio de atualiza o do software da aplica o NetIQ na Internet ou um servi o SMT Subscription Management Tool na rede Inicia uma conex o SMT 7 2 Portas do Gerenciador de Coletor O Gerenciador de Coletor usa as seguintes portas para se comunicar com outros componentes Portas de rede Para que o Gerenciador de Coletor do Sentinel funcione adequadamente assegure se de que as seguintes portas estejam abertas no firewall Portas TCP 1289 UDP 1514 TCP 1443 TCP 1468 TCP 1099 e 2000 TCP 61616 Dire o Interno Interno Interno Interno Interno Externo Necess ria opcional Opcional Opcional Opcional
31. NetIQ teste e certifique tais atualiza es A NetIQ suporta o servidor do Sentinel o Gerenciador de Coletor e o Mecanismo de Correla o nos seguintes sistemas operacionais e plataformas Categoria Requisito Sistema Operacional O Sentinel suportado nos seguintes sistemas operacionais SUSE Linux Enterprise Server SLES 11 SP2 de 64 bits Red Hat Enterprise Linux for Servers RHEL 6 de 64 bits O Sentinel n o suportado nas instala es do Open Enterprise Server no SLES Importante Para instala es tradicionais certifique se de que o protocolo de Internet vers o 6 IPv6 est ativado no seu sistema operacional Se o IPv6 n o estiver ativado componentes importantes n o funcionar o corretamente Para instala es de aplica o o IPv6 ativado por padr o Plataforma virtual O NetIQ fornece aplica es que instalam um servidor SLES 11 SP2 de 64 bits e o Sentinel nas seguintes plataformas virtuais VMWare ESX 4 0 e 5 0 Xen 4 0 Atendendo aos requisitos do sistema 35 36 5 2 5 3 Categoria Requisito DVD ISO O NetIQ fornece um arquivo ISO de DVD que instala o SLES 11 SP2 de 64 bits e o Sentinel em Hyper V Server 2008 R2 Hardware sem um sistema operacional instalado Sistema de Arquivos Instala es tradicionais Nos sistemas SLES O Sentinel suporta sistemas de arquivos ext3 e XFS Em sistemas RHEL O Sentinel suporta sistemas de arquivos ext4 e XFS Instala es da ap
32. O Se voc pretende instalar a vers o licenciada obtenha a chave de licen a do Centro de Atendimento ao Cliente da Novell O Confirme se as portas listadas em Cap tulo 7 Portas usadas en la p gina 57 est o abertas no firewall O Para que o instalador do Sentinel funcione corretamente o sistema deve ser capaz de retornar o nome do host ou um endere o IP v lido Para tal adicione o nome do host ao arquivo etc hosts na linha contendo o endere o IP e insira hostname f para garantir que o nome do host seja exibido adequadamente O Sincronize o hor rio usando o protocolo NTP Network Time Protocol 0 Em sistemas RHEL Para obter o desempenho ideal as configura es da mem ria devem ser definidas adequadamente para o banco de dados PostgreSQL O par metro SHMMAX deve ser maior ou igual a 1073741824 Para definir o valor adequado anexe as seguintes informa es ao arquivo etc sysctl conf for Sentinel Postgresqgl kernel shmmax 1073741824 O Para instala es tradicionais C Certifique se de que o protocolo IPv6 est ativado no seu sistema operacional Se o IPv6 n o estiver ativado componentes importantes n o funcionar o corretamente O Osistema operacional do servidor do Sentinel deve incluir pelo menos os componentes do Servidor Base do servidor SLES ou do servidor RHEL 6 O Sentinel exige as vers es de 64 bits dos seguintes RPMs bash bc coreutils gettext glibc grep libgcc
33. Portas do servidor do Sentinel O servidor Sentinel usa as seguintes portas para comunica es interna e externa Portas locais O Sentinel usa as seguintes portas para comunica o interna com o banco de dados e outros processos internos Portas TCP 27017 TCP 28017 TCP 32000 Descri o Usado para o banco de dados de configura o de Intelig ncia de Seguran a Usado para a interface da web do banco de dados de Intelig ncia de Seguran a Usado para comunica o interna entre o processo do agrupador e o processo do servidor Portas de rede Para que o Sentinel funcione adequadamente assegure se de que as seguintes portas estejam abertas no firewall Portas TCP 5432 TCP 1099 e 2000 TCP 1289 UDP 1514 TCP 8443 TCP 1443 TCP 61616 TCP 10013 TCP 1468 TCP 10014 Dire o Entrada Interno Interno Interno Interno Interno Interno Interno Interno Interno Necess ria opcional Opcional Por padr o esta porta escuta apenas a interface de loopback Opcional Opcional Opcional Obrigat ria Opcional Opcional Obrigat rio Opcional Opcional Descri o Usada pelo banco de dados PostgreSQL Esta porta n o precisa ser aberta por padr o No entanto voc deve abrir esta porta ao desenvolver relat rios usando o Sentinel SDK Para obter mais informa es consulte o Sentinel Plug in SDK Usadas com ferramentas de monitoramento para conectarem se com o pr
34. Sentinel Os seguintes componentes do Sentinel fornecem o suporte do FIPS 140 2 Todos os componentes da plataforma Sentinel est o atualizados para suportar o modo FIPS 140 2 Os seguintes plug ins do Sentinel que suportam criptografia est o atualizados para suportar o modo FIPS 140 2 Agent Manager Connector 2011 1rl e posterior Database JDBC Connector 2011 1r2 e posterior File Connector 2011 1rl e mais recente somente se o tipo de fonte de evento do arquivo for local ou NFS LDAP Integrator 2011 1rl e posterior Sentinel Link Connector 2011 113 e posterior Sentinel Link Integrator 2011 1r2 e posterior SMTP Integrator 2011 1r1 e posterior Syslog Connector 2011 1r2 e posterior Windows Event WMI Connector 2011 112 e posterior Para obter informa es sobre como configurar esses plug ins do Sentinel para executar no modo FIPS 140 2 veja Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 en la p gina 112 Os seguintes Conectores do Sentinel que suportam criptografia opcional ainda n o est o atualizados para dar suporte ao modo FIPS 140 2 no momento da libera o deste documento No entanto voc pode continuar a coletar eventos usando esses Conectores Para obter instru es sobre como usar esses Conectores com o Sentinel no modo FIPS 140 2 veja Usando conectores ativados n o FIPS com o Sentinel no modo FIPS 140 2 en la p gina 117 Check Point LEA Conn
35. a o download do instalador do Sentinel um arquivo tar gz e o armazene em tmp no n do cluster 3 Execute os seguintes comandos mount dev lt SHAREDI gt var opt novell cd tmp tar xvzf sentinel server tar gz cd sentinel server install sentinel record unattended tmp install props 1 Execute a instala o padr o configurando o produto conforme apropriado O instalador instalar os bin rios configura o bancos de dados e configurar nomes de usu rio senhas e portas de rede 2 Inicie o Sentinel e teste as fun es b sicas Voc pode usar o IP do n do cluster externo padr o para acessar o produto 3 Encerre o Sentinel e desmonte o armazenamento compartilhado rcsentinel stop umount var opt novell Esta etapa remove os scripts de autoinicializa o de modo que o cluster possa gerenciar o produto cd insserv r sentinel Instala o do n subsequente Repita a instala o em outros n s O instalador inicial do Sentinel cria uma conta do usu rio para ser usada pelo produto que usa o pr ximo ID de usu rio dispon vel no momento da instala o As instala es subsequentes no modo aut nomo tentar o usar o mesmo ID de usu rio para cria o da conta mas n o existe a possibilidade de conflitos se os n s do cluster n o forem id nticos no momento da instala o altamente recomendado que voc execute um dos seguintes procedimentos Sincronize o banco de dados da conta do usu ri
36. appuser Instala as portas padr o para todos os componentes Instala o Sentinel em modo n o FIPS Autentica os usu rios com o banco de dados interno Instala o Personalizada Solicita que voc especifique os valores das op es de configura o E poss vel selecionar os valores padr o ou especificar os valores necess rios Permite instalar com a chave de licen a de 90 dias ou com uma chave de licen a v lida Permite que voc especifique a senha do administrador Para dbauser e appuser poss vel especificar uma nova senha ou usar a senha do administrador Permite especificar portas para diferentes componentes Permite que voc instale o Sentinel em modo FIPS 140 2 Fornece a op o de configura o da autentica o do LDAP para o Sentinel em adi o autentica o do banco de dados Quando o Sentinel configurado para autentica o do LDAP os usu rios podem efetuar login no servidor usando suas credenciais do Novell eDirectory ou do Microsoft Active Directory Para obter mais informa es sobre a instala o interativa veja Secci n 11 2 Executando instala es interativas en la p gina 72 Op es de instala o 63 Silencioso Se voc desejar instalar diversos servidores Sentinel na sua implanta o poder registrar as op es de instala o durante a instala o padr o ou personalizada em um arquivo de configura o e us lo para executar uma instala o aut
37. com o download e especifique seu nome e senha de cliente 1e Clique em download para obter a vers o de instala o para sua plataforma 2 Especifique na linha de comando o seguinte comando para extrair o arquivo de instala o tar zxvf lt install filename gt Substitua lt nome arquivo instala o gt pelo nome real do arquivo de instala o 3 Especifique o seguinte comando na raiz do diret rio extra do para instalar o Sentinel install sentinel ou Se desejar usar essa configura o padr o para instalar o Sentinel em mais de um sistema voc poder gravar as op es de instala o em um arquivo poss vel usar esse arquivo para uma instala o independente do Sentinel em outros sistemas Para registrar as op es de instala o especifique o seguinte comando install sentinel r lt response filename gt 4 Especifique o n mero do idioma que deseja usar para a instala o e em seguida pressione Enter O contrato de licen a de usu rio final ser exibido no idioma selecionado 5 Pressione a barra de espa o para ler o contrato de licen a 6 Digite yes ou y para aceitar o contrato de licen a e prosseguir com a instala o A instala o poder levar alguns segundos para carregar os pacotes de instala o e solicitar o tipo de configura o 7 Especifique 2 para executar uma instala o personalizada do Sentinel 8 Insira 1 para usar a chave de licen a padr o de avalia o de 90 dias ou
38. computador de origem da pesquisa distribu da 2 Navegue at o diret rio de certificados Operando o Sentinel no modo FIPS 140 2 109 110 cd lt sentinel install directory gt config 3 Copie o certificado de origem sentinel cer para um local tempor rio no computador de destino 4 Importe o certificado de origem para o keystore FIPS do Sentinel de destino Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 5 Efetue login no computador de destino da pesquisa distribu da 6 Navegue at o diret rio de certificados cd etc opt novell sentinel config 7 Copie o certificado de destino sentinel cer para um local tempor rio no computador de origem 8 Importe o certificado de destino para o keystore FIPS do Sentinel de origem 9 Reinicie os servi os do Sentinel nos computadores de origem e destino Cen rio 2 o servidor de origem do Sentinel est em modo n o FIPS e o servidor de destino do Sentinel est em modo FIPS 140 2 preciso converter a keystore do servidor Web no computador de origem para o formato de certificado e ent o exportar o certificado para o computador de destino 1 Efetue login no computador de origem da pesquisa distribu da 2 Crie a keystore do servidor Web em formato de certificado cer lt sentinel install directory gt jre bin keytool export alias webserver keystore lt se
39. dados sem agente permitindo que voc Acesse registros n o dispon veis na rede Opere em ambientes de rede rigidamente controlados Melhore a postura de seguran a limitando a superf cie de ataque em servidores cr ticos Forne a maior seguran a de coleta de dados durante momento de interrup o de rede Como o Sentinel funciona 23 24 2 5 2 6 2 1 O Gerenciador de agente permite que voc implante agentes e gerencie a configura o do agente e funciona como um ponto de coleta para eventos fluindo no Sentinel Para obter mais informa es sobre o Gerenciador de agente consulte a documenta o do Gerenciador de agente Correla o Um nico evento pode parecer comum mas quando combinado com outros eventos ele pode informar voc sobre um problema potencial O Sentinel ajuda voc a correlacionar os eventos em quest o usando as regras que voc cria e implementa no Mecanismo de correla o e toma a medida necess ria para reduzir os problemas A correla o agrega intelig ncia ao gerenciamento de eventos de seguran a automatizando a an lise do fluxo de eventos de entrada para encontrar padr es relevantes A correla o permite definir regras que identificam as amea as importantes e padr es complexos de ataque para que voc consiga priorizar os eventos e iniciar o gerenciamento e a resposta eficazes aos incidentes Para obter mais informa es consulte a se o Correlacionando dados de eventos
40. do cluster pode ser usada para efetuar o failback do servi o em execu o novamente para o n do cluster original se desejado Corrup o do n Se a falha tiver causado uma corrup o no aplicativo ou software do sistema operacional ou configura o que est presente no sistema de armazenamento do n ent o o software corrompido precisar ser reinstalado Repetir as etapas para adicionar um n no cluster descrito anteriormente neste documento restaurar o n para um estado operacional A interface do usu rio de gerenciamento do cluster pode ser usada para efetuar o failback do servi o em execu o novamente para o n do cluster original se desejado Configura o dos dados do cluster Se ocorrer corrup o de dados no dispositivo de armazenamento compartilhado de forma que o dispositivo de armazenamento compartilhado n o possa se recuperar isso resultar em corrup o que afetar todo o cluster de maneira que n o poder ser automaticamente recuperado pelo uso do cluster de failover altamente dispon vel descrito neste documento A se o Fazendo backup e restaura o de dados no Guia de administra o do NetIQ Sentinel 7 1 descreve como usar as ferramentas integradas do Sentinel para restaurar a partir de um backup Essas ferramentas devem ser usadas no n ativo no cluster porque o n passivo no cluster n o ter o acesso necess rio para o dispositivo de armazenamento compartilhado Outras ferramentas de bac
41. do servidor do Sentinel Instala o da aplica o 83 12 1 3 12 2 12 2 1 Instalando o VMware Tools Para que o Sentinel funcione efetivamente no servidor VMware preciso instalar o VMware Tools O VMware Tools um conjunto de utilit rios que aprimora o desempenho do sistema operacional da m quina virtual Ele tamb m aprimora o gerenciamento da m quina virtual Para obter mais informa es sobre a instala o do VMware Tools consulte VMware Tools para convidados do Linux https www vmware com support ws55 doc ws_newguest_tools_linux html wp1127177 Para obter mais informa es sobre a documenta o do VMware consulte o Manual do Usu rio da esta o de trabalho http www vmware com pdf ws71_manual pdf Instalando a aplica o Xen Esta se o fornece informa es sobre a instala o do Sentinel Gerenciador de coletor e Mecanismo de correla o em uma imagem da aplica o Xen Secci n 12 2 1 Instalando o Sentinel en la p gina 84 Secci n 12 2 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 86 Instalando o Sentinel Use as etapas a seguir para instalar o Sentinel em uma imagem da aplica o Xen 1 Fa a download do arquivo de instala o da aplica o virtual Xen no site de Download da Novell http download novell com index jsp para var lib xen images O nome do arquivo correto da aplica o virtual Xen tem xen no nome do arquivo
42. do software Sentinel para fornecer uma experi ncia de usu rio f cil e eficiente que permite que os clientes aproveitem os investimentos existentes A aplica o de software pode ser instalada tanto no hardware quanto em um ambiente virtual Secci n 12 1 Instalando a aplica o VMware en la p gina 81 Secci n 12 2 Instalando a aplica o Xen en la p gina 84 Secci n 12 3 Instala o do aplica o ISO en la p gina 87 Secci n 12 4 Configura o p s instala o para a aplica o en la p gina 89 Secci n 12 5 Parando e iniciando o servidor com o WebYaST en la p gina 92 Instalando a aplica o VMware Esta se o fornece informa es sobre a instala o do Sentinel Gerenciador de Coletor e Mecanismo de Correla o em um servidor VMware ESX Secci n 12 1 1 Instalando o Sentinel en la p gina 81 Secci n 12 1 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 82 Secci n 12 1 3 Instalando o VMware Tools en la p gina 84 Instalando o Sentinel Use as etapas a seguir para instalar o Sentinel em um servidor VMware ESX 1 Fa a download do arquivo de instala o da aplica o VMware no site de Download da Novell O arquivo correto da aplica o VMware possui vmx em seu nome Por exemplo sentinel server 7 1 0 0 x86 64 vmx tar gz 2 Estabele a um armazenamento de dados do ESX onde a imagem da aplica
43. e encontre de forma mais r pida e f cil dados relacionados a uma consulta espec fica como a atividade de um usu rio espec fico ou em sistema espec fico Clicar nos dados do evento ou usar o painel de refinamento do lado esquerdo permite focar eventos de interesse espec ficos Ao analisar centenas de eventos os recursos de relat rio do Sentinel fornecem controle personalizado sobre o layout do evento o podem exibir volumes de dados maiores O Sentinel facilita essa transi o permitindo transferir as pesquisas interativas criadas na Interface de pesquisa para um modelo de relat rio o qual cria instantaneamente um relat rio que exibe os mesmos dados em um formato que se adequa melhor a uma quantidade maior de eventos O Sentinel inclui v rios modelos para esse fim Alguns modelos s o ajustados para exibir tipos espec ficos de informa es como dados de autentica o ou cria o de usu rios e outros modelos s o para fins gerais que permitem personalizar grupos e colunas de forma interativa no relat rio Ao longo do tempo voc desenvolver filtros e relat rios usados com frequ ncia que facilitar o seus fluxos de trabalho O Sentinel suporta totalmente o armazenamento e a distribui o dessas informa es para as pessoas da sua empresa Para obter mais informa es consulte o Guia do usu rio do NetIQ Sentinel 7 1 Armazenamento e roteamento de dados no Sentinel O Sentinel fornece diversas op es para rotear armazen
44. em OK Clique em Network Services Servi os de Rede gt iSCSI Initiator Iniciador iSCSI Quando solicitado instale o software open iscsi RPM necess rio da m dia SUSE Linux 11 SP2 Clique em Service Servi o selecione When Booting Ao Inicializar para assegurar que o servi o iSCSI seja iniciado na inicializa o Clique em Discovered Targets Destinos Detectados e selecione Discovery Descoberta Especifique o endere o IP do iSCSI 10 0 0 3 selecione No Authentication Sem Autentica o e clique em Next Pr ximo Selecione o Destino iSCSI descoberto com o endere o IP 10 0 0 3 e selecione Log In Efetuar Login Alterne para autom tico na lista suspensa Startup Inicializa o selecione No Authentication Sem Autentica o e clique em Next Pr ximo Alterne para a guia Connected Targets Destinos Conectados para assegurar que estejamos conectados ao destino Guia de instala o e configura o do NetIQ Sentinel 7 1 A 4 3 15 Saia da configura o Esse deve ter sido montado nos Destinos iSCSI como dispositivos de bloco no n do cluster 16 No menu principal do YaST selecione System Sistema gt Partitioner Particionador 17 Na System View Tela do Sistema voc deve ver novos discos r gidos por exemplo dev sdb e dev sdc na lista eles ter o o tipo IET VIRTUAL DISK Pressione Tab para o primeiro item na lista que deve ser o armazenamento local selecione o disco e pressione Enter
45. est ticos na mem ria din mica A import ncia desse recurso de transmiss o especialmente relevante em um sistema em tempo real que seja vital para os neg cios como o Sentinel no qual preciso haver uma movimenta o de dados constante previs vel e gil qualquer que seja a carga transiente no sistema Detec o de explora o servi o de mapeamento O Sentinel permite a refer ncia cruzada entre as assinaturas dos dados de eventos e os dados do Vulnerability Scanner Os usu rios s o notificados de forma autom tica e imediata em caso de tentativa de ataque para explorar um sistema vulner vel Isso poss vel gra as Alimenta o do Consultor Detec o de intrus o Verifica o de vulnerabilidades e Firewalls O Consultor fornece uma refer ncia cruzada entre as assinaturas de dados do evento e os dados do verificador de vulnerabilidades O feed do Advisor cont m informa es sobre vulnerabilidades e amea as uma normaliza o de assinaturas de evento e plug ins de vulnerabilidade Para obter mais informa es sobre o Consultor consulte Configurando o Consultor no Guia de administra o do NetIQ Sentinel 7 1 Guia de instala o e configura o do NetIQ Sentinel 7 1 2 3 2 3 1 2 3 2 2 4 Gerenciador de Coletor O Gerenciador de Coletor do gerencia coletas de dados monitora mensagens de status do sistema e filtra eventos conforme necess rio As principais fun es do Geren
46. instalar o Gerenciador de Coletor ou o Mecanismo de Correla o adicional em sistemas separados O Gerenciador de Coletor remoto ou o Mecanismo de Correla o remoto n o deve estar no mesmo sistema no qual o servidor Sentinel est instalado Secci n 11 6 1 Lista de verifica o de instala o en la p gina 78 Secci n 11 6 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 Secci n 11 6 3 Adicionando um usu rio personalizado ao Gerenciador de Coletor ou Mecanismo de Correla o en la p gina 79 11 6 1 Lista de verifica o de instala o Certifique se de ter conclu do as seguintes tarefas antes de iniciar a instala o O Certifique se de que o hardware e o software atendem aos requisitos m nimos Para obter mais informa es consulte a Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 O Sincronize o hor rio usando o protocolo NTP Network Time Protocol O Os Gerenciadores de Coletor exigem conectividade de rede na porta de barramento de mensagens 61616 no servidor do Sentinel Antes de iniciar a instala o do Gerenciador de Coletor certifique se de que todas as configura es do firewall e de rede podem se comunicar atrav s dessa porta 11 6 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais 1 Inicie a interface da web do Sentinel especificando o seguinte URL em seu navegador https
47. n o se comunica nessas portas por padr o TCP 443 Externo Obrigat rio Inicia uma conex o ao reposit rio de atualiza o do software da aplica o NetIQ na Internet ou um servi o SMT Subscription Management Tool na rede TCP 80 Externo Opcional Inicia uma conex o SMT 7 3 Portas do mecanismo de correla o O Mecanismo de Correla o usa as seguintes portas para se comunicar com outros componentes 7 3 1 Portas de rede Para que o Mecanismo de Correla o do Sentinel funcione adequadamente assegure se de que as seguintes portas estejam abertas no firewall Necess ria Portas Dire o opcional Descri o TCP 1099 e 2000 Interno Opcional Usadas com ferramentas de monitoramento para conectarem se com o processo do servidor do Sentinel usando o JMX Java Management Extensions TCP 61616 Externo Obrigat rio Inicia uma conex o para o servidor do Sentinel 7 3 2 Portas espec ficas da aplica o do Mecanismo de Correla o Al m das portas acima as seguintes portas ficam abertas na aplica o do Mecanismo de Correla o do Sentinel Necess ria Portas Dire o opcional Descri o TCP 22 Interno Obrigat rio Usada para fornecer acesso seguro ao shell para a aplica o do Sentinel TCP 54984 Interno Obrigat rio Usadas pelo Console de Gerenciamento da Aplica o do Sentinel WebYaST Tamb m usada pelo servi o de atualiza o da aplica o do Sentinel Portas usadas 61 Necess ria Port
48. no diret rio var opt novell sentinel 1og Os arquivos de configura o est o no seguinte diret rio etc opt novell sentinel O arquivo de ID do processo PID est no diret rio var run sentinel server pid Usando o PID os administradores podem identificar o processo pai do servidor do Sentinel e monitorar ou encerra o processo Estrutura de diret rios do Sentinel 97 98 Guia de instala o e configura o do NetIQ Sentinel 7 1 Configurando o Sentinel Esta se o fornece informa es sobre como configurar o Sentinel e os plug ins prontos para o uso Cap tulo 16 Configurando o hor rio en la p gina 101 Cap tulo 17 Configurando plug ins prontos para o uso en la p gina 105 Cap tulo 18 Ativando o modo FIPS 140 2 em uma instala o existente do Sentinel en la p gina 107 Cap tulo 19 Operando o Sentinel no modo FIPS 140 2 en la p gina 109 Configurando o Sentinel 99 100 Guia de instala o e configura o do NetIQ Sentinel 7 1 16 1 Configurando o hor rio O hor rio de um evento vital para seu processamento no Sentinel E importante para fins de auditoria e gera o de relat rios bem como para o processamento em tempo real Esta se o fornece informa es sobre como compreender o tempo no Sentinel como configurar o hor rio e como manipular os fusos hor rios Secci n 16 1 Entendendo o hor rio no Sentinel en la p gina 101 Secci n 16 2
49. no quorum policy como ignore ignorar Fazemos isso porque temos apenas um cluster com dois n s assim qualquer falha no n nico quebrar o quorum e encerrar o cluster inteiro crm configure property no quorum policy ignore Nota Se o seu cluster tiver mais de dois n s n o configure essa op o 2 Configure a op o do cluster global default resource stickiness como 1 Isso encorajar o gerenciador de recurso a deixar os recursos executando no local em vez de mov los ao redor crm configure property default resource stickiness 1 Configura o do recurso Como mencionado na Instala o do Cluster esta solu o fornece um Agente de Recurso OCF para monitorar os principais servi os em SLE HAE e voc pode criar alternativas se desejado O software tamb m depende de diversos outros recursos para os quais os Agentes de Recurso s o fornecidos por padr o com SLE HAE Se voc n o deseja usar o SLE HAE ter que monitorar estes recursos adicionais usando alguma outra tecnologia Um recurso Filesystem sistema de arquivos correspondente para o armazenamento compartilhado que o software usa Um recurso de endere o IP correspondente ao IP virtual pelo qual os servi os ser o acessados O software do banco de dados Postgres que o software usa para armazenar a configura o e os metadados do evento H recursos adicionais como o MongoDB usado pela Intelig ncia de Seguran a e o barramento de mensagem Activ
50. noma Para obter mais informa es sobre a instala o silenciosa veja Secci n 11 3 Realizando uma instala o silenciosa en la p gina 75 8 2 Instala o da aplica o A instala o da aplica o instala o sistema operacional SLES 11 SP2 de 64 bits e o Sentinel A aplica o do Sentinel est dispon vel nos seguintes formatos Uma imagem da aplica o VMWare Uma imagem do appliance Xen Uma imagem do DVD Live de appliance diretamente implantada em um servidor de hardware Para obter mais informa es sobre a instala o da aplica o veja Cap tulo 12 Instala o da aplica o en la p gina 81 64 Guia de instala o e configura o do NetIQ Sentinel 7 1 Instalando o Sentinel Esta se o fornece informa es sobre a instala o do Sentinel e componentes adicionais Cap tulo 9 Vis o geral da instala o en la p gina 67 Cap tulo 10 Lista de verifica o de instala o en la p gina 69 Cap tulo 11 Instala o tradicional en la p gina 71 Cap tulo 12 Instala o da aplica o en la p gina 81 Cap tulo 13 Instalando coletores e conectores adicionais en la p gina 93 Cap tulo 14 Verificando a instala o en la p gina 95 Cap tulo 15 Estrutura de diret rios do Sentinel en la p gina 97 Instalando o Sentinel 65 66 Guia de instala o e configura o do NetIQ Sentinel 7 1 Q Vis o geral da instala
51. novamente para o ltimo ponto de restaura o do modo n o FIPS Voc deve fazer um backup do sistema atual antes de reverter para o modo n o FIPS para uso futuro Para reverter o servidor do Sentinel para o modo n o FIPS 1 Efetue login no Sentinel Server como usu rio root 2 Mude para o usu rio novell 3 Navegue para o diret rio bin do Sentinel O local padr o opt novell sentinel bin 118 Guia de instala o e configura o do NetIQ Sentinel 7 1 4 Execute o comando a seguir para reverter o servidor Sentinel para o modo n o FIPS e siga as instru es na tela backup util sh f lt backup file name tar gz gt m restore Por exemplo se non fips2013012419111359034887 tar gz foro arquivo de backup execute o seguinte comando backup util sh f non fips2013012419111359034887 tar gz m restore 5 Reinicie o servidor do Sentinel 19 7 2 Revertendo Gerenciadores de Coletor ou Mecanismos de Correla o remotos para o modo n o FIPS E poss vel reverter Gerenciadores de Coletor ou Mecanismos de Correla o remotos para o modo n o FIPS Para reverter um Gerenciador de Coletor ou um Mecanismo de Correla o remoto para o modo n o FIPS 1 Efetue login no sistema do Gerenciador de Coletor ou Mecanismo de Correla o remotos 2 Alterne para o usu rio novell su novell 3 Navegue para o diret rio bin O local padr o opt novell sentinel bin 4 Execute o script revert to nonfips she siga as instru
52. o A instala o do Sentinel instala os seguintes componentes no servidor Sentinel Processo do servidor do Sentinel Este o componente principal do Sentinel O processo do servidor do Sentinel processa solicita es de outros componentes do Sentinel e viabiliza a funcionalidade perfeita do sistema O processo do servidor do Sentinel manipula solicita es como filtragem de dados processamento de consultas e gerenciamento de tarefas administrativas que incluem a autentica o e autoriza o do usu rio Servidor Web O Sentinel usa o Jetty como seu servidor Web para conectar se com seguran a interface da Web do Sentinel Banco de dados PostgreSQL O Sentinel tem um banco de dados integrado que armazena informa es de configura o do Sentinel dados de ativos e vulnerabilidade informa es de identidade status de incidente e workflow e assim por diante Banco de dados do MongoDB Armazena os dados da Intelig ncia de Seguran a Gerenciador de Coletor O Gerenciador de Coletor oferece um ponto flex vel para coleta de dados no Sentinel O instalador do Sentinel instala um Gerenciador de Coletor por padr o durante a instala o Mecanismo de Correla o O Mecanismo de Correla o processa eventos do fluxo de eventos em tempo real para determinar se eles devem acionar qualquer uma das regras de correla o Advisor O Advisor desenvolvido por Security Nexus um servi o de inscri o de dados opcional que fornece
53. o de barramento de mensagem 61616 Especifique o nome de usu rio do JMS que o nome de usu rio do Gerenciador de Coletor e Mecanismo de Correla o Especifique a senha do usu rio do JMS O nome de usu rio e a senha est o armazenados no arquivo lt install_dir gt etc opt novell sentinel config activemqusers properties localizado no servidor do Sentinel Opcional Para verificar a senha veja a seguinte linha no arquivo activemgusers properties Para o Gerenciador do Coletor collectormanager lt password gt Nesse exemplo collectormanager o nome de usu rio e o valor correspondente a senha 86 Guia de instala o e configura o do NetIQ Sentinel 7 1 12 3 12 3 1 12 Para o Mecanismo de Correla o correlationengine lt password gt Nesse exemplo correlationengine o nome de usu rio e o valor correspondente a senha Selecione Avan ar para concluir a instala o Quando a instala o est conclu da o instalador exibe uma mensagem indicando que essa aplica o o Gerenciador de Coletor do Sentinel ou o Mecanismo de Correla o do Sentinel dependendo do que voc escolheu instalar junto com o endere o IP Instala o do aplica o ISO Antes de instalar a aplica o no hardware certifique se de que a imagem ISO do disco da aplica o foi obtida no site de suporte foi descompactada e est dispon vel em um DVD Importante A instala o no hardware usando a imagem de
54. o servidor com o WebYaST nananaa nanana nenea 92 13 Instalando coletores e conectores adicionais 93 13 51 Instalando Um Golet 2 aces sz sa ins aula GSE mo TAS a IRIA ND ELA AE E EA GE CUBOS A SUA 93 139 2 Instalando um Conector imeitera suas Dna da ERRO EA A A a A AVE a Do aaa e a G 93 14 Verificando a instala o 95 15 Estrutura de diret rios do Sentinel 97 Parte IV Configurando o Sentinel 99 16 Configurando o hor rio 101 16 1 Entendendo o hor rio no Sentinel ccccccciccccs 101 16 2 Configurando o hor rio no Sentinel ccccicciciis nara 103 16 3 Tratando fusos hor rios yesin ae n a e E a G G E R E E 103 17 Configurando plug ins prontos para o uso 105 17 1 Configurando os Solution Packs sssaaa as aaaeeeaa aaraa 105 17 2 Configurando os coletores conectores integradores e a es iiciiciiiiitiiis 105 18 Ativando o modo FIPS 140 2 em uma instala o existente do Sentinel 107 18 1 Ativando o servidor do Sentinel para executar no Modo FIPS 140 2 ccccccccccc 107 18 2 Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o TEMOTOS sentaa hee o dades Aires Bi digo 5 ga o SR E a RD E qi rt Su e oo fat a TONA 107 19 Operando o Sentinel no modo FIPS 140 2 109 19 1 Configurando o servido do Consultor em modo FIPS 140 2 ccccciiciis 109 19 2 Configurando a pesquisa distribu da em modo FIPS 140 2 cccciciicicis 109 ndice 5
55. pesquisas quantidade de relat rio mas n o testado um usu rio IOPS para ambas ao mesmo com 80M 20M ativo far ao armazenament tempo 20k eventos carga de eventos eventos mesmo o local e em por m s 100M relat rios POr por n tempo em rede eventos por pesquisa ou pesquisa pesquisa m dia pesquisa Quantos Influencia a 1 pesquisa ou N o 1 1 relat rios quantidade de relat rio mas n o testado um usu rio IOPS para ambas ao mesmo com 1k 60k ativo armazenament tempo 20k eventos carga de eventos eventos executar o local e em por m s 100M relat rios POr 5k ao mesmo rede eventos por pesquisa ou relat rio p ginas tempo em pesquisa por m dia relat rio An lises Que Quantidade de 100 prontos para 100 0 0 Entre em porcentage dados que o Uso prontos contato m dos dados mecanismo de P para uso alguns com os de evento correla o ir 3 correla es por dados Servi os relevante processar segundo 0 chegam da NetIQ para as correla muito regras de es por tarde para correla o segundo a correla o em tempo real Atendendo aos requisitos do sistema 47 48 Configura es Quantas regras de correla o simples somente acionament o filtragem ser o Descri o Influencia o uso da CPU do mecanismo de correla o Tudo Coleta Coleta de em um po dados demo Tudo dados Tudo Sem DL As em um baseada em um ade
56. problemas se a lat ncia e ou largura de banda para o armazenamento for mais lenta do que o recomendado H duas abordagens b sicas que o Sentinel pode usar para o armazenamento compartilhado O primeiro localiza todos os componentes bin rios de aplicativo configura o e dados de evento no armazenamento compartilhado No failover o armazenamento desmontado do n prim rio e movido para o n de backup que carrega o aplicativo inteiro e a configura o do armazenamento compartilhado A segunda abordagem armazena os dados do evento no armazenamento compartilhado mas os bin rios de aplicativo e a configura o residem em cada n do cluster No failover apenas os dados de evento s o movidos para o n de backup Cada abordagem tem benef cios e desvantagens mas a segunda abordagem permite que a instala o do Sentinel use caminhos de instala o compat veis com o FHS padr o leve em considera o a verifica o do pacote RPM al m do patch a quente e reconfigura o para minimizar o tempo de espera Essa solu o o conduzir por um exemplo de processo de instala o para um cluster que usa o armazenamento compartilhado iSCSI e localiza os bin rios de aplicativo configura o em cada n do cluster 134 Guia de instala o e configura o do NetIQ Sentinel 7 1 A 1 3 A 1 4 A 2 A 3 Monitoramento do servi o Um componente principal de qualquer ambiente altamente dispon vel um modo confi vel e c
57. server fqdn gt lt package name gt Reinicie o aplicativo rcsentinel restart Guia de instala o e configura o do NetIQ Sentinel 7 1 Fazendo upgrade do Gerenciador de Coletor ou o Mecanismo de correla o Use as etapas a seguir para fazer a atualiza o do Gerenciador de coletor ou do Mecanismo de correla o 1 Fa a um backup de sua configura o e crie uma exporta o de ESM Para obter mais informa es consulte Fazendo backup e restaurando dados no Guia de administra o do NetIQ Sentinel 7 1 2 Efetue login na interface da Web do Sentinel como usu rio na fun o de administrador 3 Selecione Downloads A Clique no Download do Instalador na se o Instalador do Gerenciador do Coletor Uma janela exibida com op es para abrir ou salvar o arquivo do instalador na m quina local Grave o arquivo Copie o arquivo para um local tempor rio Extraia o conte do do arquivo o N o a Execute o script a seguir Para o Gerenciador do Coletor install cm Para o Mecanismo de Correla o install ce 9 Siga as instru es na tela para completar a instala o 10 Limpe o cache do navegador web para visualizar a ltima vers o do Sentinel Fazendo upgrade do Gerenciador de Coletor ou o Mecanismo de correla o 127 128 Guia de instala o e configura o do NetIQ Sentinel 7 1 Fazendo upgrade de plug ins do Sentinel O upgrade das instala es do Sentinel n o atualiza os plug in
58. sistema definidos no Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 com base na taxa de eventos esperada Configurando o Sentinel para alta disponibilidade 137 138 As caracter sticas de espa o em disco e E S dos n s de armazenamento devem satisfazer aos requisitos do sistema definidos no Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 com base na taxa de eventos esperada e nas pol ticas de reten o de dados para armazenamento local e ou de rede Para configurar os firewalls do sistema operacional de modo a restringir o acesso ao Sentinel e ao cluster consulte o Cap tulo 7 Portas usadas en la p gina 57 para obter detalhes de quais portas devem estar dispon veis dependendo da configura o local e das origens que enviar o dados de evento A solu o de exemplo usar a seguinte configura o Duas VMs do n do cluster SUSE Linux 11 SP2 A instala o do sistema operacional n o precisa instalar X Windows mas pode faz lo caso a configura o da GUI seja desejada Os scripts de inicializa o podem ser configurados para iniciar sem X n vel de execu o 3 o que pode ser iniciado apenas quando necess rio Os n s ter o dois NICS um para acesso externo e um para comunica es iSCSI Configure os NICs externos com os endere os IP que permitem acesso remoto por meio de SSH ou similar Para este exemplo utilizaremos 172 16 0 1 node01 n 1 e 1
59. 2 Hyperthr no total n cleos eading sem no total Hyperthr eading Armazenam Dados Unidade 5 x 300 3x 146 5 TB 8x 600 GB SAS ento local armazenados de 500 GB SAS GBSAS 15k RPM Hardware localmente em GB e 15k RPM 10K RAID 0 tamanho de cache para 7 2k RPM Hardwar RPM faixa 128k melhor e RAID RAID 0 desempenho 0 tamanho de pesquisa de faixa 128k Armazenam Inclui uma N o N o N o N o usado ento em c pia dos usado usado usado rede dados em armazenament o local Mem ria 4 GB 24 GB 16 GB 64 GB Gerenciador de coletor remoto 1 Hardware CPU N o aplic vel somente CM embutido local Dois Entre em Intel R contato Xeon R com os CPU E5 Servi os 2680 0 O da NetlQ 2 70GHz 8 n cleos CPUs 16 n cleos no total com Hyperthre ading Atendendo aos requisitos do sistema 39 Tudo Coleta Coleta de emum tudo dados Tudo dados Configura Descri o SPDR em um baseada em um sem Extra es n o visa m dio em grande agente grande produ agente distribu d o m dia a grande Armazenam 20 GB de Entre em ento espa o contato livre com os Servi os Mem ria 24 GB da NetIQ Gerenciador de coletor remoto 2 Hardware CPU N o aplic vel somente CM embutido local CPU de8 Entre em n cleos contato Intel R com os Xeon R Servi os X5570 O da NetIQ 2 93 GHz m quina virtual Armazenam 50 GB ento Mem ria 8 GB
60. 72 16 0 2 node02 n 2 Cada n deve ter disco suficiente para o sistema operacional bin rios e dados de configura o do Sentinel software do cluster espa o tempor rio e assim por diante Consulte os requisitos do sistema SUSE Linux e SLE HAE e os requisitos da aplica o Sentinel Uma VM do SUSE Linux 11 SP2 configurada com os destinos iSCSI do armazenamento compartilhado A instala o do sistema operacional n o precisa instalar X Windows mas pode faz lo caso a configura o da GUI seja desejada Os scripts de inicializa o podem ser configurados para iniciar sem X n vel de execu o 3 o que pode ser iniciado apenas quando necess rio O sistema ter dois NICS um para acesso externo e um para comunica es iSCSI Configure o NIC externo com um endere o IP que permite acesso remoto por meio do SSH ou similar Para este exemplo utilizaremos 172 16 0 3 storage03 armazenamento 03 O sistema deve ter espa o suficiente para o sistema operacional espa o tempor rio um grande volume de armazenamento compartilhado para manter os dados do Sentinel e uma quantidade de espa o pequena para uma parti o SBD Veja os requisitos do sistema SUSE Linux e os requisitos do armazenamento de dados do evento do Sentinel Para a solu o de exemplo colocaremos todos os dados local rede SBD em um nico disco mas para implementa es de produ o isso pode ser alocado para n s diferentes Nota E
61. 9000 operacion Filtrado al 16000 0 Filtrado Filtrado Filtrado 0 0 0 EPS retido 11000 Filtrado 25 Extra grande Entre em contato com os Servi os da NetIQ Armazenamento de Dados Guia de instala o e configura o do NetIQ Sentinel 7 1 Tudo Coleta Coleta de emum lutudo dados tudo dados 3 u u el di Descri o da em um baseada em um agent nao visa m dio em grande distribu d produ agente o m dia a grande At quanto Quantidade de 7 dias no passado dados os usu rio armazenados pesquisar o localmente em dados cache para regularment melhor e desempenho de pesquisa Que Influencia a 10 porcentage quantidade de m das opera es de pesquisas entrada sa da estar o por segundo acima de IOPS para dados mais armazenament antigos que o de rede local os dados acima Com que Influencia 14 dias retroatividad quanto espa o e os dados em disco precisamser necess rio retidos para reter todos os dados Caso o armazenament o em rede esteja ativado isso influencia o tamanho do armazenament o em rede necess rio Caso contr rio influencia o tamanho do armazenament o local necess rio Extra grande Entre em contato com os Servi os da NetIQ Atendendo aos requisitos do sistema 45 46 Tudo Coleta Coleta de emum de P dados Configura T demo Tudo E
62. Hardware de gerenciador de agente CPU N o aplic vel Dois Intel N o aplic vel somente Entre em somente coleta sem Xeon coleta sem agente contato agente 5140 O com os 2 33 GHz Servi os 2 da NetIQ n cleos por CPU 4 n cleos no total Armazenam 2x300 ento GB SAS 10K RPM RAID 0 tamanho de faixa 128k Mem ria 16 GB Hardware de mecanismo de correla o remoto 40 Guia de instala o e configura o do NetIQ Sentinel 7 1 Edge e Coleta de vg i a dados A demo Tudo dados Tudo SA Descri o Dna em um baseada em um REA nao visa m dio em grande di tribu d produ agente Sir Du o m dia a grande CPU N o aplic vel somente CE embutido local Armazenam ento Mem ria Extra grande Entre em contato com os Servi os da NetIQ Atendendo aos requisitos do sistema 41 Tudo Coleta Coleta de emum tudo dados Tudo dados la di Descri o Ee em um baseada em um agent x as n o visa m dio em grande distribu d produ agente o m dia a grande Coleta de dados Distribui o O n mero de CM CM CM CM CM Entre em do fontes de embutid embutid embutid embutido embutido contato gerenciador eventos e o local o local o local local local com os de coletor carga de Servi os CM eventos por Fontes Fontes Fontes Fontesde N o da NetIQ segundo de de de eventos usado colocada em e
63. IPS 140 2 no Gerenciador de Coletor remoto executando no modo FIPS 5b Distribua os Conectores que n o suportam o modo FIPS 140 2 no Gerenciador de Coletor remoto n o FIPS 56 Guia de instala o e configura o do NetIQ Sentinel 7 1 Portas usadas O Sentinel usa diferentes portas para comunica o externa com outros componentes Para a instala o da aplica o as portas s o abertas no firewall por padr o No entanto para a instala o tradicional preciso configurar o sistema operacional no qual o Sentinel est sendo instalado para abrir as portas no firewall A figura a seguir ilustra as portas usadas no Sentinel Figura 7 1 Portas usadas no Sentinel Servidor Sentinel TCP TCP 1 8 HTTPS ps 2 8 w w 4 9 Banco de Dados Banco de Dados de 3 Origem de Evento PostgreSQL configura o da Intelig ncia de Console da web S eguran a de Auditoria TCP E y 274 5 8 Origens de Evento Processos do Gerenciador de Coletor do Syslog Servidor Sentinel Mecanismo de Correla o TCP TCP Adicional 10013 1099 2000 ActiveMQ ze Le OS Na a R Ferramentas de Monitoramento JMX Sentinel Control Center Solution Designer Secci n 7 1 Portas do servidor do Sentinel en la p gina 58 Secci n 7 2 Portas do Gerenciador de Coletor en la p gina 60 Secci n 7 3 Portas do mecanismo de correla o en la p gina 61 Portas usadas 57 7 1 1 7 1 2 58 7 1
64. LUN Deixe o n mero de LUN como 0 e navegue na caixa de di logo Path Caminho debaixo de Type fileio e selecione o arquivo localdata que voc criou Se voc tiver um disco dedicado para armazenamento especifique um dispositivo de blocos como dev sdc Repita as etapas 12 e 13 e adicione LUN 1 e networkdata desta vez Deixe as outras op es como seus padr es Clique em OK e em seguida em Next Pr ximo Clique em Next Pr ximo novamente para selecionar as op es de autentica o padr o e em Finish Terminar para sair da configura o Se solicitado aceite para reiniciar o iSCSI Saia do YaST O procedimento acima exp e dois Destinos iSCSI no servidor no endere o IP 10 0 0 3 Em cada n do cluster certifique se de que seja poss vel montar o dispositivo de armazenamento dos dados locais compartilhados Voc tamb m deve formatar os dispositivos uma vez 1 2 Conecte se a um dos n s do cluster node01 e inicie o YaST Selecione Network Devices Dispositivos de Rede gt Network Settings Configura es de Rede Certifique se de que a guia Overview Vis o Geral seja selecionada 4 Selecione o NIC secund rio na lista exibida em seguida pressione Tab e avance at Editar e ocoNO 10 1 12 13 14 pressione Enter Clique no Address Endere o atribua o endere o IP est tico 10 0 0 1 Esse ser o IP interno das comunica es iSCSI Selecione Next Pr ximo e em seguida clique
65. Link Agent Manager de Dados JDBC do Sentinel lt a H y Conector de Arquivo Conector Syslog Conector do NFS ou Tipos de Origem Windows Event WMI a a de Evento de Arquivo Local Gerenciador do Coletor Remoto Sentinel 7 1 p i no modo FIPS Servidor Sentinel 7 1 cd no modo FIPS A Df q dl Conector de Conector de Conector de Arquivo Auditoria Check Point LEA Todos os Tipos de Origem de Evento de Arquivo Conector Conector SDEE SNMP Gerenciador do Coletor Remoto Sentinel 7 1 no modo n o FIPS Para manipular a coleta de dados usando Conectores que suportam e que n o suportam o modo FIPS 140 2 recomendado que voc tenha dois Gerenciadores de Coletor remotos um executando no modo FIPS 140 2 para Conectores com suporte para FIPS e outro executando no modo n o FIPS normal para Conectores que n o suportam o modo FIPS 140 2 Voc deve executar o procedimento a seguir se o seu ambiente envolver coleta de dados das origens de evento usando Conectores que suportam o FIPS 140 2 e Conectores que n o suportam o modo FIPS 140 2 ainda 1 necess rio ter um servidor do Sentinel 7 1 no modo FIPS 140 2 Nota Se o seu servidor do Sentinel instalado ou atualizado recentemente estiver no modo n o FIPS voc deve habilitar o FIPS no servidor do Sentinel Para obter mais informa es consulte Ativando o servidor do Sentinel para executar no Modo FIPS 140 2 en la p gina 107 Consid
66. NetIQ Sentinel 7 1 Guia de instala o e configura o June 2013 MA Netia Informa es legais O NetIQ Sentinel est protegido pela patente americana n 05829001 ESTE DOCUMENTO E O SOFTWARE DESCRITO NESTE DOCUMENTO S O FORNECIDOS MEDIANTE E EST O SUJEITOS AOS TERMOS DE UM CONTRATO DE LICEN A OU DE UM CONTRATO DE N O DIVULGA O EXCETO CONFORME EXPRESSAMENTE ESTABELECIDO NESTE CONTRATO DE LICEN A OU CONTRATO DE N O DIVULGA O A NETIQ CORPORATION FORNECE ESTE DOCUMENTO E O SOFTWARE DESCRITO NESTE DOCUMENTO NA FORMA EM QUE SE ENCONTRAM SEM GARANTIAS DE QUALQUER TIPO EXPRESSAS OU IMPL CITAS INCLUINDO SEM LIMITA O AS GARANTIAS IMPL CITAS DE COMERCIALIZA O OU ADEQUA O A UM FIM ESPEC FICO ALGUNS ESTADOS N O PERMITEM ISEN O DE GARANTIAS EXPRESSAS OU IMPL CITAS EM DETERMINADAS TRANSA ES ASSIM ESTA DECLARA O PODE N O SE APLICAR A VOC Para fins de clareza qualquer m dulo adaptador ou outro material semelhante M dulo est licenciado sob os termos e condi es do Contrato de Licen a do Usu rio Final para a vers o aplic vel do produto ou software NetIQ ao qual esteja inter relacionado e ao acessar copiar ou usar um M dulo voc aceita cumprir esses termos Se voc n o aceitar os termos do Contrato de Licen a do Usu rio Final n o estar autorizado a usar acessar ou copiar um M dulo e dever destruir todas as c pias do M dulo bem como entrar com contato com a NetIQ para obter mai
67. O RPM pode ser encontrado no novell Sentinel ha 7 1 rpm armazenado no download normal do Sentinel que voc descompacta para instalar o produto Em cada n do cluster copie o novell Sentinel ha 7 1 rpm para o diret rio tmp em seguida cd tmp rpm i novell Sentinel ha 7 1 rpm Configura o do Cluster Voc deve configurar o software do cluster para registrar cada n do cluster como um membro do cluster Como parte dessa configura o tamb m poss vel configurar o fencing e recursos STONITH para assegurar a consist ncia do cluster Na nossa solu o de exemplo basicamente usamos a configura o mais simples sem redund ncia adicional ou outros recursos avan ados Tamb m usamos um endere o unicast em vez do endere o multicast preferido porque ele requer menos intera o com os administradores de rede e suficiente para fins de teste Configuramos tamb m um recurso fencing simples baseado em SBD Solu o de exemplo Configurando o Sentinel para alta disponibilidade 143 144 A solu o de exemplo usar endere os IP privados para comunica es internas do cluster e usar unicast para minimizar a necessidade de solicitar um endere o multicast de um administrador de rede A solu o tamb m usar um Destino iSCSI configurado na mesma VM SUSE Linux que hospeda o armazenamento compartilhado para servir como um dispositivo SBD para os fins de fencing Como antes os dispositivos iSCSI podem ser criados usa
68. O mod cai a er id GA SE dA A O A La GADO A A O Lo De 24 2 6 Intelig ncia de seguran a iciciiiiciiiss cara 24 2 7 Corre o de incidente ccccln arara aaa 24 2 8 Fluxos de trabalho doiTrac icciciiicci aa 25 2 9 A eseintegradores iciiiiiccissiisiisr aeee aerea eae 25 2 10 Relat rios css nen TA RE E REDE EAD E RO RR NEED E O E 25 2 11 An lisedeeventos casaca een iene rs Dao a a TA E E e O e 26 2 12 Armazenamento e roteamento de dados no Sentinel ccciccccicisiss 26 Parte Il Planejando a instala o do Sentinel 29 3 Lista de verifica o da implementa o 31 4 Compreendendo as informa es da licen a 33 4 1 Licen a de avalia o i emas eei ain n E NE Rd a OL Calend a A O 33 4 2 Licen ascorpora tivaS era rosea aliar De a ggi aa oa e UE USD iE a E aa 33 5 Atendendo aos requisitos do sistema 35 5 1 Sistemas operacionais e plataformas suportados sssaaa saanane 35 5 2 Plataformas de banco de dados suportadas s suasana aeaaeae 36 5 3 Browsers suportados usea ni iere heskai adti aa pi i pE eg A RT OS p 36 5 3 1 Pr requisitos para o Internet Explorer n nnana naana 37 5 4 Informa es de dimensionamento do sistema ssssaa saaan nanea 37 5 5 Planejamento de parti es para armazenamento de dados snaa anaana 49 5 5 1 Use parti es nas instala es tradicionais cccciiccciici cs 50 ndice 4 5 5 2 Use parti es em uma ins
69. a o en la p gina 89 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais O procedimento para instalar um Gerenciador de coletor ou um Mecanismo de correla o o mesmo exceto que voc precisa fazer download do arquivo apropriado no site de download da Novell 1 2 Conclua Paso 1 aPaso 14 em Secci n 12 2 1 Instalando o Sentinel en la p gina 84 Na tela Network Configuration II Configura o de Rede IN selecione Change Alterar e especifique o endere o IP da m quina virtual em que voc deseja instalar o Gerenciador de Coletor ou Mecanismo de Correla o adicional 3 Especifique a m scara de sub rede do IP especificado 4 Selecione Avan ar As configura es de conex o da rede ser o gravadas 5 Defina a data e o hor rio e selecione Avan ar Para mudar a configura o NTP ap s a instala o use YaST na linha de comando da aplica o O WebYast pode ser usado para mudar a data e o hor rio mas n o a configura o NTP Se o hor rio estiver fora de sincronia imediatamente ap s a instala o execute o seguinte comando para reiniciar o NTP rentp restart 6 Defina a senha root do SUSE Enterprise Server e em seguida selecione Avan ar 10 11 Especifique o nome de host endere o IP do servidor do Sentinel ao qual o Gerenciador de Coletor ou Mecanismo de Correla o deve se conectar Especifique o n mero da porta do servidor de comunica o A porta padr
70. a obter informa es sobre como obter as credenciais contate Suporte da Novell Certifique se de que o SLES 11 SP2 esteja instalado com os seguintes pacotes na m quina onde voc deseja instalar a SMT htmldoc perl DBIx Transaction perl File Basename Object perl DBIx Migration Director perl MIME Lite perl Text ASCITable yum metadata parser createrepo perl DBI apache2 prefork libaprl perl Data Show Table perl Net Daemon perl Tie IxHash fltk libapr util1 perl PIRPC apache2 mod_perl apache2 utils apache2 perl DBD mysql Instale a SMT e configure o servidor da SMT Para obter mais informa es consulte as seguintes se es na Documenta o da SMT Instala o da SMT Instala o da aplica o 91 92 12 5 Configura o do servidor da SMT Espelhamento de instala o e atualiza o de reposit rios com a SMT Instale o utilit rio wget no computador da aplica o Configurando a aplica o Para obter informa es sobre a configura o da aplica o com a SMT veja a documenta o SMT Subscription Management Tool para SUSE Linux Enterprise 11 Para habilitar os reposit rios de aplica o execute o seguinte comando smt repos e Sentinel Server 7 0 Updates sle 11 x86 64 smt repos e Sentinel Collector Manager 7 0 Updates sle 11 x86 64 smt repos e Sentinel Correlation Engine 7 0 Updates sle 11 x86 64 Atualizando a aplica o Para obter i
71. a ocorridos Na pr tica os meios automatizados de detec o e recupera o de eventos de tempo de espera tornam se rapidamente necess rios medida que n veis mais altos de disponibilidade devem ser obtidos Secci n A 1 1 Sistemas externos en la p gina 134 Secci n A 1 2 Armazenamento compartilhado en la p gina 134 Secci n 4 1 3 Monitoramento do servi o en la p gina 135 Secci n A 1 4 Fencing en la p gina 135 Configurando o Sentinel para alta disponibilidade 133 A 1 1 A 1 2 Sistemas externos O Sentinel um aplicativo multicamadas complexo que depende de e fornece uma ampla variedade de servi os Adicionalmente ele se integra com v rios sistemas de terceiros externos para cole o de dados compartilhamento de dados e remedia o de incidente A maioria das solu es de alta disponibilidade permite que os implementadores declarem as depend ncias entre os servi os que devem estar altamente dispon veis e os servi os dependentes mas isso se aplica apenas a servi os em execu o no pr prio cluster Sistemas externos ao Sentinel por exemplo fontes de evento devem ser configurados separadamente para estarem t o dispon veis quanto a organiza o necessita e tamb m devem ser configurados adequadamente para manipular situa es quando o Sentinel estiver indispon vel por algum per odo de tempo como um evento de failover Se os direitos de acesso estiverem firmemente res
72. a p gina em branco ser exibida ap s o login no Sentinel e a janela pop up de download do arquivo poder ser bloqueada pelo browser Para resolver esse problema necess rio primeiro definir o n vel de seguran a para M dio alto e em seguida alterar para N vel personalizado da seguinte forma 1 Navegue at Ferramentas gt Op es da Internet gt guia Seguran a e defina o n vel de seguran a como M dio alto 2 Certifique se de que a op o Ferramentas gt Modo de Exibi o de Compatibilidade n o est selecionada 3 Navegue at Ferramentas gt Op es da Internet gt guia Seguran a gt N vel personalizado e em seguida mova a barra de rolagem para baixo at a se o Downloads e selecione Habilitar na op o Aviso autom tico para downloads de arquivo Informa es de dimensionamento do sistema Uma implanta o do Sentinel pode variar de acordo com as necessidades do seu ambiente assim recomenda se que voc consulte os Servi os de consultoria NetIQ ou qualquer um dos parceiros do NetIQ Sentinel antes de finalizar a arquitetura do Sentinel Esta se o fornece informa es de dimensionamento baseadas no teste realizado na NetIQ com o hardware dispon vel quando o teste foi realizado E prov vel que existam configura es de hardware maiores e mais fortes capazes de lidar com cargas maiores Configura es tudo em um colocam toda a carga de processamento no servidor do Sentinel em vez de distrib
73. ad do instalador mais recente no site de download da Novell 3 Efetue login como root no servidor em que voc deseja fazer upgrade do Sentinel 4 Especifique o seguinte comando para extrair os arquivos de instala o do arquivo tar tar xfz lt install filename gt Substitua lt nome arquivo instala o gt pelo nome real do arquivo de instala o 5 Altere para o diret rio de onde o arquivo install foi extra do 6 Especifique o seguinte comando para fazer upgrade do Sentinel install sentinel 7 Para prosseguir com o idioma de sua escolha selecione o n mero ao lado de cada idioma O contrato de licen a de usu rio final ser exibido no idioma selecionado 8 Leia a licen a do usu rio final e digite sim ou s para aceitar a licen a e continuar com a instala o 9 Oscript de instala o detecta que uma vers o mais antiga do produto j existe e solicita que voc especifique se deseja fazer upgrade do produto Para continuar com o upgrade pressione s A instala o de todos os pacotes RPM ser iniciada A instala o pode levar alguns segundos para ser conclu da 10 Limpe o cache do navegador web para visualizar a ltima vers o do Sentinel 11 Condicional Para atualizar sistemas de Gerenciador de coletor e Mecanismo de correla o consulte Cap tulo 22 Fazendo upgrade do Gerenciador de Coletor ou o Mecanismo de correla o en la p gina 127 Fazendo upgrade do servidor Sentinel 123 124 Guia de inst
74. ala o e configura o do NetIQ Sentinel 7 1 21 1 Fazendo upgrade da aplica o Sentinel Os procedimentos neste cap tulo fornecem orienta es sobre como fazer a atualiza o da aplica o Sentinel e das aplica es Gerenciador de Coletor e Mecanismo de Correla o Secci n 21 1 Fazendo upgrade do Sentinel 7 0 2 e aplica es posteriores en la p gina 125 Secci n 21 2 Fazendo upgrade das aplica es Sentinel 7 0 e 7 0 1 en la p gina 126 Secci n 21 3 Atualizando o aplicativo usando SMT en la p gina 126 Fazendo upgrade do Sentinel 7 0 2 e aplica es posteriores 1 Efetue login na aplica o Sentinel como usu rio na fun o de administrador 2 Se voc quiser fazer upgrade da Aplica o Sentinel clique em Aplica o para iniciar a WebYasST 3 Se voc quiser fazer upgrade de uma Aplica o Gerenciador de Coletor ou Mecanismo de Correla o especifique o URL do computador Gerenciador de Coletor ou Mecanismo de Correla o usando a porta 54984 para iniciar a WebYaST 4 Fa a um backup de sua configura o e crie uma exporta o de ESM Para obter mais informa es sobre o backup de dados consulte Fazendo backup e restaurando dados no Guia de administra o do NetIQ Sentinel 7 1 5 Condicional Se voc ainda n o tiver registrado o aplicativo para atualiza es autom ticas registre o Para obter mais informa es consulte Secci n 12 4 3 Registrando para rec
75. ar e extrair os dados coletados Por padr o o Sentinel recebe dois fluxos de dados diferentes por m relacionados dos Gerenciadores de coletor os dados de eventos e os dados n o processados Os dados n o processados s o imediatamente armazenados em parti es protegidas para providenciar uma cadeia de evid ncia segura Os dados de eventos analisados s o roteados de acordo com regras que voc define e podem ser filtrados enviados para armazenamento enviados para an lises em tempo real e roteados para sistemas externos Todos os dados de eventos enviados para o armazenamento s o ent o vinculados a pol ticas de reten o definidas pelo usu rio que determinam as parti es em que os dados s o colocados e tamb m definem a pol tica de remo o segundo a qual os dados do evento s o retidos e eventualmente exclu dos O armazenamento de dados do Sentinel baseia se em uma estrutura em tr s n veis Armazenamento online Armazenamento local ou prim rio Otimizado para grava o e recupera o r pida Os dados de evento coletados mais recentemente e os mais frequentemente pesquisados s o armazenados aqui 26 Guia de instala o e configura o do NetIQ Sentinel 7 1 Armazenamento em rede ou secund rio Otimizado para reduzir o uso do espa o ainda assim permitindo recupera o r pida O Sentinel automaticamente migra as parti es de dados para o armazenamento secund rio Nota O uso de um armazenamento secu
76. ar no modo FIPS 140 2 1 Adicione ou edite o Servidor de Origem de Evento do Syslog Avance pelas telas de configura o at que a janela Networking Rede seja exibida Para obter mais informa es consulte o Guia do Syslog Connector 2 Clique em Configura es 3 Selecione uma das op es no campo Client Authentication Type Tipo de autentica o do cliente O tipo de autentica o do cliente determina com que rigidez o Servidor de Origem de Evento do Syslog SSL verifica a identidade das Fontes de Evento do Syslog que est o tentando enviar Abrir Permite todas as conex es SSL provenientes dos clientes fontes de evento N o executa nenhuma valida o ou autentica o de certificado de cliente R gida Valida o certificado como um certificado X 509 v lido e tamb m verifica se o certificado do cliente de confian a para o Servidor de Origem de Evento Novas fontes ter o que ser explicitamente adicionadas ao Sentinel isso previne que fontes fraudulentas enviem dados para o Sentinel Para a op o R gida voc deve importar o certificado cliente syslog para a keystore FIPS do Sentinel 114 Guia de instala o e configura o do NetIQ Sentinel 7 1 Quando o Sentinel est executando no modo FIPS 140 2 n o poss vel importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos ESM Para obter mais informa es sobre como importar o certificado veja Importando certificados p
77. ara o banco de dados de keystore do FIPS en la p gina 118 Nota No modo FIPS 140 2 o Servidor de Origem de Evento do Syslog usa o par de chaves do servidor Sentinel N o necess rio importar o par de chaves do servidor 4 Se a autentica o de servidor estiver ativa no cliente syslog o cliente precisa confiar no certificado do servidor do Sentinel ou no certificado do Gerenciador de coletor remoto dependendo do local em que o Conector implantado O arquivo do certificado do servidor do Sentinel encontra se em etc opt novell sentinel config sentinel cer O arquivo do certificado do Gerenciador de coletor remoto encontra se em etc opt novell sentinel config rcm cer Nota Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certifica o CA o cliente dever confiar no arquivo de certificado apropriado 19 5 5 Windows Event WMI Connector Para configurar o Windows Event WMI Connector para executar no modo FIPS 140 2 1 Adicione ou edite o Windows Event Connector Avance pelas telas de configura o at que a janela Seguran a seja exibida Para obter mais informa es consulte o Guia do Windows Event WMD Connector 2 Clique em Configura es 3 Selecione uma das op es no campo Client Authentication Type Tipo de autentica o do cliente O tipo de autentica o do cliente determina com que rigidez o Windows Event Connector verifica a identidade dos se
78. aremos um Destino iSCSI para esta solu o de exemplo o destino ser montado como um diret rio a ser usado como armazenamento de rede Assim precisamos configurar a montagem como um recurso Filesystem sistema de arquivos considerando o modo como o sistema de arquivo Configurando o Sentinel para alta disponibilidade 147 A 5 A 5 1 do armazenamento local est configurado Esse n o foi automaticamente configurado como parte do script de instala o de recurso visto que h outras varia es poss veis faremos a configura o manualmente aqui 1 Examine as etapas acima para determinar que parti o foi criada para ser usada como armazenamento de rede dev lt REDE1 gt ou algo como dev sdc1 Se necess rio crie um diret rio vazio em que a parti o possa ser montada por exemplo var opt netdata 2 Configure o sistema de arquivos de rede como um recurso de cluster use a GUI da web ou execute o comando crm configure primitive sentinelnetfs ocf heartbeat Filesystem params device dev lt NETWORKI gt directory lt PATH gt fstype ext3 op monitor interval 60s em que dev lt REDE1 gt a parti o que foi criada na se o Configura o do armazenamento compartilhado acima e lt CAMINHO gt qualquer diret rio local em que ele possa ser montado 3 Adicione o novo recurso ao grupo de recursos gerenciados crm resource stop sentinelgrp crm configure delete sentinelgrp crm configure group sentinelg
79. as Dire o opcional Descri o TCP 443 Externo Obrigat rio Inicia uma conex o ao reposit rio de atualiza o do software da aplica o NetIQ na Internet ou um servi o SMT Subscription Management Tool na rede TCP 80 Externo Opcional Inicia uma conex o SMT 62 Guia de instala o e configura o do NetIQ Sentinel 7 1 8 1 Op es de instala o Voc pode executar uma instala o tradicional do Sentinel ou instalar a aplica o Este cap tulo fornece informa es sobre as duas op es de instala o Instala o tradicional A instala o tradicional instala o Sentinel em um sistema operacional SUSE Linux Enterprise Server SLES 11 ou Red Hat Enterprise Linux RHEL 6 existente usando o instalador do aplicativo Voc pode instalar o Sentinel das seguintes maneiras Interativo A instala o prossegue com entradas do usu rio Durante a instala o voc pode registrar as op es de instala o entradas do usu rio ou valores padr o para um arquivo que pode ser usado posteriormente em uma instala o silenciosa poss vel realizar tanto uma instala o padr o quanto uma instala o personalizada Instala o padr o Usa os valores padr o para a configura o A entrada do usu rio s obrigat ria para a senha Instala com uma chave de avalia o padr o de 90 dias Permite que voc especifique a senha do administrador e use a como senha padr o tanto para dbuser quanto para
80. biente de TI Figura 1 1 O que acontece no seu ambiente w E Infraestrutura v de Dados de Rede Roteadores Oracle Switches SQLServer Concentradores VPN DB2 a de Seguran a Aplicativos Firewalls z SAP IDSs O Que Est Acontecendo Oradi IPSs Home Grow AN Esta es de Trabalho UERR e Servidores ainra mes Windows RACF Unix ACF2 Netware Altamente Secreto O que o Sentinel 15 16 Os desafios surgem porque H muitos dispositivos no seu ambiente de TI Os registros est o em formatos diferentes Os registros est o armazenados em silos quantidade de informa es geradas nos registros e N o poss vel identificar quem fez o que sem analisar manualmente todos os registros Para tornar as informa es teis voc deve ser capaz de Coletar dados Consolidar dados Normalizar dados distintos em eventos que possam ser facilmente comparados Mapear eventos para normas padr o Analisar os dados Comparar eventos em diversos sistemas para determinar se h algum problema de seguran a Enviar notifica es no caso de dados que n o atendam s normas Impor a es sobre as notifica es para cumprir com as pol ticas da empresa e Gerar relat rios para comprovar a conformidade Ap s identificar os desafios relacionados seguran a do ambiente de TI ser necess rio determinar como proteger a empresa para os usu rios e do
81. ciador de Coletor incluem o que segue Transformar eventos Adicionar relev ncia empresarial aos eventos por meio do servi o de mapeamento Realizar filtragem global do eventos Rotear eventos Determinar dados em tempo real de vulnerabilidade de bens e n o tempo real e Enviar mensagens de sa de ao servidor Sentinel Coletores Os Coletores normalizam e coletam informa es dos Conectores Os coletores s o gravados em Javascript e definem a l gica do que segue Receber dados iniciais dos Conectores Analisar e normalizar os dados Aplicar l gica repetida aos dados Traduzir dados espec ficos do dispositivo em dados espec ficos do Sentinel Formatar os eventos Passar os dados normalizados analisados e formatados para o Gerenciador de Coletor Filtragem de eventos espec fica de dispositivo Conectores Os Conectores fornecem a conex o entre as fontes de eventos e o sistema Sentinel Os conectores usam protocolos padr o de mercado para obter eventos como syslog JBDC para ler das tabelas de bancos de dados WMI para ler dos registros de eventos do Windows e assim por diante Os conectores fornecem Transporte dos dados de eventos iniciais das fontes de eventos para o Coletor Filtro espec fico para conex o e Gerenciamento de erros da conex o Gerenciador de agente O Gerenciador de agente possibilita a coleta de dados baseada em host que complementa as coletas de
82. cluster adicional node02 e abra um console 1 Execute o seguinte comando sleha join 2 Insira o endere o IP do primeiro n do cluster Em algumas circunst ncias as comunica es do cluster n o inicializam corretamente Se o cluster n o iniciar o servi o openais falhar ao iniciar Copie manualmente corosync conf de nodel para node02 ou execute csync2 x vnon l ou configure manualmente o cluster para node02 via YaST Execute etc rc d openais start no node02 Em alguns casos o script pode falhar porque o servi o xinetd n o adiciona adequadamente o novo servi o csync2 Esse servi o necess rio para que o outro n possa sincronizar os arquivos de configura o do cluster em rela o a esse n Se voc vir erros comocsync2 run failed execu o de csync2 com falha talvez haja um problema Para corrigir isso execute kill HUP cat var run xinetd init pide execute novamente o script sleha join Configurando o Sentinel para alta disponibilidade 145 A 4 6 A esta altura voc deve ser capaz de executar crm mon em cada n e ver se o cluster est executando adequadamente Como alternativa voc pode usar hawk o console da web as credenciais de login padr o s o hacluster linux H dois par metros adicionais que precisamos ajustar para este exemplo Se eles se aplicar o a um cluster de produ o do cliente isso depender da sua configura o 1 Configure a op o global do cluster
83. correla o no n vel do dispositivo entre eventos em tempo real de detec es de intrus o e sistemas de preven o e resultados de explora o de vulnerabilidades da empresa Para obter mais informa es sobre o Consultor consulte Configurando o Consultor no Guia de administra o do NetIQ Sentinel 7 1 Plug Ins do Sentinel O Sentinel suporta v rios plug ins o que permite expandir e aprimorar a funcionalidade do sistema Alguns desses plug ins est o pr instalados Voc pode fazer o download dos plug ins e atualiza es adicionais do Site na Web Plug ins do Sentinel Os plug ins do Sentinel incluem os que seguem Coletores Conectores A es e regras de correla o Relat rios Fluxos de trabalho do iTRAC Pacotes de solu es O Sentinel tem uma arquitetura altamente escal vel e se altas taxas de eventos forem esperadas voc poder distribuir componentes por v rias m quinas para obter o melhor desempenho do sistema A expans o independente de componentes proporciona escalabilidade e desempenho com excelente rela o custo benef cio Vis o geral da instala o 67 68 9 1 9 2 Vantagens de Gerenciadores de Coletor adicionais Voc pode instalar os Gerenciadores de Coletor adicionais nos locais adequados na rede Esses Gerenciadores de Coletor remotos executam Conectores e Coletores e encaminham os dados coletados ao servidor do Sentinel para armazenamento e processamento Para obter in
84. ctor ORIGENS DE EVENTO a Q aa pr Tim 3 D DE E q VPN amp Ri x3 w Firewall Ger de ATIVO Ger de Patch PE e Diret rio SE o A Windows Linux ERP Eancoida Corporativo A Q 25 D 1 i 1 i 1 i 1 i 1 O i Windows l vo 1 i 1 i 1 i 1 i 1 i aay IDS do Host ER B gt g iSeries Eo 4 u T O Ra RAIOS O Aplicativo Aplicativo Gerenciamento Gerenciamento UNIX Ger de _ Ger de UNIX Mainframe Financeiro Personalizado deAcesso de Identidade 1 IDS da Rede Configura o Vulnerabilidade i AGENTES SENTINEL PER METRO DE SEGURAN A ORIGENS DE TI REFERENCIAIS SISTEMAS OPERACIONAIS EVENTOS DE APLICATIVO CONTROLE DE ACESSO DO USU RIO As se es a seguir descrevem os componentes do Sentinel em detalhes Secci n 2 1 Fontes de eventos en la p gina 21 Secci n 2 2 Evento do Sentinel en la p gina 21 Secci n 2 3 Gerenciador de Coletor en la p gina 23 Secci n 2 4 Gerenciador de agente en la p gina 23 Secci n 2 5 Correla o en la p gina 24 Secci n 2 6 Intelig ncia de seguran a en la p gina 24 Secci n 2 7 Corre o de incidente en la p gina 24 Secci n 2 8 Fluxos de trabalho do iTrac en la p gina 25 Guia de instala o e configura o do NetIQ Sentinel 7 1 2 1 2 2 Secci n 2 9 A es e integradores en la p gina 25 Secci n 2 10 Relat rios en la p gina 25 Secci
85. dados Tudo E Sem gas escri o DL As em um baseada em um agente n o visa m dio em grande distribu d produ agente o m dia a grande Um Influencia se N o dispositivo todos os dados de ser o armazenam armazenados ento em localmente ou rede estar se dispon vel e armazenament conectado o em rede est dispon vel para armazenament o online de longo prazo e baixo custo Dados em armazenament o em rede permanecem online Quantos Influencia o 5 pronto para uso 4 pronto para uso relat rios n mero de exceto o RDD de ser o pol ticas de resumo de fonte que otimizados sincroniza o fica para tr s usando de dados o resumos e que por sua vez outras influencia o pol ticas de tamanho e o sincroniza IOPS do o de dados armazenament o local Extra grande Entre em contato com os Servi os da NetIQ Atividades do usu rio Guia de instala o e configura o do NetIQ Sentinel 7 1 Tudo qe Coleta de emum tudo dados Tudo dados Configura Descri o SPDR em um baseada em um zem Extra es n o visa m dio em grande agente grande distribu d produ agente o m dia a grande Quantos Influencia a 1 Entre em usu rios quantidade de contato estar o IOPS para com os ativos ao armazenament Servi os mesmo o loca e em da NetIQ tempo em rede assim m dia como outros itens Quantas Influencia a 1 pesquisa ou N o 1 1
86. de Correla o remotos se desejar usar as comunica es aprovadas do FIPS com o servidor do Sentinel executando no modo FIPS 140 2 Para ativar um Gerenciador de Coletor e Mecanismo de Correla o remotos para executar no modo FIPS 140 2 1 Efetue login no sistema do Gerenciador de Coletor ou Mecanismo de Correla o remotos 2 Alterne para o usu rio novell su novell 3 Navegue para o diret rio bin O local padr o opt novell sentinel bin Ativando o modo FIPS 140 2 em uma instala o existente do Sentinel 107 4 Execute o script convert to fips she siga as instru es na tela 5 Conclua a configura o do modo FIPS 140 2 seguindo as tarefas mencionadas no Cap tulo 19 Operando o Sentinel no modo FIPS 140 2 en la p gina 109 108 Guia de instala o e configura o do NetIQ Sentinel 7 1 19 1 19 2 Operando o Sentinel no modo FIPS 140 2 Este cap tulo fornece informa es sobre a configura o e opera o do Sentinel no modo FIPS 140 2 Secci n 19 1 Configurando o servido do Consultor em modo FIPS 140 2 en la p gina 109 Secci n 19 2 Configurando a pesquisa distribu da em modo FIPS 140 2 en la p gina 109 Secci n 19 3 Configurando a autentica o LDAP em modo FIPS 140 2 en la p gina 111 Secci n 19 4 Atualizando certificados do servidor nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 111 Secci n 19 5 Configurando os
87. de loopback esteja selecionada Selecione Avan ar As configura es do nome de host s o gravadas Siga um destes procedimentos Para usar as configura es de conex o da rede atuais selecione Usar a seguinte configura o na tela Configura o de Rede II Para mudar as configura es de conex o de rede selecione Mudar e fa a as mudan as desejadas Selecione Avan ar As configura es de conex o da rede ser o gravadas Defina a data e o hor rio clique em Avan ar e em Concluir Para mudar a configura o NTP ap s a instala o use YaST na linha de comando da aplica o O WebYast pode ser usado para mudar a data e o hor rio mas n o a configura o NTP Instala o da aplica o 85 12 2 2 18 19 20 Se o hor rio estiver fora de sincronia imediatamente ap s a instala o execute o seguinte comando para reiniciar o NTP rentp restart Defina a senha root do SUSE Enterprise Server e clique em Avan ar Configure a senha do administrador do Sentinel e em seguida clique em Avan ar A instala o do Sentinel prossegue e conclui Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Anote o endere o IP da aplica o exibido no console Avance para a Secci n 12 4 Configura o p s instala o para a aplic
88. descrito na Secci n 12 4 3 Registrando para receber atualiza es en la p gina 90 4 Clique em Avan ar para concluir a configura o inicial Instala o da aplica o 89 12 4 2 12 4 3 Criando parti es E poss vel adicionar parti es aplica o e mover um diret rio para a nova parti o usando a ferramenta YaST Use o procedimento a seguir para criar uma nova parti o e mover os arquivos de dados de seu diret rio para a parti o rec m criada 1 2 Efetue login no Sentinel como root Execute o seguinte comando para parar o Sentinel na aplica o etc init d sentinel stop Especifique o seguinte comando para mudar para o usu rio novell su novell 4 Mova o conte do do diret rio em var opt novell sentinel para um local tempor rio 5 Mude para o usu rio root 6 Insira o seguinte comando para acessar o YaST2 Control Center yast 7 Selecione Sistema gt Particionador 8 Leia o aviso e selecione Sim para adicionar a nova parti o n o utilizada 9 Monte a nova parti o em var opt novell sentinel 11 12 Especifique o seguinte comando para mudar para o usu rio nove11 su novell Mova o conte do do diret rio de dados do local tempor rio onde foi salvo em Paso 4 de volta para var opt novell sentinel na nova parti o Execute o seguinte comando para reiniciar a aplica o do Sentinel etc init d sentinel start Registrando para receber atualiza e
89. dev disk by id e anote o ID do dispositivo que est vinculado ao nome do dispositivo localizado acima 10 Execute o comando sleha init 11 Quando solicitado sobre a qual endere o de rede vincular especifique o IP externo do NIC 172 16 0 1 12 Aceite o endere o e a porta padr o do multicast N s os anularemos mais tarde Mott 13 Digite y s para ativar o SBD em seguida especifique dev disk by id lt id do dispositivo gt onde lt id do dispositivo gt o ID que voc localizou acima poss vel usar Tab para preencher automaticamente o caminho 14 Conclua o assistente e certifique se de que nenhum erro seja informado 15 Inicie o YaST 16 Selecione High Availability Alta Disponibilidade gt Cluster ou apenas Cluster em alguns sistemas 17 Na caixa esquerda certifique se de que Communication Channels Canais de Comunica o esteja selecionado 18 Pressione Tab at a linha superior da configura o e mude a sele o udp para udpu isso desativa o multicast e seleciona o unicast 19 Selecione Add a Member Address Adicionar um Endere o de Membro e especifique esse n 172 16 0 1 em seguida repita e adicione o s outro s n s do cluster 172 16 0 2 20 Selecione Finish Terminar para completar a configura o 21 Saia do YaST 22 Execute o comando de reinicia o etc rc d openais para reiniciar os servi os do cluster com o novo protocolo de sincroniza o Conecte se a cada n de
90. dicionar bancos de dados Para ambientes com grandes n meros de regras de correla o ou taxas de evento extremamente altas pode ser vantajoso instalar mais de um Mecanismo de correla o e reimplementar algumas regras no novo Mecanismo de correla o V rios Mecanismos de Correla o fornecem a capacidade de escalar medida que o sistema Sentinel incorpora origens de dados adicionais ou medida que as taxas de evento aumentam Para obter informa es sobre como instalar Mecanismos de Correla o adicionais veja Secci n 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 Nota N o poss vel instalar mais do que um Mecanismo de Correla o em um nico sistema Voc pode instalar Mecanismos de Correla o adicionais nos sistemas remotos e conect los ao servidor do Sentinel Guia de instala o e configura o do NetIQ Sentinel 7 1 0 Lista de verifica o de instala o Certifique se de ter conclu do as seguintes tarefas antes de iniciar a instala o O Verifique se o hardware e o software atendem aos requisitos de sistema listados em Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 O Se houver uma instala o anterior do Sentinel certifique se de que n o haja arquivos ou configura es de sistema restantes dessa instala o anterior Para obter mais informa es consulte Ap ndice C Desinstalando en la p gina 153
91. disco ISO bare metal e Hyper V exige mem ria de no m nimo 4 5 GB para a conclus o da instala o Secci n 12 3 1 Instalando o Sentinel en la p gina 87 Secci n 12 3 2 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 88 Instalando o Sentinel Use as etapas a seguir para instalar a aplica o Sentinel no hardware 1 Inicialize a m quina f sica a partir da unidade de DVD contendo o disco 2 Use as instru es na tela do assistente de instala o 3 Execute a imagem da aplica o no DVD Ativo selecionando a primeira entrada no menu de O NOOA A 11 inicializa o A instala o primeiro verifica a mem ria e o espa o em disco dispon veis Se a mem ria dispon vel for menor do que 2 5 GB a instala o ser automaticamente encerrada Se a mem ria dispon vel for maior do que 2 5 GB mas menor do que 6 7 GB a instala o exibir uma mensagem informando que voc tem menos mem ria do que o recomendado Digite y se quiser continuar com a instala o ou digite n se n o quiser prosseguir Selecione o idioma desejado e clique em Avan ar Selecione o layout do teclado e clique em Avan ar Leia e aceite o Contrato de Licen a do Software SUSE Enterprise Server Leia e aceite o Contrato de Licen a do Usu rio Final do NetIQ Sentinel Selecione Avan ar Na tela Nome de Host e Nome de Dom nio especifique o nome de host e o nome de dom ni
92. do gerencia dor de agente Fontes 5000 EPS 2500 Tudo em um grande Cada um dos seguintes coletores tem seu pr prio servidor syslog analisand o nas seguintes taxas de EPS Oracle Solaris 6 1r3 EPS 2000 Sourcefir e Snort 2011 1r1 EPS 1500 NetIQ Universal Event 2011 1r1 EPS 2000 Juniper Netscree n Series 2011 1r1 EPS 1500 IBM AIX 6 1r3 2000 EPS 2000 Coleta de dados sem agente distribu d a grande Cada um dos seguintes coletores tem seu pr prio servidor syslog analisand o nas seguintes taxas de EPS Oracle Solaris 6 1r3 RCOM 1 2000 RCM 2 2000 Sourcefir e Snort 2011 1r1 RCM 1 2000 RCM 2 1000 NetIQ Universal Event 2011 1r1 RCM 1 2000 RCM 2 0 Juniper Netscree n Series 2011 1r1 RCM 1 2000 RCM 2 1500 Extra grande Entre em contato com os Servi os da NetIQ Atendendo aos requisitos do sistema 43 44 Tudo Coleta Coleta de em um Tud a Tud dados E demo udo ados Udo la di Descri o mea em um baseada em um RE nao visa m dio em grande EU produ agente adrand o m dia 9 IBM AIX 6 113 RCM 1 1500 RCM 2 0 IBM iSeries 2011 1r3 RCM amp 1 0 RCM 2 2000 Total Fonte de Fonte de Fonte de Fonte de Fontes de evento evento evento evento eventos 101 2500 5000 500 130 EPS 100 EPS EPS EPS EPS f 2500 2500
93. do upgrade do servidor Sentinel 123 21 Fazendo upgrade da aplica o Sentinel 125 21 1 Fazendo upgrade do Sentinel 7 0 2 e aplica es posteriores unuas aaan n arrana 125 21 2 Fazendo upgrade das aplica es Sentinel 7 0 e 7 0 1 cciciiiiciciss a 126 21 3 Atualizando o aplicativo usando SMT cciciciciic anana 126 22 Fazendo upgrade do Gerenciador de Coletor ou o Mecanismo de correla o 127 23 Fazendo upgrade de plug ins do Sentinel 129 Parte VI Ap ndices 131 A Configurando o Sentinel para alta disponibilidade 133 AT JCONCENOS sat A ia Cn A Ste EE dE e E be pa SEA E E Do dn 133 A 1 1 Sistemas extens ane ea ara A DER pe UR r E DE Sa SP 134 A 1 2 Armazenamento compartilhado aaea sasaaa eaaa 134 A 1 3 Monitoramento do servi o sssassasa nananana 135 AA Fencing sierra nnr a a EA e E E TE ESA DAR a EE E TE E EE E a da 135 Az r Suportabilidade senn aa E dra a a ANA q AAE UR a A S E AR E 135 A 3 Requisitos do Sistema si o re ecur e idian iiA E N EE E e a E E E ara 135 A4 Instala o e configura o i ores nora aa E KIA A Ge BURT de a AE ESEE Er AA 136 A 4 1 Configura o inicialai acusar iiiaae a a bd a a a Ao 137 A 4 2 Configura o de armazenamento compartilhado o eenaa aaaeeeaa 139 A 4 3 Instala o do Sentinel n annaa anaana 141 A 4 4 Instala o do cluster neie caeioeni e aa a a a E A veaa Ea a pe 143 A 4 5 Configura o do Cluster saussun a eanan na 143 A 4 6 Configura o d
94. dor f sico assegure se de que a caixa de sele o Install Sentinel appliance to hard drive for Live DVD image only Instalar aplica o do Sentinel no disco r gido apenas para imagem do Live DVD esteja selecionada Essa caixa de sele o fica marcada por padr o Se voc anular a sele o dessa caixa de sele o a aplica o n o ser instalada no servidor f sico e ser executada somente no modo LIVE DVD Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Anote o endere o IP da aplica o exibido no console Avance para a Secci n 12 4 Configura o p s instala o para a aplica o en la p gina 89 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais O procedimento para instalar um Gerenciador de Coletor ou um Mecanismo de Correla o o mesmo exceto que voc precisa fazer download do arquivo apropriado no site na Web de download da Novell 1 2 Conclua Paso 1 aPaso 14 em Secci n 12 3 1 Instalando o Sentinel en la p gina 87 Especifique o nome de host endere o IP do servidor do Sentinel ao qual o Gerenciador de Coletor dever se conectar Especifique o n mero da porta do servidor de comunica o A porta padr o de barramento de mensagem 61616 Especifique o Nome do usu
95. dores gt Servidores da Web Bancos de Dados i Armazenamento Switches Coletor de Eventos Mainframe O Antiv rus O Reordenar Buffer y ED Servidor A Sentinel Mecanismo de Correla o Por padr o o Hor rio do evento definido para o Hor rio de processamento do Sentinel O ideal no entanto que o Hor rio do evento corresponda ao Hor rio do evento do observador caso esse esteja dispon vel e seja confi vel melhor configurar a coleta de dados para Hor rio da fonte de eventos confi vel caso o hor rio do dispositivo estiver dispon vel for preciso e devidamente analisado pelo Coletor O Coletor ajusta o Hor rio do evento para corresponder ao Hor rio do evento do observador Eventos com Hor rios de evento com varia es de 5 minutos em rela o ao hor rio do servidor para passado ou futuro s o processados normalmente pelas Telas ativas Os eventos com Hor rios de evento mais de 5 minutos no futuro n o s o exibidos nas Telas ativas mas s o inseridos no armazenamento de eventos Eventos com Hor rios de evento mais de 5 minutos no futuro e menos de 24 horas no passado ainda s o exibidos nos gr ficos mas n o s o exibidos nos dados de evento para o gr fico em quest o Uma opera o de detalhamento necess ria para recuperar esses eventos do armazenamento de eventos Os eventos s o organizados em intervalos de 30 segundos de modo que o Mecanismo de correla o possa process lo
96. e Usando pacotes de solu o no Guia de administra o do NetIQ Sentinel 7 1 Os Solution Packs permitem realizar a categoriza o e o agrupamento de conte dos em controles ou conjuntos de pol ticas tratados como uma unidade Os controles presentes nos Pacotes de solu es s o pr instalados para fornecer o conte do pronto para o uso por m os controles devem ser implementados ou testados formalmente com o console da Web do Sentinel Se for necess rio mostrar que a implementa o do Sentinel est funcionando como desejado use o processo de atesta o formal incorporado aos Pacotes de Solu o Esse processo de atestado implementa e testa os controles do Solution Pack da mesma forma que voc faria com qualquer outro Solution Pack Como parte desse processo o implementador e testador atestar o que eles conclu ram o trabalho em seguida essas atesta es far o parte de uma trilha de auditoria que poder ser examinada para demonstrar que qualquer controle espec fico foi corretamente implantado Voc pode executar o processo de atesta o usando o Solution Manager Para obter mais informa es sobre como implementar e testar os controles consulte Instalando e gerenciando pacotes de solu o no Guia de administra o do NetIQ Sentinel 7 1 Configurando os coletores conectores integradores e a es Para obter informa es sobre como configurar os plug ins prontos para o uso veja a documenta o de plug in esp
97. eMQ por ora pelo menos esses s o monitorados como parte dos servi os principais Solu o de exemplo A solu o de exemplo usa vers es simples dos recursos necess rios por exemplo o Agente de Recurso Filesystem sistema de arquivos simples Voc pode optar por usar mais recursos de cluster sofisticados como cLVM uma vers o de volume l gico do sistema de arquivos se necess rio A solu o de exemplo fornece um script crm para auxiliar na configura o do cluster O script extrai vari veis de configura o relevantes do arquivo de configura o aut nomo gerado como parte da instala o do Sentinel Se voc n o gerar o arquivo de configura o ou quiser mudar a configura o dos recursos poder editar o script concordemente Conecte se ao n original em que o Sentinel foi instalado esse deve ser o n em que voc executou a instala o completa do Sentinel e execute o procedimento a seguir lt COMPARTILHADO gt o volume compartilhado criado acima mount dev lt SHAREDI gt var opt novell cd usr 1lib ocf resource d novell install resources sh Pode haver problemas com os novos recursos aparecendo no cluster execute etc rc d openais restart no node02 n 2 se tiver esse problema 146 Guia de instala o e configura o do NetIQ Sentinel 7 1 A 4 7 O script install resources sh solicitar alguns valores ou seja o IP virtual que voc deseja que as pessoas usem para acessar o Sentinel e o no
98. eber atualiza es en la p gina 90 Se a aplica o n o estiver registrada o Sentinel exibir uma alerta amarelo indicando que a aplica o n o est registrada 6 Para verificar se existem atualiza es dispon veis clique em Atualiza es As atualiza es dispon veis ser o exibidas 7 Selecione e aplique as atualiza es A conclus o das atualiza es pode demorar alguns minutos Depois que a atualiza o for bem sucedida a p gina de login do WebYaST ser exibida Antes de atualizar o aplicativo o WebYaST interromper automaticamente o servi o Sentinel Voc deve reiniciar manualmente esse servi o depois que a atualiza o for conclu da 8 Reinicie o servi o Sentinel usando a interface da Web Para obter mais informa es consulte Secci n 12 5 Parando e iniciando o servidor com o WebYaST en la p gina 92 9 Limpe o cache do navegador web para visualizar a ltima vers o do Sentinel Fazendo upgrade da aplica o Sentinel 125 21 2 21 3 126 Fazendo upgrade das aplica es Sentinel 7 0 e 7 0 1 O upgrade das aplica es Sentinel 7 0 e 7 0 1 falha no WebYaST porque o nome do fornecedor do patch mudou de Novell para NetIQ Voc precisa fazer upgrade da aplica o usando o patch zypper Para fazer upgrade da aplica o usando o patch zypper 1 o N o qa A Fa a o backup da sua configura o e em seguida crie a exporta o ESM Para obter mais informa es consulte
99. ec fica dispon vel no site na web de plug ins do Sentinel Configurando plug ins prontos para o uso 105 106 Guia de instala o e configura o do NetIQ Sentinel 7 1 18 1 18 2 Ativando o modo FIPS 140 2 em uma instala o existente do Sentinel Este cap tulo fornece informa es sobre como ativar o modo do FIPS 140 2 em uma instala o existente do Sentinel Nota Estas instru es presumem que o Sentinel est instalado no diret rio opt novell sentinel Os comandos devem ser executados como o usu rio novell Secci n 18 1 Ativando o servidor do Sentinel para executar no Modo FIPS 140 2 en la p gina 107 Secci n 18 2 Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 107 Ativando o servidor do Sentinel para executar no Modo FIPS 140 2 Para ativar o servidor do Sentinel para execu o em modo FIPS 140 2 Efetue login no servidor do Sentinel Alterne para o usu rio novell su novell Navegue para o diret rio bin do Sentinel Execute o script convert to fips she siga as instru es na tela q A O N a Conclua a configura o do modo FIPS 140 2 seguindo as tarefas mencionadas no Cap tulo 19 Operando o Sentinel no modo FIPS 140 2 en la p gina 109 Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos Voc deve ativar o modo FIPS 140 2 no Gerenciador de Coletor e Mecanismo
100. ector 2011 1r2 Cisco SDEE Connector 2011 1r1 Guia de instala o e configura o do NetIQ Sentinel 7 1 6 3 File Connector 2011 1rl as funcionalidades CIFS e SCP envolvem criptografia e n o funcionar o no modo FIPS 140 2 NetIQ Audit Connector 2011 1r1 SNMP Connector 2011 1r1 Os seguintes Integradores do Sentinel que suportam SSL n o est o atualizados para dar suporte ao modo FIPS 140 2 no momento da libera o deste documento No entanto poss vel continuar a usar conex es n o criptografadas quando esses Integradores s o usados com o Sentinel no modo FIPS 140 2 Remedy Integrator 2011 1r1 ou posterior SOAP Integrator 2011 1rl ou posterior Quaisquer outros plug ins do Sentinel que n o estejam listados acima n o usam criptografia nem s o afetados pela ativa o do modo FIPS 140 2 no Sentinel Voc n o precisa executar nenhuma dessas etapas para us las com o Sentinel no modo FIPS 140 2 Para obter mais informa es sobre os plug ins do Sentinel veja o site na web de Plug ins do Sentinel Se voc deseja solicitar que um dos plug ins que ainda n o foi atualizado seja disponibilizado com o suporte do FIPS envie uma solicita o usando o Bugzilla Lista de verifica o da implementa o A tabela a seguir fornece uma vis o geral das tarefas necess rias para configurar o Sentinel para opera o no modo FIPS 140 2 Tarefas Planejar a implanta o Para obter mais informa es consu
101. eguinte comando para criar a MV xm create lt file name gt xenconfig Opcional Para verificar se a MV foi criada especifique o seguinte comando xm list O VM exibido na lista que gerada Por exemplo se voc configurou name Sentinel 7 1 0 0 x86 64 no arquivo xenconfig ent o a VM aparecer com este nome Para iniciar a instala o especifique este comando xm console lt vm name gt Substitua lt nome mv gt pelo nome especificado na configura o de nome do arquivo xenconfig que tamb m o valor retornado na Etapa 7 Por exemplo xm console Sentinel 7 1 0 0 x86 64 A instala o primeiro verifica a mem ria e o espa o em disco dispon veis Se a mem ria dispon vel for menor do que 2 5 GB a instala o ser automaticamente encerrada Se a mem ria dispon vel for maior do que 2 5 GB mas menor do que 6 7 GB a instala o exibir uma mensagem informando que voc tem menos mem ria do que o recomendado Digite y se quiser continuar com a instala o ou digite n se n o quiser prosseguir Selecione o idioma desejado e clique em Avan ar Selecione o layout do teclado e clique em Avan ar Leia e aceite o Contrato de Licen a do Software SUSE Linux Enterprise Server SLES 11 SP2 Leia e aceite o Contrato de Licen a do Usu rio Final do NetIQ Sentinel Na tela Nome de Host e Nome de Dom nio especifique o nome de host e o nome de dom nio Certifique se de que a op o Atribuir nome do host ao IP
102. egundos para ser conclu da Ser solicitado que voc especifique o modo de instala o Se voc escolher prosseguir com a instala o padr o continue com Paso 8a Paso 10 em Secci n 11 2 1 Instala o padr o en la p gina 72 Se voc escolher prosseguir com a instala o personalizada continue com Paso 7a Paso 14 em Secci n 11 2 2 Instala o Personalizada en la p gina 73 Efetue login como um usu rio root e especifique o seguinte comando para concluir a instala o bin root install finish A instala o do Sentinel conclu da e o servidor iniciado Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor 76 Guia de instala o e configura o do NetIQ Sentinel 7 1 11 5 Para acessar a interface da web do Sentinel especifique o seguinte URL no seu navegador https lt IP Address Sentinel server gt 8443 O lt endere o IP servidor Sentinel gt o endere o IP ou o nome DNS do servidor do Sentinel e 8443 a porta padr o para o servidor do Sentinel Modificando a configura o depois da instala o Depois de instalar o Sentinel se voc quiser inserir a chave de licen a v lida alterar a senha ou modificar qualquer uma das portas atribu das poder executar o script configure sh para modific
103. elo servidor back end Um evento consiste em mais de 200 campos Os campos do evento t m tipos e finalidades diferentes Alguns s o predefinidos como gravidade import ncia IP de destino e porta de destino H dois conjuntos de campos configur veis os campos reservados s o de uso interno da Novell para permitir futuras expans es enquanto que os campos de Cliente s o para extens es de clientes Para mudar a finalidade de um campo basta renome lo A origem de um campo pode ser referencial ou externa a qual definida explicitamente pelo dispositivo ou pelo Coletor correspondente O valor de um campo referencial computado como uma fun o de um ou mais campos que usam o servi o de mapeamento Por exemplo um campo pode ser definido como o c digo da constru o que cont m o bem mencionado como o IP de destino de um evento Por exemplo um campo pode ser computado pelo servi o de mapeamento por meio de um mapa definido pelo cliente usando o IP de destino do evento Secci n 2 2 1 Servi o de Mapeamento en la p gina 22 Secci n 2 2 2 Transmitindo mapas en la p gina 22 Secci n 2 2 3 Detec o de explora o servi o de mapeamento en la p gina 22 Como o Sentinel funciona 21 22 2 2 1 2 2 2 2 2 3 Servi o de Mapeamento O Servi o de Mapeamento permite que um mecanismo sofisticado propague dados comerciais importantes por todo o sistema Esses dados podem aprimorar eventos com in
104. enciador de Coletor 1 Exclua o arquivo host id ou sentinel id que est localizado na pasta var opt novell sentinel data 2 Reinicie o Gerenciador de Coletor O Gerenciador de Coletor gera automaticamente o UUID Solucionando problemas da instala o 151 152 Guia de instala o e configura o do NetIQ Sentinel 7 1 C 1 C 2 C 2 1 Desinstalando Este ap ndice fornece informa es sobre como desinstalar o Sentinel e as tarefas p s desinstala o Secci n C 1 Lista de verifica o da desinstala o en la p gina 153 Secci n C 2 Desinstalando o Sentinel en la p gina 153 Secci n 3 Tarefas p s desinstala o en la p gina 154 Lista de verifica o da desinstala o Use a lista de verifica o a seguir para desinstalar o Sentinel O Desinstale o servidor do Sentinel O Desinstale o Gerenciador de Coletor e o Mecanismo de Correla o se houver O Execute as tarefas de p s desinstala o para concluir a desinstala o do Sentinel Desinstalando o Sentinel Um script de desinstala o est dispon vel para ajud lo a remover uma instala o do Sentinel Antes de realizar uma nova instala o voc dever executar todas as etapas a seguir para verificar se n o restaram arquivos ou configura es do sistema de uma instala o anterior Advertencia Essas instru es envolvem a modifica o de configura es e arquivos do sistema operacional Se voc
105. enter 5 Na barra de ferramentas clique em Gerenciamento de Fonte de Eventos gt Tela Ativa e a segiur clique em Ferramentas gt Importar plugin 6 Procure e selecione o arquivo do Coletor cujo download foi feito em Paso 1 e em seguida clique em Avan ar 7 Siga as instru es remanescentes e em seguida clique em Concluir Para configurar o Coletor consulte a documenta o do Coletor espec fico no site na web de plug ins do Sentinel Instalando um Conector Use as etapas abaixo para instalar um Conector 1 Fa a o download do Conector desejado do site na web de plug ins do Sentinel 2 Efetue login na interface da web do Sentinel em https lt endere o IP gt 8443 onde 8443 pe a porta padr o do servidor do Sentinel 3 Clique em aplicativos na barra de ferramentas e em seguida em Aplicativos 4 Clique em Iniciar o Control Center para iniciar o Sentinel Control Center 5 Na barra de ferramentas selecione Gerenciamento de Fonte de Eventos gt Tela Ativa e em seguida clique em Ferramentas gt Importar plugin Instalando coletores e conectores adicionais 93 6 Procure e selecione o arquivo do Conector cujo download foi feito em Paso 1 e em seguida clique em Avan ar 7 Siga as instru es remanescentes e em seguida clique em Concluir Para configurar o Conector consulte a documenta o do Conector espec fico no site na web de plug ins do Sentinel 94 Guia de instala o e configura o do NetIQ Se
106. era es sobre a implementa o do Sentinel Operacional no modo FIPS 140 2 55 2 Certifique se de que um Gerenciador de coletor remoto esteja sendo executando em modo FIPS 140 2 e outro Gerenciador de coletor remoto continue a ser executado no modo n o FIPS 2a Se n o tiver nenhum Gerenciador de coletor remoto ativado para o modo FIPS 140 2 voc precisar habilitar o modo FIPS em um Gerenciador de coletor remoto Para obter mais informa es consulte Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 107 2b Atualize o certificado do servidor no Gerenciador de Coletor remoto n o FIPS Para obter mais informa es consulte Atualizando certificados do servidor nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 111 3 Certifique se de que dois Gerenciadores de Coletor remotos se comuniquem com o servidor Sentinel ativado para o modo FIPS 140 2 4 Converta os Mecanismos de Correla o remotos se algum deles estiver executando no modo FIPS Para obter mais informa es consulte Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 107 5 Configure os plug ins do Sentinel para executar no modo FIPS 140 2 Para obter mais informa es consulte Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 enla p gina 112 5a Implante Conectores que suportam o modo F
107. esa os direitos do governo sobre o software e a documenta o incluindo seu direito de usar modificar reproduzir liberar executar mostrar ou divulgar o software ou documenta o estar o sujeitos em todos os aspectos aos direitos e restri es de licen a comercial informados no contrato de licen a 2013 NetIQ Corporation e suas afiliadas Todos os direitos reservados Para obter informa es sobre as marcas registradas da NetIQ visite http www netig com company legal ndice Sobre este livro e a biblioteca 9 Sobre a NetIQ Corporation 11 Parte Compreendendo o Sentinel 13 1 O que o Sentinel 15 1 1 Desafios em proteger um ambiente de TI cccicccccccc ca 15 1 2 A solu o fornecida pelo Sentinel ccccicisiii ra 16 2 Como o Sentinel funciona 19 2 1 Fontes de eventos sra sims us ca anna eloa a e abala a ad E Ca ea aca SN a 21 22 Eveniodo Seniihel seram esa pe siga fa Anel pia ada a ba US E e eae a E AS qa 21 2 2 1 Servi o de Mapeamento ciciciicics sanar 22 2 2 2 Transmitindo mapas ccciiiiicc aaa 22 2 2 3 Detec o de explora o servi o de mapeamento iiiiiciiiiisiis 22 2 3 Gerenciadorde GolelOr sus ess AD ar A a Diga ee o al ah 23 2 3 1 Coletores Ls ratos E ita E a SAAE gr PR di ae E pe e a 23 2 dei MGONCCIOI S is rio SD O RU SESC R S an E SRS RUE SE RIO EE AE RUE E O RE a Ra SD 23 2 4 Gerenciador de agente iciicics rea 23 2 55 MCOMCIA
108. forma es sobre a instala o de Gerenciadores de Coletor adicionais consulte Secci n 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 A instala o de mais de um Gerenciador de Coletor em uma rede distribu da oferece diversas vantagens Melhor desempenho do sistema Os Gerenciadores de Coletor adicionais podem analisar e processar dados de eventos em um ambiente distribu do o que aumenta o desempenho do sistema Seguran a de dados adicional e menores requisitos de largura de banda de rede Se os Gerenciadores de Coletor estiverem co localizados com fontes de eventos ent o a filtragem criptografia e compacta o de dados pode ser realizada na origem Cache de arquivos Os Gerenciadores de Coletor remotos podem fazer cache de grandes quantidades de dados enquanto o servidor est temporariamente ocupado arquivando eventos ou processando um pico de eventos Esse recurso uma vantagem para protocolos que como o syslog n o suportam o cache de eventos de forma nativa Nota N o poss vel instalar mais do que um Gerenciador de Coletor em um nico sistema Voc pode instalar Gerenciadores de Coletor adicionais nos sistemas remotos e conect los ao servidor do Sentinel Vantagens dos mecanismos de correla o adicional Voc pode implementar v rios Mecanismos de Correla o cada qual em seu pr prio servidor sem precisar replicar configura es ou a
109. forma es referenciais que fornecem contexto permitindo que os analistas tomem melhores decis es escrevam relat rios mais teis e regras de correla o melhor definidas Voc pode aprimorar os dados de evento usando mapas para adicionar informa es como detalhes do host e da identidade aos eventos recebidos de seus dispositivos de origem Essas informa es adicionais podem ser usadas para correla o avan ada e gera o de relat rios O sistema suporta v rios mapas integrados e tamb m mapas personalizados definidos pelo usu rio Os mapas definidos no Sentinel s o armazenados de duas formas Os mapas integrados s o armazenados no banco de dados atualizados com o APIs no c digo do Coletor e exportados automaticamente para o servi o de mapeamento Os mapas personalizados s o armazenados como arquivos CSV e podem ser atualizados no sistema de arquivos ou via IU de Configura o de Dados de Mapa e em seguida carregados pelo Servi o de mapeamento Em ambos os casos os arquivos CSV s o mantidos no servidor central do Sentinel mas as altera es feitas nos mapas s o distribu das para cada Gerenciador de Coletor e aplicadas localmente Esse processamento distribu do garante que a atividade de mapeamento n o sobrecarregue o servidor principal Transmitindo mapas O Servi o de Mapeamento emprega um modelo de atualiza o din mica e transmite os mapas de um ponto para outro evitando o ac mulo de grandes mapas
110. g sentinel cer da m quina Sentinel receptora para a m quina Sentinel emissora Se o Conector estiver implantado em um Gerenciador de coletor remoto voc precisa copiar o arquivo etc opt novell sentinel config rcm cer da m quina receptora do Gerenciador de coletor remoto para a m quina receptora do Sentinel Importe esse certificado para o keystore do Sentinel FIPS emissor Nota Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certifica o CA voc deve importar o arquivo de certificado personalizado adequado Se o Conector do link do Sentinel estiver em modo n o FIPS Importe o certificado do servidor de Link do Sentinel para a keystore FIPS do Sentinel emissor Nota Quando o Sentinel Link Integrator est no modo FIPS 140 2 e o Sentinel Link Connector est no modo n o FIPS use o par de chaves personalizado do servidor no conector N o use o par de chaves interno do servidor Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 2 Prossiga com a configura o da inst ncia do Integrator Nota No modo FIPS 140 2 o Sentinel Link Integrator usa o par de chaves do servidor do Sentinel Importar o par de chaves do Integrador n o necess rio 116 Guia de instala o e configura o do NetIQ Sentinel 7 1 19 5 7 19 5 8 19 5 9 LDAP Inte
111. grator Para configurar o LDAP Integrator para executar no modo FIPS 140 2 1 Antes de configurar a inst ncia do Integrator fa a o download do certificado do servidor LDAP e salve o como arquivo ldap cert para o diret rio etc opt novell sentinel config do servidor do Sentinel Por exemplo usar openssl s client connect lt LDAP server IP gt 636 e copiar o texto retornado entre sem incluir as linhas BEGIN e END em um arquivo 2 Importe o certificado para o keystore do Sentinel FIPS Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 3 Prossiga com a configura o da inst ncia do Integrator SMTP Integrator O Integrador SMTP suporta o modo FIPS 140 2 nas vers es 2011 1r2 e mais recentes N o necess ria nenhuma mudan a de configura o Usando conectores ativados n o FIPS com o Sentinel no modo FIPS 140 2 Esta se o fornece informa es sobre como usar Conectores ativados n o FIPS com um servidor do Sentinel no modo FIPS 140 2 Recomendamos essa abordagem se voc tiver fontes que n o suportam FIPS ou se desejar coletar eventos dos Conectores n o FIPS no seu ambiente Para usar conectores n o FIPS com o Sentinel no modo FIPS 140 2 1 Instale um Gerenciador de Coletor remoto no modo n o FIPS para conectar ao servidor do Sentinel no modo FIPS 140 2 Para obter mais informa es consulte Secci
112. guinte comando uninstall sentinel O script exibe um aviso informando que o Gerenciador de Coletor ou o Mecanismo de correla o e todos os dados associados ser o completamente removidos Insira s para remover o Gerenciador de Coletor ou o Mecanismo de Correla o O script primeiro para o servi o e em seguida remove o completamente No entanto os cones do Gerenciador de coletor e Mecanismo de correla o ainda s o exibidos em estado inativo na interface da Web Realize as seguintes etapas adicionais para excluir manualmente o Gerenciador de coletor e o Mecanismo de correla o na interface da Web Gerenciador de Coletor 1 Clique em Gerenciamento de Fonte de Eventos gt Tela Ativa 2 Clique com o bot o direito do mouse no Gerenciador de Coletor que deseja apagar e clique em Apagar Mecanismo de Correla o 1 Efetue login na interface da web do Sentinel como administrador 2 Expanda Correla o e em seguida selecione o Mecanismo de Correla o que deseja apagar 3 Clique no bot o Apagar cone da lixeira Tarefas p s desinstala o A desinstala o do servidor do Sentinel n o remove do sistema operacional o Usu rio Administrador do Sentinel E preciso remover manualmente o usu rio Depois de desinstalar o Sentinel certas configura es dos sistemas permanecer o Essas configura es dever o ser removidas antes de realizar uma instala o limpa do Sentinel particularmente se a desinsta
113. i o separada para o ponto de montagem var opt novell sentinel para colocar todos os dados em uma parti o separada No entanto para outros formatos de aplica o poss vel configurar o particionamento somente ap s a instala o poss vel adicionar parti es e mover um diret rio para a nova parti o usando a ferramenta de configura o de sistema SuSE YaST Para obter informa es sobre como criar parti es ap s a instala o consulte Secci n 12 4 2 Criando parti es en la p gina 90 Requisitos do sistema do Conector e do Coletor Cada Conector e Coletor tem seu pr prio conjunto de requisitos de sistema e plataformas suportadas Consulte a documenta o do Conector e do Coletor na p gina da web de plug ins do Sentinel http support novell com products sentinel secure sentinelplugins html Ambiente virtual O Sentinel extensivamente testado e completamente suportado em servidores VMware ESX Ao configurar um ambiente virtual as m quinas virtuais devem ter duas ou mais CPUs Para atingir resultados de desempenho compar veis aos resultados de teste de m quina f sica no ESX ou em qualquer outro ambiente virtual o ambiente virtual deve ter as mesmas recomenda es de mem ria CPU espa o em disco e E S que a m quina f sica Para obter informa es sobre recomenda es para m quina f sica consulte Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 Guia de instala
114. inel emissora m quina Sentinel receptora Importe esse certificado para o keystore do Sentinel FIPS receptor Nota Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certifica o CA voc deve importar o arquivo de certificado personalizado adequado Se o Sentinel Link Integrator estiver no modo n o FIPS voc deve importar o certificado personalizado do Integrator para o keystores do Sentinel FIPS receptor Nota Se o emissor for o Sentinel Log Manager no modo n o FIPS e o receptor for o Sentinel no modo FIPS 140 2 o certificado do servidor a ser importado no emissor ser o arquivo etc opt novell sentinel config sentinel cer da m quina Sentinel receptora Quando o Sentinel est executando no modo FIPS 140 2 n o poss vel importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos ESM Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de keystore do FIPS en la p gina 118 Nota No modo FIPS 140 2 o servidor da Fonte de Evento do Sentinel Link usa o par de chaves do servidor do Sentinel N o necess rio importar o par de chaves do servidor Conector Syslog Siga o procedimento abaixo apenas se tiver selecionado o protocolo SSL ao configurar as defini es da rede do Servidor de Origem de Evento Syslog Para configurar o Syslog Connector para execut
115. ini o da senha do administrador caso ela seja esquecida ou perdida 8 Decida se deseja manter a senha existente para o usu rio do aplicativo appuser Se desejar manter a senha existente insira 1 e em seguida continue com Paso 9 Se desejar alterar a senha existente insira 2 especifique a nova senha confirme a e em seguida continue com Paso 9 9 Altere as atribui es de porta para os servi os do Sentinel inseerindo o n mero desejado e em seguida especificando o novo n mero da porta 10 Depois de alterar as portas especifique 7 para concluir 11 Insira 1 para autenticar os usu rios usando somente o banco de dados interno ou Instala o tradicional 77 Se voc configurou um diret rio LDAP em seu dom nio insira 2 para autenticar os usu rios usando a autentica o do diret rio LDAP O valor padr o 1 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais Por padr o o Sentinel instala um Gerenciador de Coletor e um Mecanismo de Correla o Dependendo do seu ambiente talvez voc precise de Gerenciadores de Coletor e Mecanismos de Correla o adicionais Para obter informa es sobe as vantagens dos Gerenciadores de Coletor e Mecanismos de Correla o adicionais veja Secci n 9 1 Vantagens de Gerenciadores de Coletor adicionais en la p gina 68 e Secci n 9 2 Vantagens dos mecanismos de correla o adicional en la p gina 68 Importante Voc deve
116. keystore do FIPS 1 Copie o arquivo de certificado para qualquer local tempor rio no servidor do Sentinel ou Gerenciador de Coletor remoto 2 Navegue para o diret rio bin do Sentinel O local padr o opt novell sentinel bin 3 Execute o comando a seguir para importar o certificado para o banco de dados da keystore do FIPS e siga as instru es na tela convert to fips sh i lt certificate file path gt 4 Digite yes sim ou y s quando solicitado a reiniciar o servidor do Sentinel ou o Gerenciador de Coletor remoto Revertendo o Sentinel para o modo n o FIPS Esta se o fornece informa es sobre como reverter o Sentinel e seus componentes para o modo n o FIPS Secci n 19 7 1 Revertendo o servidor do Sentinel para o modo n o FIPS en la p gina 118 Secci n 19 7 2 Revertendo Gerenciadores de Coletor ou Mecanismos de Correla o remotos para o modo n o FIPS en la p gina 119 Revertendo o servidor do Sentinel para o modo n o FIPS Voc poder reverter um servidor do Sentinel executando no modo FIPS 140 2 para o modo n o FIPS apenas se tiver feito backup do servidor do Sentinel antes de convert lo para executar no modo FIPS 140 2 Nota Ao reverter um servidor do Sentinel para o modo n o FIPS voc perder os eventos os dados de incidente e as mudan as de configura o feitas no servidor Sentinel ap s a convers o para execu o no modo FIPS 140 2 O sistema do Sentinel ser restaurado
117. kup en la p gina 148 Secci n 4 5 2 da PlateSpin en la p gina 149 Backup Ao passo que um cluster de failover altamente dispon vel como o descrito neste documento fornece uma camada de redund ncia mesmo assim importante fazer regularmente um backup tradicional da configura o e dos dados que n o poderiam ser facilmente recuperados em caso de perda ou corrup o A se o Fazendo backup e restaura o de dados no Guia de administra o do NetIQ Sentinel 7 1 descreve como usar as ferramentas integradas do Sentinel para criar um backup Essas 148 Guia de instala o e configura o do NetIQ Sentinel 7 1 A 5 2 ferramentas devem ser usadas no n ativo no cluster porque o n passivo no cluster n o ter o acesso necess rio para o dispositivo de armazenamento compartilhado Outras ferramentas de backup comercialmente dispon veis podem ser usadas em vez disso e podem ter requisitos diferentes do n em que podem ser usadas da PlateSpin Falha tempor ria en la p gina 149 Corrup o do n en la p gina 149 Configura o dos dados do cluster en la p gina 149 Falha tempor ria Se a falha for tempor ria e n o houver nenhuma corrup o aparente no aplicativo software do sistema operacional e configura o ent o basta limpar a falha tempor ria e por exemplo reinicializar o n que restaurar o n para um estado operacional A interface do usu rio de gerenciamento
118. kup e restaura o comercialmente dispon veis podem ser usadas como alternativa e podem ter requisitos diferentes quanto ao n em que podem ser usadas Configurando o Sentinel para alta disponibilidade 149 150 Guia de instala o e configura o do NetIQ Sentinel 7 1 B 1 B 2 Solucionando problemas da instala o Esta se o cont m alguns dos problemas que podem ocorrer durante a instala o e as a es para solucion los Falha na instala o devido a configura o de rede incorreta Durante a primeira inicializa o uma mensagem de erro exibida se o instalador determinar que as configura es de rede est o incorretas Se a rede estiver indispon vel a instala o do Sentinel na aplica o falhar Para resolver esse problema defina corretamente as configura es de rede Para verificar a configura o use o comando ipconfig para retornar o endere o IP v lido e o comando hostname para retornar o nome do host v lido O UUID n o criado para Gerenciadores de Coletor em imagens nem para Mecanismos de Correla o Se voc cria uma imagem de um servidor Gerenciador de Coletor por exemplo usando o ZENworks Imaging e restaura as imagens em diferentes m quinas o Sentinel n o identifica exclusivamente as novas inst ncias do Gerenciador de Coletor Isso ocorre por causa de UUIDs duplicados E preciso gerar um novo UUID executando as seguintes etapas nos sistemas em que acabou de instalar o Ger
119. la o do Sentinel encontrou erros 154 Guia de instala o e configura o do NetIQ Sentinel 7 1 Para limpar manualmente as configura es do sistema Sentinel Efetue login como root 2 Verifique se todos os processos do Sentinel foram parados 3 Remova o conte do de opt novell sentinel ou do local onde o software Sentinel foi instalado 4 Assegure se de que ningu m est conectado ao sistema operacional como Administrador do Sentinel o padr o novell Em seguida remova o usu rio o diret rio pessoal e o grupo userdel r novell groupdel novell 5 Reinicie o sistema operacional Desinstalando 155 156 Guia de instala o e configura o do NetIQ Sentinel 7 1
120. las O script encontra se na pasta opt novell sentinel setup 1 Especifique o seguinte comando na linha de comando para executar o script configure sh configure sh 2 Especifique 1 para realizar uma configura o padr o ou 2 para realizar uma configura o personalizada do Sentinel 3 Pressione a barra de espa o para ler o contrato de licen a 4 Digite yes ou y para aceitar o contrato de licen a e prosseguir com a instala o A instala o poder levar alguns segundos para carregar os pacotes de instala o 5 Insira 1 para usar a chave de licen a padr o de avalia o de 90 dias ou Insira 2 para informar uma chave de licen a adquirida do Sentinel 6 Decida se deseja manter a senha existente para o usu rio administrador admin Se desejar manter a senha existente insira 1 e em seguida continue com Paso 7 Se desejar alterar a senha existente insira 2 especifique a nova senha confirme a e em seguida continue com Paso 7 7 Decida se deseja manter a senha existente para o usu rio do banco de dados dbauser Se desejar manter a senha existente insira 1 e em seguida continue com Paso 8 Se desejar alterar a senha existente insira 2 especifique a nova senha confirme a e em seguida continue com Paso 8 A conta dbauser a identidade usada pelo Sentinel para interagir com o banco de dados A senha inserida aqui pode ser usada para realizar tarefas de manuten o de banco de dados incluindo a redef
121. lementa o do Sentinel Operacional no modo FIPS 140 2 53 6 4 6 4 1 Cen rios de implanta o Esta se o fornece informa es sobre os cen rios de implanta o do Sentinel no modo FIPS 140 2 Cen rio 1 Coleta de dados no modo FIPS 140 2 completo Neste cen rio a coleta de dados feita apenas por meio de Conectores que suportam o modo FIPS 140 2 Presumiremos que esse ambiente envolve um servidor do Sentinel e os dados s o coletados por meio de um Gerenciador de Coletor remoto Voc pode ter um ou mais Gerenciadores de Coletor remotos a Conector do Conector de Banco Conector de Link Agent Manager de Dados JDBC do Sentinel Servidor Sentinel 7 1 no modo FIPS Conector de Arquivo Conector Syslog Conector do NFS ou Tipos de Origem Windows Event WMI de Evento de Arquivo Local Gerenciador do Coletor Remoto Sentinel 7 1 no modo FIPS Execute o seguinte procedimento apenas se o seu ambiente envolver a coleta de dados das origens de evento usando Conectores que suportam o modo FIPS 140 2 1 necess rio ter um servidor do Sentinel 7 1 no modo FIPS 140 2 Nota Se o seu servidor do Sentinel instalado ou atualizado recentemente estiver no modo n o FIPS voc deve habilitar o FIPS no servidor do Sentinel Para obter mais informa es consulte Ativando o servidor do Sentinel para executar no Modo FIPS 140 2 en la p gina 107 Um Gerenciador de Coletor remoto do Sentinel 7 1 deve e
122. lica o O Sentinel usa o sistema de arquivos ext3 Para obter mais informa es sobre sistemas de arquivos consulte Vis o geral de sistemas de arquivos no Linux http Awww novell com documentation sles 11 stor admin data filesystems html no Guia de administra o de armazenamento do SLES 11 SP2 Plataformas de banco de dados suportadas O Sentinel inclui um sistema de armazenamento baseado em arquivo embutido e o banco de dados PostgreSQL tudo o que necess rio para sua execu o No entanto se voc usar o recurso opcional de sincroniza o de dados para copiar dados para um data warehouse o Sentinel suportar o uso do PostgreSQL Oracle vers o 11g R2 ou Microsoft SQL Server 2008 R2 como o data warehouse Browsers suportados A interface da Web do Sentinel otimizada para uma resolu o de 1280 x 1024 ou mais alta nos seguintes browsers suportados Nota Para carregar os aplicativos do cliente Sentinel adequadamente voc deve instalar o Java Webstart no sistema Plataforma Browser Windows 7 Firefox vers o 5a 18 Internet Explorer 8 9 e 10 Para obter mais informa es sobre o Internet Explorer 8 consulte Pr requisitos para o Internet Explorer en la p gina 37 SLES 11 SP2 e RHEL 6 Firefox vers o 5a 18 Guia de instala o e configura o do NetIQ Sentinel 7 1 5 3 1 5 4 Pr requisitos para o Internet Explorer Se o N vel de Seguran a da Internet for definido como Alto um
123. lte Secci n 6 4 Cen rios de implanta o en la p gina 54 Determine se voc precisa habilitar o modo FIPS 140 2 durante a instala o do Sentinel ou se deseja ativ lo no futuro Para habilitar o Sentinel no modo FIPS 140 2 durante a instala o voc precisa selecionar o m todo de instala o Personalizada ou Silenciosa durante o processo de instala o Secci n 11 2 2 Instala o Personalizada en la p gina 73 Secci n 11 3 Realizando uma instala o silenciosa en la p gina 75 Cap tulo 18 Ativando o modo FIPS 140 2 em uma instala o existente do Sentinel en la p gina 107 Configure os plug ins do Sentinel para executar no Modo FIPS 140 2 Secci n 19 5 Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 en la p gina 112 Importe certificados para o Sentinel FIPS Keystore Secci n 19 6 Importando certificados para o banco de dados de keystore do FIPS en la p gina 118 Nota O NetIQ recomenda fortemente fazer backup dos sistemas Sentinel antes de iniciar a convers o para o modo FIPS Se por algum motivo o servidor precisar ser revertido para o modo n o FIPS o nico m todo suportado para fazer isso envolve a restaura o de um backup Para obter mais informa es sobre a revers o para o modo n o FIPS veja Revertendo o Sentinel para o modo n o FIPS en la p gina 118 Considera es sobre a imp
124. lu o de exemplo usaremos os Destinos iSCSI hospedados por uma VM SUSE Linux A solu o de exemplo usar Destinos iSCSI configurados em uma VM SUSE Linux A VM storage03 armazenamento 03 como listada na Configura o inicial Os dispositivos iSCSI podem ser criados usando qualquer arquivo ou dispositivo de blocos mas por quest o de simplicidade utilizaremos aqui um arquivo que criamos para esse fim Conecte se ao storage03 armazenamento 03 e inicie uma sess o de console Use o comando dd para criar um arquivo vazio de qualquer tamanho desejado para o armazenamento local desejado do Sentinel dd if dev zero of localdata count 10240000 bs 1024 Neste caso criamos um arquivo de 10 GB preenchido com zeros copiado de dev zero pseudo device Veja a p gina de informa es ou do manual referente dd para obter detalhes sobre as op es da linha de comandos Por exemplo para criar discos com tamanhos diferentes O Destino iSCSI trata esse arquivo como se fosse um disco voc pode evidentemente usar um disco real se preferir Repita este procedimento para criar um arquivo para o armazenamento de rede dd if dev zero of networkdata count 10240000 bs 1024 Para este exemplo usamos dois arquivos discos do mesmo tamanho e caracter sticas de desempenho Para uma implementa o de produ o voc pode colocar o armazenamento local em uma SAN r pida e o armazenamento de rede em um volume iSCSI NFS ou CIFS mais lento
125. m precisam ser configurados para confiar no servidor do Sentinel ou no certificado do Gerenciador de coletor remoto dependendo do local em que o Conector implantado Localiza o do certificado do servidor do Sentinel etc opt novell sentinel config sentinel cer Localiza o do certificado do Gerenciador de coletor remoto etc opt novell sentinel config rcm cer Nota Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certifica o CA o agente do Gerenciador de Agente dever confiar no arquivo de certificado apropriado Conector de banco de dados JDBC Siga o procedimento abaixo apenas se tiver selecionado a op o SSL ao configurar a conex o do banco de dados Para configurar o Conector do Banco de Dados para executar no modo FIPS 140 2 1 Antes de configurar o Conector fa a o download do certificado do servidor de banco de dados e salve o como o arquivo database cert no diret rio etc opt novell sentinel config do servidor do Sentinel Para obter mais informa es consulte a respectiva documenta o do banco de dados 2 Importe o certificado para o keystore do Sentinel FIPS Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 3 Prossiga com a configura o do Conector Conector do Link do Sentinel Siga o procedimento abaixo apenas se tiver selecio
126. m um cluster de produ o voc pode usar IPs internos n o rote veis em NICs separados possivelmente um par para redund ncia para comunica es internas do cluster Guia de instala o e configura o do NetIQ Sentinel 7 1 A 4 2 Configura o de armazenamento compartilhado Configure o armazenamento compartilhado e verifique se voc pode mont lo em cada n do cluster Se estiver usando o Fibre Channel e uma SAN isso pode envolver conex es f sicas e outra configura o O armazenamento compartilhado ser usado para manter os bancos de dados do Sentinel e os dados de evento assim deve ser dimensionado concordemente para o ambiente do cliente com base na taxa de evento e pol ticas de reten o de dados esperadas Uma implementa o t pica pode usar uma SAN r pida conectada via Fibre Channel a todos os n s do cluster com uma matriz RAID grande para armazenar os dados de evento locais Um n NAS ou iSCSI separado pode ser usado pelo armazenamento de rede mais lento Contanto que o n do cluster possa montar o armazenamento local como um dispositivo de blocos normal ele pode ser usado pela solu o O armazenamento de rede tamb m pode ser montado como um dispositivo de bloco ou pode ser um volume NFS ou CIFS Nota Voc deve configurar seu armazenamento compartilhado e testar sua montagem em cada n de cluster mas a montagem real do armazenamento ser manipulada pela configura o do cluster Para a so
127. me do dispositivo do armazenamento compartilhado e em seguida criar automaticamente os recursos do cluster necess rios Observe que o script requer que o volume compartilhado j esteja montado e tamb m requer que o arquivo de instala o aut nomo criado durante a instala o do Sentinel esteja presente tmp install props Voc n o precisa executar esse script em nenhum outro n exceto no primeiro n instalado todos os arquivos de configura o relevantes ser o automaticamente sincronizados para os outros n s Se o ambiente do cliente variar em rela o a esta solu o de exemplo voc pode editar o arquivo resources cli no mesmo diret rio e modificar as defini es primitivas em tal arquivo Por exemplo a solu o de exemplo usa um recurso Filesystem sistema de arquivos simples talvez voc deseje usar outro recurso cLVM com reconhecimento de cluster Ap s executar o shell script voc poder emitir um comando de status crm e a sa da se parecer com esta crm status Last updated Thu Jul 26 16 34 34 2012 Last change Thu Jul 26 16 28 52 2012 by hacluster via crmd on node01 Stack openais Current DC node01 partition with quorum Version 1 1 6 b988976485d15cb702c9307df55512d323831a5e 2 Nodes configured 2 expected votes 5 Resources configured Online node01 node02 stonith sbd stonith external sbd Started node01 Resource Group sentinelgrp sentinelip ocf heartbeat IPaddr2 Sta
128. mento externos do Sentinel est o baseados nas investiga es de porta IP e h algum potencial para leituras de falso positivo e falso negativo Planejamos melhorar o Sentinel e o Agente de Recurso com o decorrer do tempo para aprimorar a precis o desse componente Fencing Dentro de um cluster de alta disponibilidade os servi os cr ticos s o constantemente monitorados e reiniciados automaticamente em outros n s no caso de falha Essa automa o pode introduzir problemas no entanto se ocorrer algum problema de comunica o com o n prim rio embora o servi o em execu o nesse n pare a estar inativo na verdade ele continua a executar e gravar dados no armazenamento compartilhado Nesse caso iniciar um novo conjunto de servi os em um n de backup pode facilmente causar corrup o de dados Os clusters usam uma variedade de t cnicas coletivamente chamadas de fencing para prevenir que isso aconte a incluindo SBD Detec o de split brain e STONITH Atirar na cabe a do outro n O primeiro objetivo prevenir a corrup o de dados no armazenamento compartilhado Suportabilidade O NetIQ suporta essa solu o com base nas caracter sticas do cluster definidas e no comportamento esperado como definido nesse documento e testado em nossos laborat rios Outras configura es de cluster somente ser o suportadas se os problemas observados no seu ambiente puderem ser replicados em nossos ambientes de teste internos elimi
129. modo FIPS 140 2 seguindo as tarefas mencionadas no Cap tulo 19 Operando o Sentinel no modo FIPS 140 2 en la p gina 109 A instala o do Sentinel conclu da e o servidor iniciado Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Instalando o Sentinel como um usu rio n o raiz Se a pol tica organizacional n o permitir que voc execute a instala o completa do Sentinel como root ser poss vel instal lo como outro usu rio Nessa instala o algumas etapas s o executadas como um usu rio root e em seguida voc prossegue para a instala o do Sentinel como outro usu rio criado pelo usu rio root Finalmente o usu rio root completa a instala o 1 Fa a download dos arquivos de instala o na p gina Downloads da Novell 2 Especifique o seguinte comando na linha de comando para extrair os arquivos de instala o do arquivo tar tar zxvf lt install filename gt Substitua lt nome arquivo instala o gt pelo nome real do arquivo de instala o 3 Efetue login como root no servidor em que voc deseja instalar o Sentinel como root Instala o tradicional 75 4 7 8 10 11 12 Especifique o seguinte comando bin root_install_prepare Uma lista de comandos a serem executados com privil gios de roo
130. mpenho geral de sistemas em que sistemas de arquivos menores s o mais eficientes Para obter mais informa es consulte Parti o de disco Use parti es nas instala es tradicionais Nas instala es tradicionais voc pode modificar o layout da parti o de disco do operacional antes de instalar o Sentinel O administrador dever criar e montar as parti es desejadas para os diret rios adequados com base na estrutura de diret rio detalhada em Secci n 15 Estrutura de diret rios do Sentinel en la p gina 97 Ao executar o instalador o Sentinel instalado nos diret rios pr criados resultando em uma instala o que abrange v rias parti es Nota poss vel usar a op o location ao executar o instalador para especificar um local de n vel superior diferente do diret rio padr o para armazenar o arquivo O valor passado para a op o location anexado aos caminhos do diret rio Por exemplo se voc especificar location foo o diret rio de dados ser foo var opt novell sentinel data e o diret rio de configura o ser foo etc opt novell sentinel config N o use os links do sistema de arquivos por exemplo soft links para a op o location Use parti es em uma instala o da aplica o Usando o formato de aplica o DVD ISO poss vel configurar o particionamento do sistema de arquivos da aplica o durante a instala o Por exemplo voc pode criar uma part
131. n o estiver familiarizado com a modifica o dessas configura es e arquivos do sistema contate o administrador do sistema Desinstalando o Sentinel Server Use as etapas a seguir para desinstalar o servidor Sentinel 1 Efetue login no servidor do Sentinel como root Nota Voc n o pode desinstalar o servidor do Sentinel como usu rio n o root quando a instala o realizada como usu rio root No entanto o usu rio n o root pode desinstalar o servidor do Sentinel quando a instala o tiver sido executada pelo usu rio n o root 2 Acesse o seguinte diret rio opt novell sentinel setup 3 Execute o seguinte comando uninstall sentinel Desinstalando 153 4 Quando for solicitado que voc confirme novamente que deseja prosseguir com a desinstala o pressione s O script primeiro para o servi o e em seguida remove o completamente C 2 22 Desinstalando o Gerenciador de Coletor ou Mecanismo de Correla o C 3 Use as etapas a seguir para desinstalar o Gerenciador de Coletor e o Mecanismo de Correla o 1 Efetue login como root Nota Voc n o pode desinstalar o Gerenciador de Coletor Remoto nem o Mecanismo de correla o remota como usu rio n o root quando a instala o executada como usu rio root No entanto o usu rio n o root pode desinstalar quando a instala o executada pelo usu rio n o root V para o seguinte local opt novell sentinel setup Execute o se
132. n 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 2 Implemente os Conectores n o FIPS especificamente para o Gerenciador de Coletor remoto n o FIPS Nota H alguns problemas conhecidos quando Conectores n o FIPS como o Conector de Auditoria e o Conector de Arquivo s o implementados em um Gerenciador de Coletor remoto n o FIPS conectado a um servidor do Sentinel 7 1 no modo FIPS 140 2 Para obter mais informa es sobre esses problemas conhecidos consulte o arquivo Readme do NetIQ Sentinel 7 0 1 Operando o Sentinel no modo FIPS 140 2 117 19 6 19 7 19 7 1 Importando certificados para o banco de dados de keystore do FIPS Voc deve inserir certificados no banco de dados de keystore do Sentinel FIPS para estabelecer comunica es SSL seguras dos componentes que possuem esses certificados para o Sentinel N o poss vel fazer upload de certificados usando a interface do usu rio do Sentinel como normal quando o modo FIPS 140 2 estiver ativado no Sentinel Voc deve importar manualmente os certificados para o banco de dados de keystore do FIPS Para fontes de evento que est o usando Conectores implementados para um Gerenciador de Coletor remoto voc deve importar os certificados para o banco de dados de keystore do FIPS do Gerenciador de Coletor remoto em vez de para o servidor do Sentinel central Para importar certificados para o banco de dados de
133. n 2 11 An lise de eventos en la p gina 26 Secci n 2 12 Armazenamento e roteamento de dados no Sentinel en la p gina 26 Fontes de eventos O Sentinel re ne informa es de seguran a e eventos de diversas fontes no seu ambiente de TI Essas fontes s o denominadas fontes de eventos As fontes de eventos podem representar in meros itens distintos na sua rede Per metro de Seguran a Dispositivos de seguran a incluindo hardware e software usados para criar um per metro de seguran a para o seu ambiente como firewalls IDS e VPNs Sistemas Operacionais eventos dos diferentes sistemas operacionais que s o executados na rede Fontes de TI Referenciais o software usado para manter e monitorar bens patches configura es e vulnerabilidade Eventos do Aplicativo eventos gerados nos aplicativos instalados na rede Controle de Acesso de Usu rio eventos gerados nos aplicativos ou dispositivos que permitem aos usu rios acessar os recursos da empresa Evento do Sentinel O Sentinel recebe informa es de dispositivos normaliza as em uma estrutura chamada evento categoriza o evento e em seguida envia o para processamento Adicionar informa es de categoria taxonomia aos eventos facilita a compara o deles em sistemas que relatam eventos de forma diferente Por exemplo falhas na autentica o Os eventos s o processados pela exibi o em tempo real pelo mecanismo de correla o por pain is e p
134. nado a op o Encrypted HTTPS Criptografado HTTPS ao configurar as defini es da rede do Servidor de Origem de Evento do Sentinel Link Para configurar o Sentinel Link Connector para executar no modo FIPS 140 2 1 Adicione ou edite o Servidor de Origem de Evento do Sentinel Link Avance pelas telas de configura o at que a janela Seguran a seja exibida Para obter mais informa es consulte Guia do Sentinel Link Connector 2 Selecione uma das op es no campo Client Authentication Type Tipo de autentica o do cliente O tipo de autentica o do cliente determina com que rigidez o Servidor de Origem de Evento SSL Sentinel Link verifica a identidade das Fontes de Evento do Sentinel Link Integradores de Sentinel Link que est o tentando enviar dados Abrir Permite todas as conex es SSL provenientes dos clientes Sentinel Link Integrators N o executa nenhuma valida o ou autentica o de certificado do Integrator R gida Valida o certificado do Integrator como um certificado X 509 v lido e tamb m verifica se o certificado do Integrator de confian a para o Servidor de Origem de Evento Para obter mais informa es consulte a respectiva documenta o do banco de dados Operando o Sentinel no modo FIPS 140 2 113 19 5 4 Para a op o Strict R gida Seo Sentinel Link Integrator estiver no modo FIPS 140 2 voc deve copiar o arquivo etc opt novell sentinel config sentinel cer da m quina Sent
135. nados como strings definidos para o hor rio local da fonte de evento Essas informa es s o enviadas do Gerenciador de Coletor para o servidor Sentinel e ficam armazenadas no armazenamento de eventos O fuso hor rio em que o Gerenciador de Coletor e o servidor do Sentinel est o n o dever afetar esse processo ou os dados armazenados No entanto quando um cliente visualiza o evento em um navegador o EventTime UTC convertido para o hor rio local de acordo com o navegador portanto todos os eventos s o apresentados aos clientes no fuso hor rio local Se os usu rios quiserem ver o hor rio local da fonte poder o examinar os campos Observer TZ para obter detalhes Guia de instala o e configura o do NetIQ Sentinel 7 1 17 1 17 2 Configurando plug ins prontos para o uso Por padr o o Sentinel vem com v rios plug ins Este cap tulo fornece informa es sobre como configurar os plug ins prontos para o uso Secci n 17 1 Configurando os Solution Packs en la p gina 105 Secci n 17 2 Configurando os coletores conectores integradores e a es en la p gina 105 Configurando os Solution Packs O Sentinel acompanha uma ampla variedade de conte dos teis prontos para instalar que voc pode usar imediatamente para atender suas necessidades de an lise Muito desse conte do vem do Sentinel Core Solution Pack e do Solution Pack for ISO 27000 Series pr instalados Para obter mais informa es consult
136. nando dessa forma diferen as locais na implementa o como a causa do problema Requisitos do Sistema Ao alocar recursos do cluster para suportar uma instala o altamente dispon vel considere os seguintes requisitos Cada n de cluster que hospeda os servi os do Sentinel deve corresponder aos requisitos especificados em Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 Configurando o Sentinel para alta disponibilidade 135 A 4 Verifique se est dispon vel armazenamento compartilhado suficiente para os dados e aplicativo do Sentinel Um endere o IP virtual dos servi os que podem ser migrados de n a n no failover O instalador do Sentinel arquivo TAR com uma licen a v lida A Extens o de Alta Disponibilidade do SUSE Linux imagem ISO com uma licen a v lida Um dispositivo de armazenamento compartilhado que satisfa a s caracter sticas de desempenho e tamanho como documentado no Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 A solu o de exemplo usar uma VM SUSE Linux padr o configurada com destinos iSCSI como armazenamento compartilhado Dois n s de cluster m nimos que satisfa am aos requisitos do recurso para executar o Sentinel no ambiente do cliente A solu o de exemplo usar duas VMs SUSE Linux Um m todo para que os n s do cluster se comuniquem com o armazenamento compartilhado como o Fibre Channel para uma SAN A solu o de exemplo usar
137. nd rio opcional Pol ticas de reten o de dados pesquisas e relat rios funcionam em parti es de dados de evento independentemente se residem de fato em armazenamentos prim rios secund rios ou em ambos Armazenamento para arquivamento ou offline Quando as parti es s o fechadas voc pode fazer o backup delas para um armazenamento offline t o barato quanto armazenamento em massa Amazon Glacier etc Caso necess rio voc pode reimportar temporariamente parti es offline para an lises forense de longo termo Voc tamb m pode configurar o Sentinel para extrair dados de evento e resumos de dados de evento para um banco de dados externo usando pol ticas de sincroniza o de dados Para obter mais informa es consulte Configurando o armazenamento de dados no Guia de Administra o do NetIQ Sentinel 7 1 Como o Sentinel funciona 27 28 Guia de instala o e configura o do NetIQ Sentinel 7 1 Planejando a instala o do Sentinel Esta se o oferece orienta o sobre considera es de planejamento antes de instalar o Sentinel Se voc desejar instalar uma configura o que n o est identificada nas se es que seguem ou se tiver quaisquer perguntas entre em contato com o Suporte t cnico da NetIQ Cap tulo 3 Lista de verifica o da implementa o en la p gina 31 Cap tulo 4 Compreendendo as informa es da licen a en la p gina 33 Cap tulo 5 Atendendo aos req
138. ndo a instala o est conclu da o instalador exibe uma mensagem indicando que essa aplica o o Gerenciador de Coletor do Sentinel ou Mecanismo de Correla o do Sentinel dependendo do que voc escolheu instalar junto com o endere o IP Ela tamb m exibe o endere o IP da interface do usu rio do servidor do Sentinel Configura o p s instala o para a aplica o Ap s instalar o Sentinel voc precisa executar a configura o adicional para que a aplica o funcione adequadamente Secci n 12 4 1 Configura o do WebYaST en la p gina 89 Secci n 12 4 2 Criando parti es en la p gina 90 Secci n 12 4 3 Registrando para receber atualiza es en la p gina 90 Secci n 12 4 4 Configurando a aplica o com SMT en la p gina 91 Configura o do WebYaST A interface do usu rio da aplica o Sentinel equipada com WebYaST que um console remoto com base na Web para controlar aplica es baseadas no SUSE Linux Enterprise Voc pode acessar configurar e monitorar as aplica es do Sentinel com o WebYaST O procedimento a seguir descreve brevemente as etapas para configurar o WebYaST Para obter mais informa es sobre a configura o detalhada consulte o Guia do Usu rio do WebYaST http www novell com documentation webyast 1 Efetue login na aplica o do Sentinel 2 Clique em Aplica o 3 Configure o Servidor do Sentinel para receber atualiza es conforme
139. ndo qualquer arquivo ou dispositivo de blocos mas por quest o de simplicidade utilizaremos aqui um arquivo que criamos para esse fim As etapas de configura o a seguir s o muito similares s contidas em Configura o do armazenamento compartilhado Configura o do SBD Conecte se ao storage03 e inicie uma sess o de console Use o comando dd para criar um arquivo vazio de qualquer tamanho dd if dev zero of sbd count 1024 bs 1024 Neste caso criamos um arquivo de 1 MB preenchido com zeros copiado de dev zero pseudo device Configure esse arquivo como um Alvo iSCSI Execute o YaST da linha de comandos ou use a GUI se preferir sbin yast Selecione Network Services Servi os de Rede gt iSCSI Target Destino iSCSI Clique em Targets Destinos e selecione o destino existente Selecione Edit Editar A IU apresentar uma lista de LUNs unidades que est o dispon veis Selecione Add Adicionar para incluir uma nova LUN SS q BON Deixe o n mero da LUN como 2 Navegue na caixa de di logo Path Caminho e selecione o arquivo sbd que voc criou 7 Deixe as outras op es com as configura es padr o e selecione OK e Next Pr ximo e clique em Next Pr ximo novamente para selecionar as op es de autentica o padr o 8 Clique em Finish Terminar para sair da configura o Reinicie os servi os se necess rio Saia do YaST Nota As etapas a seguir requerem que cada n do cluster p
140. nel executado em modo FIPS 140 2 coloque o sistema remoto no modo FIPS 140 2 ou atualize o certificado do servidor do Sentinel para o sistema remoto e deixe o Gerenciador de coletor ou Mecanismo de correla o em modo n o FIPS Os Gerenciadores de Coletor remotos no modo FIPS talvez n o funcionem com origens de evento que n o suportam o FIPS ou que requerem um dos Conectores do Sentinel que ainda n o est ativado para FIPS Se voc n o pretende habilitar o modo FIPS 140 2 no Gerenciador de coletor ou Mecanismo de correla o remotos voc precisa copiar o ltimo certificado do servidor do Sentinel para o sistema remoto de modo que o Gerenciador de coletor ou Mecanismo de correla o possa se comunicar com o servidor do Sentinel Para atualizar o certificado do servidor do Sentinel no Gerenciador de Coletor ou Mecanismo de Correla o remoto 1 Efetue login no computador do Gerenciador de coletor ou Mecanismo de correla o remotos 2 Alterne para o usu rio novell su novell 3 Navegue para o diret rio bin O local padr o opt novell sentinel bin 4 Execute o script updateServerCert sh e siga as instru es na tela Operando o Sentinel no modo FIPS 140 2 111 19 5 Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 Esta se o fornece informa es sobre a configura o de diversos plug ins do Sentinel no modo FIPS 140 2 Nota Estas instru es presumem que o Sentinel est instalado no dire
141. nforma es sobre a atualiza o da aplica o veja Secci n 21 3 Atualizando o aplicativo usando SMT en la p gina 126 Parando e iniciando o servidor com o WebYaST E poss vel iniciar e parar o servidor Sentinel usando a interface da Web da seguinte forma 1 Efetue login na aplica o do Sentinel 2 Clique em Aplica o para iniciar o WebYaST 3 Clique em System Services Servi os de sistema 4 Para parar o servidor do Sentinel clique em parar 5 Para iniciar o servidor do Sentinel clique em iniciar Guia de instala o e configura o do NetIQ Sentinel 7 1 13 1 13 2 Instalando coletores e conectores adicionais Por padr o todos os Coletores e Conectores lan ados s o instalados quando voc instala o Sentinel Se desejar instalar um novo Coletor ou Conector liberado ap s a vers o do Sentinel use as informa es nas se es a seguir Secci n 13 1 Instalando um Coletor en la p gina 93 Secci n 13 2 Instalando um Conector en la p gina 93 Instalando um Coletor Siga as etapas abaixo para instalar um Coletor 1 Fa a o download do Coletor desejado do site na web de plug ins do Sentinel 2 Efetue login na interface da web do Sentinel em https lt endere o IP gt 8443 onde 8443 pe a porta padr o do servidor do Sentinel 3 Clique em aplica es na barra de ferramentas e em seguida em Aplica es 4 Clique em Iniciar o Control Center para iniciar o Sentinel Control C
142. nologias necess rias para gerenci las se tornarem inerentemente mais complexas Nossa filosofia Vender solu es inteligentes n o somente software Visando providenciar um controle seguro primeiro nos certificamos de que entendemos os cen rios do mundo real nos quais organiza es de TI como a sua operam todos os dias Somente dessa maneira podemos desenvolver solu es de TI pr ticas e inteligentes que geram com sucesso resultados comprovados e mensur veis E isso muito mais recompensador do que simplesmente vender software Promover seu sucesso nossa paix o O seu sucesso encontra se no mago de como fazemos neg cios Desde os primeiros esbo os at a implanta o de um produto n s compreendemos que voc precisa de solu es de TI que funcionem bem e se integrem perfeitamente com seus investimentos existentes suporte cont nuo e treinamento p s implanta o bem como algu m com quem trabalhar seja verdadeiramente f cil o que sabemos que n o muito comum Em ltima an lise quando voc bem sucedido todos n s somos bem sucedidos Nossas solu es Governan a de acesso e identidade Gerenciamento de acesso Gerenciamento de seguran a Gerenciamento de aplicativos e sistemas Sobre a NetIQ Corporation 11 12 Gerenciamento de carga de trabalho Gerenciamento de servi os Entrando em contato com o Suporte a vendas Para esclarecer d vidas sobre produtos pre os e recursos e
143. nte nao visa m dio em grande Ea produ agente aarand o m dia g 84 pronto para uso 0 usadas Quantas Influenciao uso O pronto para uso regras de do CPU e da correla o mem ria do complexas mecanismo de ser o correla o usadas Distribui o CE embutido local todas as regras do mecanismo de correla o CE Em quantos O n mero de 1 0 conjuntos de pain is de dados a Intelig ncia de 1 do fluxo do detec o de seguran a que evento cada anomalia influencia a ser CPU o realizada tamanho do armazenament o local e o uso da mem ria Guia de instala o e configura o do NetIQ Sentinel 7 1 Extra grande Entre em contato com os Servi os da NetIQ 5 5 Tudo Coleta Coleta de emum lutudo dados Tudo dados u u aus Descri o Rai em um baseada em um ta ra e nao visa m dio em grande distribu d produ agente o m dia a grande Alta disponibilidade Notas Desativa o de Dados Dados Entre em funcionalidades n o n o contato not veis ou processa processad com os alertas sobre o dos os Servi os que acontece desativad desativad da NetIQ ao exceder a os os carga do sistema Correla Correla descrita acima oe oe Intelig nci Intelig nci a de a de seguran seguran a n o a n o usados usados Relat rios Relat rios em 30k de eventos quantidad causam es de instabilida
144. ntinel 7 1 Verificando a instala o E poss vel determinar se a instala o ser bem sucedida executando um dos seguintes procedimentos Verifique a vers o do Sentinel etc init d sentinel version Verifique se os servi os do Sentinel est o ativos e em execu o etc init d sentinel status Verifique se os servi os web est o ativos e em execu o netstat an grep LISTEN grep lt HTTPS port number gt O n mero de porta padr o 8443 Acesse a interface da web do Sentinel 1 Ative um browser da Web suportado 2 Especifique o URL da interface da web do Sentinel https lt IP Address DNS Sentinel server 8443 gt O lt endere o IP servidor DNS do Sentinel gt o endere o IP ou o nome DNS do servidor do Sentinel e 8443 a porta padr o para o servidor do Sentinel 3 Efetue login com o nome do administrador e senha especificados durante a instala o O nome de usu rio padr o admin Verificando a instala o 95 96 Guia de instala o e configura o do NetIQ Sentinel 7 1 Estrutura de diret rios do Sentinel Por padr o os diret rios do Sentinel est o nos seguintes locais Os arquivos de dados ficam nos diret rios var opt novell sentinel data e var opt novell sentinel 3rdparty Os execut veis e as bibliotecas ficam armazenadas nos seguintes diret rios opt novell sentinel bin opt novell sentinel setup opt novell sentinel 3rdparty Arquivos de registro est o
145. ntinel install directory gt config webserverkeystore jks storepass password file lt certificate name cer gt 3 Copie o certificado de origem sentinel cer da pesquisa distribu da para um local tempor rio no computador de destino da pesquisa distribu da 4 Efetue login no computador de destino da pesquisa distribu da 5 Importe o certificado de origem para o keystore FIPS do Sentinel de destino Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 6 Reinicie os servi os do Sentinel no computador de destino Cen rio 3 o servidor de origem do Sentinel est em modo FIPS e o servidor de destino do Sentinel est em modo n o FIPS 1 Efetue login no computador de destino da pesquisa distribu da 2 Crie a keystore do servidor Web em formato de certificado cer lt sentinel install directory gt jre bin keytool export alias webserver keystore lt sentinel install directory gt config webserverkeystore jks storepass password file lt certificate name cer gt 3 Copie o certificado para um local tempor rio no computador de origem da pesquisa distribu da 4 Importe o certificado de destino para a keystore do FIPS do Sentinel de origem Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 5 Reinicie os servi
146. ntre em contato com seu parceiro local Se n o for poss vel entrar em contato com seu parceiro entre em contato com nossa equipe de Suporte a vendas Mundial www netig com about netiqg officelocations asp Estados Unidos e Canad 1 888 323 6768 E mail info netiq com Site na Web www netiq com Entrando em contato com o Suporte t cnico Para quest es sobre produtos espec ficos entre em contato com nossa equipe de Suporte t cnico Mundial www netiq com support contactinfo asp Am rica do Norte e do Sul 1 713 418 5555 Europa Oriente M dio e frica 353 0 91 782 677 E mail support netiq com Site na Web www netiq com support Entrando em contato com o Suporte de documenta o Nosso objetivo fornecer uma documenta o que atenda s suas necessidades Se voc tem sugest es de melhorias clique em Adicionar coment rio na parte inferior de qualquer p gina nas vers es em HTML da documenta o publicada em www netig com documentation Voc tamb m pode enviar um e mail para Documentation FeedbackOnetiq com N s valorizamos sua opini o e aguardamos seu contato Entrando em contato com a comunidade online de usu rios A Qmunity a comunidade online da NetIQ um rede colaborativa que conecta voc seus colegas e os especialistas da NetIQ Fornecendo mais informa es imediatas links para recursos teis e acesso aos especialistas da NetIQ a Qmunity ajuda a garantir que voc domine os conhecimentos de que
147. o Certifique se de que a op o Atribuir nome do host ao IP de loopback esteja selecionada Selecione Avan ar As configura es de nome de host s o gravadas Siga um destes procedimentos Para usar as configura es atuais de conex o da rede selecione Usar a seguinte configura o na tela Configura o de Rede II Para mudar as configura es de conex o de rede selecione Mudar e fa a as mudan as desejadas Instala o da aplica o 87 12 3 2 88 12 13 14 15 16 17 18 19 20 21 Selecione Avan ar As configura es de conex o da rede ser o gravadas Defina a data e o hor rio e clique em Avan ar Para mudar a configura o NTP ap s a instala o use YaST na linha de comando da aplica o O WebYast pode ser usado para mudar a data e o hor rio mas n o a configura o NTP Se o hor rio estiver fora de sincronia imediatamente ap s a instala o execute o seguinte comando para reiniciar o NTP rentp restart Defina a senha root e clique em Avan ar Configure a senha do administrador do Sentinel e em seguida clique em Avan ar Digite o nome de usu rio e a senha no console para efetuar login na aplica o O valor padr o para o nome de usu rio root e a senha a senha definida em Paso 14 Pare o servidor do Sentinel service sentinel stop Insira o seguinte comando para redefinir a IU para uma exibi o clara no YaST reset Para instalar a aplica o no servi
148. o entre n s do cluster manualmente via LDAP ou similar assegurando que a sincroniza o aconte a antes das instala es subsequentes Neste caso o instalador detectar a presen a da conta do usu rio e usar a existente Assista a sa da das instala es aut nomas subsequentes um aviso ser emitido se a conta do usu rio n o puder ser criada com o mesmo ID de usu rio 1 Conecte se a cada n de cluster adicional node02 e abra uma janela do console 2 Execute o que segue cd tmp scp rootenode01 tmp sentinel server tar gz scp rootenode01 tmp install props tar xvzf sentinel server tar gz Guia de instala o e configura o do NetIQ Sentinel 7 1 A 4 4 A 4 5 install sentinel no start cluster node unattended tmp install props cd insserv r sentinel No fim deste processo o Sentinel dever estar instalado em todos os n s mas provavelmente ele n o funcionar corretamente em nenhum deles exceto no primeiro at que v rias chaves sejam sincronizadas o que acontecer quando configurarmos os recursos do cluster Instala o do cluster Instale o software do cluster em cada n e registre cada n do cluster com o gerenciador de cluster Os procedimentos a serem executados variar o dependendo da implementa o do cluster mas no final do processo cada n do cluster dever aparecer no console de gerenciamento do cluster Para nossa solu o de exemplo configuraremos a Extens o de Al
149. o hor rio em formato longo ou deslocamentos forem utilizados ser poss vel fazer a convers o para UTC e obter o hor rio can nico UTC absoluto armazenado em DeviceEventTime por m tamb m poss vel calcular os campos Observer TZ de hor rio local Se um ID em formato curto do fuso hor rio for usado h algum potencial para conflitos O terceiro cen rio requer que o administrador defina manualmente o fuso hor rio da fonte de evento para todas as fontes afetadas de modo que o Sentinel possa calcular corretamente o hor rio UTC Se o fuso hor rio n o for adequadamente especificado ao editar o n da Fonte de Evento no Gerenciador de Fontes de Evento ent o o DeviceEventTime e provavelmente o EventTime poder estar incorreto al m disso Observer TZ e os campos associados poder o estar incorretos Em geral o Coletor para um dado tipo de fonte de evento como o Microsoft Windows sabe como uma fonte de evento apresenta marca es de hora e faz os ajustes necess rios sempre uma boa pol tica definir manualmente o fuso hor rio para todos os n s de Fonte de Evento no Gerenciador de Fontes de Evento a n o ser que voc saiba que a fonte de evento informa o hor rio local e sempre inclui o fuso hor rio na marca o de hora Processar a apresenta o da marca o de hor rio da fonte de evento ocorre no Coletor e no Gerenciador de Coletor DeviceEventTime e EventTime s o armazenados como UTC e os campos ObserverTZ s o armaze
150. o para outros sistemas Sentinel para executar a pesquisa distribu da Se a autentica o LDAP for usada a porta iniciar uma conex o ao servidor LDAP Se o armazenamento de rede estiver configurado para usar o NFS Se o armazenamento de rede estiver configurado para usar o CIFS Se a sincroniza o de dados for usada a porta iniciar uma conex o para o banco de dados de destino usando JDBC A porta usada depende do banco de dados de destino Inicia uma conex o ao servidor de e mail Quando o Sentinel encaminha eventos para outro sistema Sentinel essa porta inicia uma conex o do Sentinel Link para esse sistema Quando o Sentinel encaminha eventos para o sistema que est recebendo a detec o de SNMP a porta envia um pacote para o receptor Essa porta usada quando o Sentinel encaminha eventos para o sistema que est recebendo mensagens Syslog Se a porta UDP ela envia um pacote para o receptor Se a porta TCP ela inicia uma conex o ao receptor Portas espec ficas da aplica o do Sentinel Server Em adi o s portas acima as seguintes portas est o abertas para a aplica o Portas TCP 22 TCP 54984 TCP 289 UDP 443 UDP 514 Dire o Interno Interno Interno Interno Interno Necess ria opcional Obrigat rio Obrigat rio Opcional Opcional Opcional Descri o Usada para fornecer acesso seguro ao shell para a aplica o do Sentinel Usadas pelo
151. o recurso s s sessa as udaan rara 146 A 4 7 Configura o do armazenamento de rede n aanu aa aaaea 147 A 5 Backup e recupera o sunssnrunanenrurarr re rraranr rnanan nran nannan 148 A 5 1 BACKUD s niren aei e e A A EN a TS R N A 148 Guia de instala o e configura o do NetIQ Sentinel 7 1 A52 da Plate Spin sussa eana De SRA SEU Rad Ep ET STS SD SAE E ca 149 B Solucionando problemas da instala o 151 B 1 Falha na instala o devido a configura o de rede incorreta u s sasaaa ruarena 151 B 2 O UUID n o criado para Gerenciadores de Coletor em imagens nem para Mecanismos de Correla o suis umenpa ds o ES Da e ASS SGD ENE ara dos E Rat To pas Ad 151 C Desinstalando 153 C 1 Lista de verifica o da desinstala o iciciciiciiisiis rr 153 C 2 Desinstalando o Sentinel cccccc e a 153 C 2 1 Desinstalando o Sentinel Server ccciciiscs ee 153 C 2 22 Desinstalando o Gerenciador de Coletor ou Mecanismo de Correla o 154 C 3 Tarefas p s desinstala o cccicci e a e E E 154 ndice 7 Guia de instala o e configura o do NetIQ Sentinel 7 1 Sobre este livro e a biblioteca O Guia de instala o e configura o fornece uma introdu o ao NetIQ Sentinel e explica como instalar e configurar o Sentinel P blico alvo Este guia destina se a administradores e consultores do Sentinel Outras informa es na biblioteca A biblioteca fornece os
152. ocesso do servidor do Sentinel usando o JMX Java Management Extensions Usada para conex es de auditoria Usada para mensagens syslog Usada para comunica o HTTPS Usada para mensagens syslog criptografas por SSL Usada para conex es de entrada dos Gerenciadores de Coletor e os Mecanismos de Correla o Usadas pelo Sentinel Control Center e pelo Designer de Solu es Usada para mensagens syslog Usadas pelos Gerenciadores de Coletor remotos para conectar ao servidor por meio do proxy SSL No entanto isso incomum Por padr o os Gerenciadores de Coletor remotos usam a porta SSL 61616 para conectar ao servidor Guia de instala o e configura o do NetIQ Sentinel 7 1 7 1 3 Portas TCP 443 TCP 8443 TCP 389 ou 636 TCP UDP 111 e TCP UDP 2049 TCP 137 138 139 445 TCP JDBC dependente do banco de dados TCP 25 TCP 1290 UDP 162 UDP 514 ou TCP 1468 Dire o Sa da Externo Externo Externo Externo Externo Externo Externo Externo Externo Necess ria opcional Opcional Opcional Opcional Opcional Opcional Opcional Opcional Opcional Opcional Opcional Descri o Se o Consultor for usado a porta iniciar uma conex o ao servi o do Consultor pela Internet para o URL de atualiza es do Consultor https secure www novell com sentinel download advisor Se a pesquisa distribu da for usada a porta iniciar uma conex
153. om bastante aten o Para fazer altera es no seu licenciamento contate o gerente da sua conta Para adicionar a chave de licen a ao sistema veja no Guia de Administra o do NetIQ Sentinel 7 1 Compreendendo as informa es da licen a 33 34 Guia de instala o e configura o do NetIQ Sentinel 7 1 5 1 Atendendo aos requisitos do sistema Este cap tulo fornece informa es sobre os requisitos de hardware sistema operacional e navegador do Sentinel Secci n 5 1 Sistemas operacionais e plataformas suportados en la p gina 35 Secci n 5 2 Plataformas de banco de dados suportadas en la p gina 36 Secci n 5 3 Browsers suportados en la p gina 36 Secci n 5 4 Informa es de dimensionamento do sistema en la p gina 37 Secci n 5 5 Planejamento de parti es para armazenamento de dados en la p gina 49 Secci n 5 6 Requisitos do sistema do Conector e do Coletor en la p gina 50 Secci n 5 7 Ambiente virtual en la p gina 50 Sistemas operacionais e plataformas suportados O NetIQ compat vel com o Sentinel nos sistemas operacionais descritos nesta se o O NetIQ tamb m compat vel com o Sentinel em sistemas com atualiza es secund rias a esses sistemas operacionais como patches de seguran a ou hotfixes No entanto o NetIQ n o suporta a execu o do Sentinel em sistemas com atualiza es importantes nesses sistemas operacionais at que o
154. onsistente de monitorar os recursos que devem ser altamente dispon veis junto com quaisquer recursos dos quais sejam dependentes O SLE HAE usa um componente chamado Agente de Recurso para executar esse monitoramento o trabalho do Agente de Recurso deve fornecer o status de cada recurso al m de quando perguntado iniciar ou parar o recurso Os Agentes de Recurso devem fornecer um status confi vel para recursos monitorados para prevenir tempo de espera desnecess rio Falsos positivos quando um recurso considerado como tendo falhado mas pode na verdade recuperar se por conta pr pria podem causar a migra o do servi o e tempo de espera relacionado quando n o s o de fato necess rios e falsos negativos quando o Agente de Recurso reporta que um recurso est funcionando mas na verdade ele n o est funcionando corretamente podem impedir o uso adequado do servi o Por outro lado o monitoramento externo de um servi o pode ser um tanto dif cil uma porta de servi o da web pode responder a um simples ping por exemplo mas pode n o fornecer dados corretos quando uma consulta real emitida Em muitos casos a funcionalidade de autoteste deve estar integrada no pr prio servi o para fornecer uma media o verdadeiramente precisa Essa solu o fornece um Agente de Recurso OCF para Sentinel que pode monitorar uma falha principal do hardware sistema operacional ou sistema do Sentinel A essa altura os recursos de monitora
155. ornecer uma integra o bidirecional com sistemas de comunica o de problemas O Sentinel permite que voc reaja prontamente e resolva incidentes de forma eficiente Para obter mais informa es consulte Configurando incidentes no Guia do usu rio do NetIQ Sentinel 7 1 Guia de instala o e configura o do NetIQ Sentinel 7 1 2 8 2 9 2 10 Fluxos de trabalho do iTrac Os fluxos de dados iTRAC foram projetados para fornecer uma solu o simples e flex vel de automatiza o e monitoramento dos processos de resposta a incidentes em uma empresa O iTRAC aproveita o sistema interno de incidentes do Sentinel para monitorar problemas de seguran a ou do sistema desde a identifica o atrav s de regras de correla o ou de identifica o manual at a solu o Os workflows podem ser criados usando etapas manuais ou autom ticas Recursos avan ados como ramifica o escalonamento em tempo real e vari veis locais s o suportados A integra o com scripts e plug ins externos permite uma intera o flex vel com sistemas de terceiros A gera o de relat rios abrangente permite que os administradores compreendam e ajustem os processos de resposta a incidente Para obter mais informa es consulte a se o Configurando fluxos de trabalho do iTRAC no Guia do usu rio do NetIQ Sentinel 7 1 A es e integradores No Sentinel as a es executam manual ou automaticamente algum tipo de a o como enviar um e
156. ossa resolver o nome do host de todos os outros n s do cluster o servi o de sincroniza o de arquivo csync2 falhar se esse n o for o caso Se o DNS n o estiver configurado ou dispon vel adicione entradas para cada host ao arquivo etc hosts que lista cada IP e seu nome de host como informado pelo comando hostname Este procedimento deve expor um Destino iSCSI para o dispositivo SBD no servidor no endere o IP 10 0 0 3 storage03 Node Configuration Configura o do n Conecte a um n do cluster node01 e abra um console 1 Execute o YaST 2 Abra Network Services Servi os de Rede gt iSCSI Initiator Iniciador iSCSI 3 Selecione Connected Targets Destinos Conectados e em seguida o iSCSI Target Destino iSCSI que voc configurou acima 4 Selecione a op o Log Out Efetuar logout e efetue logout do Destino Guia de instala o e configura o do NetIQ Sentinel 7 1 5 Alterne para a guia Discovered Targets Destinos Descobertos selecione o Target Destino e efetue login novamente para atualizar a lista de dispositivos deixe a op o automatic startup inicializa o autom tica e No Authentication Sem Autentica o 6 Selecione OK para sair da ferramenta Iniciador iSCSI 7 Abra System Sistema gt Partitioner Particionador e identifique o dispositivo SBD como o IET VIRTUAL DISK de 1 MB Ele ser listado como dev sdd ou similar anote qual 8 Saia do YaST 9 Execute o comando 1s 1
157. para o uso para coleta de dados e cria o de relat rios Instalando coletores e conectores adicionais no seu ambiente conforme necess rio Instalando Gerenciadores de coletor e Mecanismos de correla o adicionais no seu ambiente conforme necess rio Use a lista de verifica o a seguir para concluir o planejamento instala o e configura o do Sentinel Consulte Parte Compreendendo o Sentinel en la p gina 13 Cap tulo 4 Compreendendo as informa es da licen a en la p gina 33 Cap tulo 5 Atendendo aos requisitos do sistema en la p gina 35 Secci n 9 1 Vantagens de Gerenciadores de Coletor adicionais en la p gina 68 e Secci n 9 2 Vantagens dos mecanismos de correla o adicional en la p gina 68 Parte III Instalando o Sentinel en la p gina 65 Cap tulo 16 Configurando o hor rio en la p gina 101 Cap tulo 17 Configurando plug ins prontos para o uso en la p gina 105 Cap tulo 13 Instalando coletores e conectores adicionais en la p gina 93 Secci n 11 6 Instalando Gerenciadores de Coletor e Mecanismos de Correla o adicionais en la p gina 78 Lista de verifica o da implementa o 31 32 Guia de instala o e configura o do NetIQ Sentinel 7 1 4 1 4 2 Compreendendo as informa es da licen a O Sentinel tem v rias licen as que podem ser usadas Por padr o o Sentinel vem com a licen
158. plug ins do Sentinel para execu o em modo FIPS 140 2 en la p gina 112 Secci n 19 6 Importando certificados para o banco de dados de keystore do FIPS en la p gina 118 Secci n 19 7 Revertendo o Sentinel para o modo n o FIPS en la p gina 118 Configurando o servido do Consultor em modo FIPS 140 2 O servi o do Advisor usa uma conex o HTTPS segura para fazer download de seu feed do servidor do Advisor O certificado usado pelo servidor para comunica o segura precisa ser adicionado ao banco de dados de keystore do Sentinel FIPS Para verificar o registro bem sucedido com o banco de dados Resource Management 1 Fa a download do certificado no servidor do Advisor e salve o arquivo como advisor cer 2 Importe o certificado do servidor do Consultor para o keystore do Sentinel FIPS Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 Configurando a pesquisa distribu da em modo FIPS 140 2 Esta se o fornece informa es sobre como configurar a pesquisa distribu da em modo FIPS 140 2 Cen rio 1 tanto o servidor de destino quando de origem do Sentinel est o em modo FIPS 140 2 Para possibilitar pesquisas distribu das em m ltiplos servidores do Sentinel executados em modo FIPS 140 2 preciso adicionar os certificados usados para a comunica o segura com a keystore do FIPS 1 Efetue login no
159. pre inclui o fuso hor rio na marca o de hor rio Por exemplo qualquer fonte de eventos que siga a RFC3339 ao estruturar marca es de tempo incluem o fuso hor rio como deslocamento outras fontes informam IDs longos de fuso hor rio como Am rica Nova Iorque ou IDs curtos de fuso hor rio como EST o que pode apresentar problemas por causa de conflitos e resolu es inadequadas A fonte de eventos informa o hor rio local mas n o indica o fuso hor rio Infelizmente o formato do syslog extremamente comum segue esse modelo No primeiro cen rio poss vel calcular o hor rio UTC absoluto em que um evento ocorreu presumindo que um protocolo de sincroniza o de hor rio esteja em uso para que voc possa facilmente comparar o hor rio daquele evento a qualquer outra fonte de eventos no mundo No entanto n o poss vel determinar automaticamente qual era o hor rio local quando o evento ocorreu Por esse motivo o Sentinel permite que os clientes definam manualmente o fuso hor rio de uma fonte de evento adicionando o n Fonte de Eventos no Gerenciador de Fontes de evento e Configurando o hor rio 103 104 especificando o fuso hor rio apropriado Essa informa o n o afeta o c lculo de DeviceEventTime ou EventTime mas colocada no campo ObserverTZ e usada para calcular os v rios campos ObserverTZ como Observer TZHour Esses campos s o sempre expressos em hor rio local No segundo cen rio se os IDs de fus
160. precisa para utilizar todo o potencial dos investimentos de TI dos quais depende Para obter mais informa es visite http community netiq com Guia de instala o e configura o do NetIQ Sentinel 7 1 Compreendendo o Sentinel Esta se o fornece informa es detalhadas sobre o que o Sentinel e como ele fornece uma solu o de gerenciamento de eventos para sua organiza o Cap tulo 1 O que o Sentinel en la p gina 15 Cap tulo 2 Como o Sentinel funciona en la p gina 19 Compreendendo o Sentinel 13 14 Guia de instala o e configura o do NetIQ Sentinel 7 1 1 1 O que o Sentinel O Sentinel uma solu o de gerenciamento de seguran a informa es e eventos SIEM al m de uma solu o de monitoramento de conformidade Ele monitora automaticamente os ambientes de TI mais complexos e fornece a seguran a necess ria para proteger seu ambiente de TI Secci n 1 1 Desafios em proteger um ambiente de TI en la p gina 15 Secci n 1 2 A solu o fornecida pelo Sentinel en la p gina 16 Desafios em proteger um ambiente de TI A complexidade dos ambientes de TI geram grandes desafios para a seguran a das informa es Existem diversos aplicativos bancos de dados mainframes esta es de trabalho e servidores todos com registros de eventos Voc tamb m possui dispositivos de seguran a e de infraestrutura de rede que tamb m registram o que acontece no seu am
161. r os par metros de instala o durante a instala o interativa e depois executar o arquivo registrado nos outros servidores poss vel gravar os par metros de instala o durante a instala o do Sentinel com a configura o padr o ou uma configura o personalizada Para realizar a instala o silenciosa voc deve ter gravado os par metros de instala o em um arquivo Para obter informa es sobre a cria o do arquivo de resposta consulte Secci n 11 2 1 Instala o padr o en la p gina 72 ou Secci n 11 2 2 Instala o Personalizada en la p gina 73 Para habilitar o Sentinel no modo FIPS 140 2 certifique se de que o arquivo de resposta inclua os seguintes par metros ENABLE FIPS MODE NSS DB PASSWORD Para executar uma instala o silenciosa use as seguintes etapas Fa a download dos arquivos de instala o na p gina Downloads da Novell 2 Efetue login como root no servidor em que deseja instalar o Sentinel 3 Especifique o seguinte comando para extrair os arquivos de instala o do arquivo tar tar zxvf lt install filename gt Substitua lt nome arquivo instala o gt pelo nome real do arquivo de instala o 4 Especifique o seguinte comando para instalar o Sentinel em modo silencioso install sentinel u lt response file gt A instala o prossegue com os valores armazenados no arquivo de resposta 5 Se voc optou por ativar o modo FIPS 140 2 conclua a configura o do
162. rar o produto ap s a instala o Especifica para n o iniciar ou reiniciar o Sentinel depois da instala o ou configura o Especifica um arquivo para registrar os par metros que podem ser usados para instala o independente Usa os par metros do arquivo especificado para instalar o Sentinel em sistemas independentes Exibe as op es que podem ser usadas durante a instala o do Sentinel Registra mensagens de log em um arquivo Suprime a exibi o da mensagem de faixa Exibe nenos mensagens Exibe todas as mensagens durante a instala o Instala o tradicional 71 11 2 11 2 1 Executando instala es interativas Esta se o fornece informa es sobre instala o padr o e personalizada Secci n 11 2 1 Instala o padr o en la p gina 72 Secci n 11 2 2 Instala o Personalizada en la p gina 73 Instala o padr o Use as seguintes etapas para executar uma instala o padr o 1 Fa a download do arquivo de instala o do Sentinel na p gina Downloads da Novell http download novell com index jsp ta No campo Produto ou tecnologia navegue para selecionar SIEM Sentinel 1b Clique em Pesquisar 1c Clique no bot o na coluna Download para Avalia o do Sentinel 7 1 1d Clique em continuar com o download e especifique seu nome e senha de cliente 1e Clique em download para obter a vers o de instala o para sua plataforma Especifique na linha de comando o seg
163. ras ASCII mai sculas caracteres ASCII n o alfanum ricos e caracteres n o ASCII Se uma letra ASCII mai scula for o primeiro caractere ou um d gito for o ltimo caractere eles n o ser o contados 15b Se voc deseja inserir certificados externos no banco de dados de keystore para estabelecer confian a pressione s e especifique o caminho para o arquivo de certificado Caso contr rio pressione n 15c Conclua a configura o do modo FIPS 140 2 seguindo as tarefas mencionadas no Cap tulo 19 Operando o Sentinel no modo FIPS 140 2 en la p gina 109 A instala o do Sentinel conclu da e o servidor iniciado Poder levar alguns minutos at que todos os servi os sejam iniciados depois da instala o pois o sistema executa uma inicializa o de uma nica vez Aguarde at que a instala o termine antes de efetuar login no servidor Para acessar a interface da web do Sentinel especifique o seguinte URL no seu navegador https lt IP Address Sentinel server gt 8443 O lt endere o IP servidor Sentinel gt o endere o IP ou o nome DNS do servidor do Sentinel e 8443 a porta padr o para o servidor do Sentinel Guia de instala o e configura o do NetIQ Sentinel 7 1 11 3 11 4 Realizando uma instala o silenciosa A instala o silenciosa ou aut noma ser til se for necess rio instalar mais de um servidor do Sentinel em sua implanta o Em cen rios como esse voc pode registra
164. resa documenta monitora e gera relat rios sobre controles de seguran a Fornecer monitoramento de conformidade e programas de relat rios prontos e Gerar a visibilidade e o controle exigidos para avaliar continuamente o xito dos programas de conformidade e de seguran a da sua empresa O que o Sentinel 17 O Sentinel automatiza os processos de gera o de relat rios an lise e coleta de registros para garantir que os controles de TI sejam eficazes no suporte detec o de amea as e aos requisitos de auditoria O Sentinel fornece monitoramento automatizado de eventos de seguran a eventos de conformidade e controles de TI permitindo que voc tome medidas imediatas quando ocorre viola o na seguran a ou eventos de n o conformidade Ele tamb m permite que voc colete informa es resumidas sobre o seu ambiente para comunicar a situa o geral da seguran a aos principais acionistas 18 Guia de instala o e configura o do NetIQ Sentinel 7 1 Como o Sentinel funciona O Sentinel gerencia as informa es e os eventos de seguran a de forma cont nua em todo o ambiente de TI para garantir uma solu o de monitoramento completa O Sentinel faz o seguinte Re ne informa es de registros eventos e seguran a de todas as diferentes fontes de eventos presentes em seu ambiente de TI Padroniza as informa es de registros eventos e seguran a reunidas em um formato comum Armazena eventos em um reposit
165. ret rio lt install dir gt etc opt novell sentinel config Adicione os novos nomes de usu rio separados por v rgula como segue Para o Gerenciador de Coletor adicione os novos usu rios na se o cm Por exemplo Instala o tradicional 79 cm collectormanager cmuserl cmuser2 Para o Mecanismo de Correla o adicione os novos usu rios na se o admins Por exemplo admins system correlationengine ceuserl ceuser2 4 Grave e feche o arquivo Abra o arquivo activemqusers properties Esse arquivo est localizado no diret rio lt install dir gt etc opt novell sentinel config 6 Adicione a senha para o usu rio que voc criou em Paso 3 A senha pode ser qualquer string aleat rio Por exemplo Para os usu rios do Gerenciador de Coletor system c7f34372ecd20d831cceb29e754e5ac9 collectormanager lc5lae56 cmuserl 1b5lde55 cmuser2 1a5lce5 7 Para os usu rios do Mecanismo de Correla o system c7f34372ecd20d831cceb29e754e5ac9 correlationengine 68790d7a ceuserl 69700c6d ceuser2 70701b5c 7 Grave e feche o arquivo 8 Reinicie o servidor do Sentinel 80 Guia de instala o e configura o do NetIQ Sentinel 7 1 12 1 12 1 1 Instala o da aplica o A aplica o Sentinel uma aplica o de software pronta para execu o integrada no SUSE Studio A aplica o combina um sistema operacional SUSE Linux Enterprise Server SLES 11 SP 2 robusto e o servi o de atualiza o integrado
166. rio de dados baseado em arquivo com pol ticas flex veis e personaliz veis de reten o de dados Fornece a capacidade de vincular hierarquicamente v rios sistemas Sentinel incluindo o Sentinel Log Manager Permite pesquisar eventos n o apenas no servidor Sentinel local mas tamb m em outros servidores Sentinel distribu dos no mundo Realiza uma an lise estat stica que permite definir uma linha de base e depois compar la ao que est acontecendo a fim de determinar se h problemas que passaram despercebidos Correlaciona um conjunto de eventos semelhantes ou compar veis em determinado per odo para estabelecer um padr o Organiza os eventos por incidente a fim de viabilizar gerenciamento de resposta e monitoramento eficientes e Fornece relat rios com base em eventos em tempo real e hist ricos A figura a seguir ilustra o funcionamento do Sentinel Como o Sentinel funciona 19 Figura 2 1 Arquitetura do Sentinel y Armazenamento de Terceiros Outros Sistemas Sentinel Armazenamento Armazenamento Local de Rede Servidor Sentinel Pesquisa Correla o Tend ncia Corre o de Fluxos de A es e Distribuida e An lise Incidente Trabalho iTRAC Integradores Console da Web Mecanismo de Correla o do Sentinel Gerenciador de Coletor Computador Central do Agent Manager Coletor ANALISAR NORMALIZAR TAXONOMIA RELEV NCIA DO NEG CIO lt DETEC O DE EXPLORA O Cone
167. rio do JMS que o nome de usu rio do Gerenciador de Coletor ou Mecanismo de Correla o Especifique a senha do usu rio do JMS Clique em Avan ar O nome de usu rio e a senha est o armazenados no arquivo lt install dir gt etc opt novell sentinel config activemgusers properties localizado no servidor do Sentinel Guia de instala o e configura o do NetIQ Sentinel 7 1 12 4 12 4 1 7 Para verificar a senha veja a seguinte linha no arquivo activemqusers properties Para o Gerenciador do Coletor collectormanager lt password gt Nesse exemplo collectormanager o nome de usu rio e o valor correspondente a senha Para o Mecanismo de Correla o correlationengine lt password gt Nesse exemplo correlationengine o nome de usu rio e o valor correspondente a senha 8 Para instalar a aplica o no servidor f sico assegure se de que a caixa de sele o Instalar aplica o do Sentinel no disco r gido apenas para imagem do Live DVD esteja selecionada Essa caixa de sele o fica marcada por padr o Se voc anular a sele o dessa caixa de sele o a aplica o n o ser instalada no servidor f sico e executar apenas no modo LIVE DVD 9 Quando solicitado aceite o certificado 10 Insira yes sim ou y s para ativar o modo FIPS 140 2 no Sentinel e continue com a configura o do FIPS 11 Continue com a instala o como avisado at que a instala o esteja conclu da Qua
168. rp sentinelip sentinelfs sentinelnetfs sentineldb sentinelserver crm resource start sentinelgrp 4 Voc pode se conectar ao n que hospeda atualmente os recursos usar crm status ou Hawk e assegurar que o armazenamento de rede esteja devidamente montado usar o comando mount 5 Efetue login na interface da web do Sentinel 6 Selecione Storage Armazenamento e Configuration Configura o e selecione SAN locally mounted SAN localmente montada debaixo do Armazenamento de rede n o configurado 7 Digite o caminho no qual o armazenamento de rede est montado por exemplo var opt netdata A solu o de exemplo usa vers es simples dos recursos necess rios por exemplo Agente de Recurso Filesystem Sistema de arquivos os clientes podem optar por usar recursos de cluster mais sofisticados como cLVM uma vers o de volume l gico do sistema de arquivos se desejarem Backup e recupera o O cluster de failover altamente dispon vel neste documento fornece um n vel de redund ncia assim se o servi o falhar em um n no cluster ele automaticamente alternar e ser recuperado no outro n no cluster Quando um evento como esse acontece importante recolocar o n com falha em um estado operacional de modo que a redund ncia no sistema possa ser restaurada e haja prote o no caso de outra falha Esta se o fala sobre como restaurar o n com falha em uma variedade de condi es de falha Secci n A 5 1 Bac
169. rted node01 sentinelfs ocf heartbeat Filesystem Started node01 sentineldb ocf novell pgsql Started node01 sentinelserver ocf novell sentinel Started node01 A esta altura os recursos relevantes do Sentinel devem estar configurados no cluster Voc pode examinar como eles est o configurados e agrupados na ferramenta de gerenciamento do cluster por exemplo executando o status do crm Configura o do armazenamento de rede Como a etapa final deste processo configure o armazenamento de rede de modo que o Sentinel possa migrar as parti es de evento para um armazenamento menos oneroso Isso opcional e na verdade o armazenamento de rede n o precisa ser feito altamente dispon vel do mesmo modo que o resto do sistema voc pode usar qualquer diret rio montado de uma SAN ou n o ou volume NFS ou CIFS Clique em Storage Armazenamento na barra de menu superior e selecione Configuration Configura o em seguida selecione um dos bot es de op o debaixo do armazenamento de rede n o configurado para configur lo Solu o de exemplo A solu o de exemplo usar um Destino iSCSI simples como um local de armazenamento compartilhado de rede em muito a mesma configura o que o armazenamento local Nas implementa es de produ o isso ser provavelmente tecnologias de armazenamento diferentes Use o procedimento a seguir para configurar o armazenamento de rede a ser usado pelo Sentinel Nota Como us
170. rvi os do Windows Event Collection WECS cliente que est o tentando enviar os dados Abrir permite todas as conex es SSL provenientes do WECS cliente N o executa nenhuma valida o ou autentica o de certificado de cliente R gida Valida o certificado como um certificado X 509 v lido e verifica tamb m se o certificado WECS cliente est assinado por uma CA Novas fontes precisar o ser explicitamente adicionadas isso previne que fontes fraudulentas enviem dados para o Sentinel Para a op o Strict R gida voc deve importar o certificado do WECS cliente para o keystore do Sentinel FIPS Quando o Sentinel est executando no modo FIPS 140 2 n o poss vel importar o certificado cliente usando a interface do Gerenciamento de Fonte de Eventos ESM Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de keystore do FIPS en la p gina 118 Nota No modo FIPS 140 2 o Windows Event Source Server usa o par de chaves do servidor do Sentinel N o necess rio importar o par de chaves do servidor 4 Se a autentica o de servidor estiver ativa no cliente Windows o cliente precisa confiar no certificado do servidor do Sentinel ou no certificado do Gerenciador de coletor remoto dependendo do local em que o Conector implantado Operando o Sentinel no modo FIPS 140 2 115 O arquivo do certificado do servidor do Sentinel encontra se em etc op
171. s Voc deve registrar a aplica o do Sentinel com o canal de atualiza o da aplica o para receber atualiza es de corre o Para registrar a aplica o voc deve obter o c digo de registro ou a chave de ativa o da aplica o no Centro de Atendimento ao Cliente da Novell Use as etapas a seguir para registrar a aplica o para atualiza es BB O N Efetue login na aplica o do Sentinel Clique em Aplica o para iniciar o WebYaST Clique em Registro Especifique o ID de e mail no qual deseja receber atualiza es e em seguida especifique o nome do sistema e o c digo de registro da aplica o Clique em Gravar 90 Guia de instala o e configura o do NetIQ Sentinel 7 1 12 4 4 Configurando a aplica o com SMT Em ambientes seguros onde a aplica o deva ser executada sem acesso direto internet voc pode configurar a aplica o com a Subscription Management Tool SMT que permite atualizar a aplica o para as vers es mais recentes do Sentinel medida que s o lan adas A SMT um sistema proxy de pacote que integrado com o Novell Customer Center e fornece os principais recursos do Novell Customer Center Pr requisitos en la p gina 91 Configurando a aplica o en la p gina 92 Atualizando a aplica o en la p gina 92 Pr requisitos Obtenha as credenciais do Novell Customer Center para Sentinel para obter atualiza es da Novell Par
172. s exceto se um plug in espec fico n o for compat vel com a ltima vers o do Sentinel Plug ins novos e atualizados do Sentinel s o frequentemente carregados no site na web de plug ins do Sentinel Para obter as corre es de bug atualiza es de documenta o e melhorias mais recentes para um plug in fa a o download e instale a vers o mais recente do plug in Para obter informa es sobre como instalar um plug in consulte a documenta o espec fica do plug in Fazendo upgrade de plug ins do Sentinel 129 130 Guia de instala o e configura o do NetIQ Sentinel 7 1 Ap ndices Ap ndice A Configurando o Sentinel para alta disponibilidade en la p gina 133 Ap ndice B Solucionando problemas da instala o en la p gina 151 Ap ndice C Desinstalando en la p gina 153 Ap ndices 131 132 Guia de instala o e configura o do NetIQ Sentinel 7 1 A 1 Configurando o Sentinel para alta disponibilidade Muitos clientes procuram instalar o Sentinel em ambientes altamente dispon veis com o objetivo de assegurar que os dados cr ticos de evento corporativo sejam coletados da forma mais consistente poss vel Muitos requisitos de seguran a e conformidade dependem da coleta abrangente de dados para demonstrar ader ncia aos requisitos alguns poucos eventos perdidos podem prevenir a detec o de uma amea a ou viola o e causar risco inaceit vel organiza o O NetIQ foi testado e cer
173. s em ordem cronol gica Se o Hor rio do evento for mais de 30 segundos mais antigo do que o hor rio do servidor o Mecanismo de correla o n o processar os eventos Se o Hor rio do evento mais antigo do que 5 minutos em rela o ao hor rio do sistema do Gerenciador de coletor o Sentinel faz o roteamento direto dos eventos para o armazenamento de eventos ignorando sistemas em tempo real como Correla o Telas ativas e Intelig ncia de seguran a Guia de instala o e configura o do NetIQ Sentinel 7 1 16 2 16 3 Configurando o hor rio no Sentinel O Mecanismo de Correla o processa fluxos de eventos ordenados por hor rio e detecta padr es nos eventos bem como padr es temporais no fluxo No entanto s vezes o dispositivo que gera o evento poder n o incluir o hor rio em suas mensagens do registro Para configurar o hor rio para que funcione corretamente com o Sentinel h duas op es Configure o NTP no Gerenciador de Coletor e desmarque Hor rio da Fonte de Eventos Confi vel na fonte de eventos no Gerenciador de Fonte de Eventos O Sentinel usa o Gerenciador de Coletor como a origem de hor rio para os eventos Selecione Hor rio da Fonte de Eventos Confi vel na fonte de eventos no Gerenciador de Fonte de Eventos O Sentinel usa o hor rio da mensagem do registro como o hor rio correto Para alterar essa configura o na fonte de eventos 1 Efetue login no Gerenciamento de Fonte de Eventos
174. s instru es Este documento e o software descrito neste documento n o podem ser emprestados vendidos ou oferecidos sem a permiss o pr via por escrito da NetIQ Corporation exceto se de outra forma permitido por lei Exceto conforme expressamente estabelecido neste contrato de licen a ou de n o divulga o nenhuma parte deste documento ou do software descrito neste documento pode ser reproduzida armazenada em um sistema de recupera o ou transmitida de qualquer forma ou por qualquer meio seja eletr nico mec nico ou de outro modo sem o consentimento pr vio por escrito da NetIQ Corporation Algumas empresas nomes e dados neste documento s o usados para fins de ilustra o e podem n o representar empresas indiv duos ou dados reais Este documento pode trazer imprecis es t cnicas ou erros tipogr ficos As informa es contidas aqui sofrem altera es periodicamente Essas altera es podem ser incorporadas em novas edi es deste documento A NetIQ Corporation pode fazer a qualquer momento melhorias ou altera es no software descrito neste documento Direitos restritos do Governo dos EUA se o software e o documento estiverem sendo adquiridos por ou em nome do Governo dos EUA ou por um contratante principal ou subcontratante do Governo dos EUA em qualquer n vel de acordo com 48 C F R 227 7202 4 para aquisi es do Departamento de Defesa 48 C F R 2 101 e 12 212 para aquisi es n o feitas pelo Departamento de Def
175. s usu rios sem trat los como usu rios mal intencionados ou sobrecarreg los impedindo os de serem produtivos O Sentinel a solu o 1 2 A solu o fornecida pelo Sentinel O Sentinel age como sistema nervoso central para a seguran a empresarial Ele ret m dados de toda a infraestrutura aplicativos bancos de dados servidores armazenamento e dispositivos de seguran a Ele analise e correlaciona os dados e torna os dados process veis seja manual ou automaticamente Guia de instala o e configura o do NetIQ Sentinel 7 1 Figura 1 2 A solu o fornecida pelo Sentinel Exchange Sentinel Mainframe Firewall O resultado que voc sabe o que est acontecendo no seu ambiente de TI a qualquer momento e consegue vincular as a es tomadas para os recursos s pessoas respons veis por elas Isso permite determinar o comportamento dos usu rios e tamb m monitorar o controle de maneira eficiente Independentemente se a pessoa est ligada diretamente ou n o empresa poss vel relacionar todas as a es tomadas por ela de modo que atividades n o autorizadas sejam identificadas antes de causarem danos O Sentinel faz isso de maneira econ mica ao Fornecer uma nica solu o que lida com controles de TI em diversas normas Preencher a lacuna de conhecimento entre o que deveria acontecer e o que realmente acontece no seu ambiente em rede Demonstrar aos auditores e s autoridades que sua emp
176. sa ou executando a es com os resultados Voc tamb m pode executar relat rios nos servidores Sentinel distribu dos em diferentes localiza es geogr ficas Para obter mais informa es consulte Gera o de relat rios no Guia do Usu rio do NetIQ Sentinel Pad Como o Sentinel funciona 25 2 11 2 12 An lise de eventos O Sentinel fornece um conjunto de ferramentas avan adas para ajudar voc a encontrar e analisar mais facilmente dados cr ticos de eventos O sistema ajustado e otimizado para obter a m xima efici ncia em qualquer tipo de an lise espec fica e os m todos para executar facilmente transi es de um tipo de an lise para outro s o fornecidos a fim de obter transi es cont nuas A investiga o de eventos do Sentinel geralmente come a com as Telas Ativas em tempo real Embora ferramentas mais avan adas estejam dispon veis as Telas ativas exibem fluxos de evento filtrados juntamente com gr ficos resumidos que podem ser usados para an lises simples e gerais de tend ncias de evento dados de evento e identifica o de eventos espec ficos Ao longo do tempo voc cria filtros ajustados para classes de dados espec ficas como os resultados da correla o Voc pode usar as Telas ativas como um painel mostrando um comportamento geral operacional e de seguran a Em seguida voc pode usar a pesquisa interativa para executar an lises mais detalhadas de eventos Isso permite que voc pesquise
177. seguintes recursos informativos Guia de administra o Fornece informa es de administra o e tarefas necess rias para gerenciar uma implanta o do Sentinel Guia do usu rio Fornece informa es conceituais sobre o Sentinel Este livro tamb m fornece uma vis o geral das interfaces do usu rio e orienta o passo a passo para diversas tarefas Sobre este livro e a biblioteca 9 10 Guia de instala o e configura o do NetIQ Sentinel 7 1 Sobre a NetIQ Corporation N s somos uma empresa global de software corporativo com foco nos tr s desafios persistentes do seu ambiente mudan a complexidade e risco bem como de maneira podemos ajud lo e control los Nosso ponto de vista Adaptar se a mudan as e gerenciar complexidades e riscos n o s o novidades De fato dentre todos os desafios que voc enfrenta estas s o provavelmente as vari veis mais proeminentes que impedem que voc obtenha o controle de que precisa para gerenciar monitorar e medir de forma segura seus ambientes de computa o f sicos virtuais e em nuvem Habilitando servi os essenciais para empresas de forma mais r pida e eficiente N s acreditamos que fornecer o m ximo poss vel de controle para organiza es de TI a nica maneira de possibilitar uma entrega de servi os mais oportuna e econ mica Press es persistentes como mudan as e complexidade s continuar o a aumentar conforme as organiza es continuarem a mudar e as tec
178. star executando no modo FIPS 140 2 Nota Se o seu Gerenciador de Coletor remoto instalado ou atualizado recentemente estiver executando no modo n o FIPS voc dever habilitar o FIPS no Gerenciador de Coletor remoto Para obter mais informa es consulte Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 107 Certifique se de que o servidor FIPS e os Gerenciadores de Coletor remotos comuniquem se entre si Converta os Mecanismos de Correla o Remotos se algum deles estiver executando no modo FIPS Para obter mais informa es consulte Ativando o modo FIPS 140 2 nos Gerenciadores de Coletor e Mecanismos de Correla o remotos en la p gina 107 Configure os plug ins do Sentinel para executar no modo FIPS 140 2 Para obter mais informa es consulte Configurando os plug ins do Sentinel para execu o em modo FIPS 140 2 enla p gina 112 54 Guia de instala o e configura o do NetIQ Sentinel 7 1 6 4 2 Cen rio 2 Coleta de dados no modo FIPS 140 2 parcial Neste cen rio a coleta de dados feita usando os Conectores que suportam o modo FIPS 140 2 e os Conectores que n o suportam o modo FIPS 140 2 Presumiremos que esse ambiente envolve um servidor do Sentinel e os dados s o coletados por meio de um Gerenciador de Coletor remoto Voc pode ter um ou mais Gerenciadores de Coletor remotos H H i Conector do Conector de Banco Conector de
179. t 10 0 0 2 Instala o do Sentinel H duas op es para instalar o Sentinel instalar cada parte do Sentinel no armazenamento compartilhado usando a op o location para redirecionar a instala o do Sentinel para onde quer que voc tenha montado o armazenamento compartilhado ou apenas colocar os dados vari veis do aplicativo no armazenamento compartilhado Nesta solu o de exemplo seguiremos esta ltima abordagem e instalaremos o Sentinel para cada n do cluster que possa hosped lo A primeira vez que o Sentinel for instalado faremos uma instala o completa incluindo os bin rios do aplicativo configura o e todos os armazenamentos de dados As instala es subsequentes nos outros n s do cluster apenas instalar o o aplicativo e presumiremos que os dados reais do Sentinel estar o dispon veis algum tempo mais tarde por exemplo assim que o armazenamento compartilhado for montado Solu o de exemplo Nesta solu o de exemplo instalaremos o Sentinel em cada n do cluster armazenando apenas os dados vari veis do aplicativo no est gio compartilhado Isso mant m os bin rios do aplicativo e configura o nos locais padr o permitindo nos verificar os RPMs al m de nos permitir dar suporte a patches a quente em determinados cen rios Configurando o Sentinel para alta disponibilidade 141 142 Instala o no primeiro n Conecte a um dos n s do cluster node01 e abra uma janela de console 2 Fa
180. t rio opt novell sentinel Os comandos devem ser executados como usu rio novell Secci n 19 5 1 Conector do Gerenciador de Agente en la p gina 112 Secci n 19 5 2 Conector de banco de dados JDBC en la p gina 113 Secci n 19 5 3 Conector do Link do Sentinel en la p gina 113 Secci n 19 5 4 Conector Syslog en la p gina 114 Secci n 19 5 5 Windows Event WMI Connector en la p gina 115 Secci n 19 5 6 Sentinel Link Integrator en la p gina 116 Secci n 19 5 7 LDAP Integrator en la p gina 117 Secci n 19 5 8 SMTP Integrator en la p gina 117 Secci n 19 5 9 Usando conectores ativados n o FIPS com o Sentinel no modo FIPS 140 2 en la p gina 117 19 5 1 Conector do Gerenciador de Agente Siga o procedimento abaixo apenas se voc tiver selecionado a op o Criptografado HTTPS ao configurar as defini es de rede do servidor de origem de evento do Gerenciador de agente Para configurar o Conector do Gerenciador de Agente para executar no modo FIPS 140 2 1 Adicione ou edite o Servidor de Origem de Evento do Gerenciador de Agente Avance pelas telas de configura o at que a janela Seguran a seja exibida Para obter mais informa es veja o Guia do Conector do Gerenciador de Agente 2 Selecione uma das op es no campo Client Authentication Type Tipo de autentica o do cliente O tipo de autentica o do cliente determina estri
181. t novell sentinel config sentinel cer O arquivo do certificado do Gerenciador de coletor remoto encontra se em etc opt novell sentinel config rcm cer Nota Ao usar certificados personalizados que estejam assinados digitalmente por uma autoridade de certifica o CA o cliente dever confiar no arquivo de certificado apropriado 5 Se voc deseja sincronizar automaticamente as fontes de evento ou preencher a lista de fontes de evento usando uma conex o do Active Directory dever importar o certificado do servidor Active Directory para o keystore do Sentinel FIPS Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de key store do FIPS en la p gina 118 19 5 6 Sentinel Link Integrator Siga o procedimento abaixo apenas se tiver selecionado a op o Encrypted HTTPS Criptografado HTTPS ao configurar as defini es da rede do Sentinel Link Integrator Para configurar o Sentinel Link Integrator para executar no modo FIPS 140 2 1 Quando o Sentinel Link Integrator est no modo FIPS 140 2 a autentica o do servidor obrigat ria Antes de configurar a inst ncia do Integrador importe o certificado do servidor de Link do Sentinel para a keystore FIPS do Sentinel Se o Conector do link do Sentinel estiver em modo FIPS 140 2 Se o Conector estiver implantado no servidor do Sentinel voc precisa copiar o arquivo etc opt novell sentinel confi
182. t ser exibida Se voc desejar que o usu rio n o raiz insale o Sentinel em um local que n o seja o padr o especifique a op o location juntamente com o comando Por exemplo bin root_install_prepare location foo O valor passado para a op o location foo anexado aos caminhos do diret rio Isso tamb m cria um grupo nove11 e um usu rio novel1 caso ainda n o existam Aceite a lista de comandos Os comandos exibidos ser o executados Especifique o seguinte comando para mudar o usu rio n o root novell rec m criado novell su novell Condicional Para realizar uma instala o interativa 7a Especifique o seguinte comando install sentinel Para instalar o Sentinel em um local que n o seja o padr o especifique a op o location juntamente com o comando Por exemplo install sentinel location foo 7b Continue na Paso 9 Condicional Para realizar uma instala o silenciosa 8a Especifique o seguinte comando install sentinel u lt response file gt A instala o prossegue com os valores armazenados no arquivo de resposta 8b Continue na Paso 12 Especifique o n mero do idioma que deseja usar na instala o O contrato de licen a de usu rio final ser exibido no idioma selecionado Leia a licen a do usu rio final e digite yes ou y para aceitar a licen a e continuar com a instala o A instala o de todos os pacotes RPM ser iniciada A instala o pode levar alguns s
183. ta Disponibilidade do SUSE Linux e a sobreporemos com os Agentes de Recurso espec fico do Sentinel Se voc n o usar o Agente de Recurso OCF para monitorar o Sentinel provavelmente teremos que desenvolver uma solu o de monitoramento similar para o ambiente do cluster local O Agente de Recurso OCF para Sentinel um shell script simples que executa uma variedade de verifica es para verificar se o Sentinel est funcional Se voc deseja desenvolver por conta pr pria deve examinar o Agente de Recurso existente para obter exemplos o Agente de Recurso est armazenado no sentinel ha rpmno pacote de download do Sentinel H muitos modos diferentes em que um cluster SLE HAE pode ser configurado mas n s selecionaremos as op es que mant m isso razoavelmente simples A primeira etapa instalar o software principal do SLE HAE o processo est completamente detalhado na Documenta o do SLE HAE Para obter informa es sobre a instala o dos complementos do SLES veja o Guia de Implementa o Voc deve instalar o SLE HAE em todos os n s do cluster node01 e node02 em nosso exemplo O complemento instalar o gerenciamento de cluster principal e o software de comunica es assim como muitos Agentes de Recursos que s o usados para monitorar os recursos do cluster Ap s a instala o do software do cluster um RPM adicional dever ser instalado para fornecer Agentes de Recurso do cluster adicionais espec ficos do Sentinel
184. tala o da aplica o iciciiiciiiiiisiiccc 5 6 Requisitos do sistema do Conector e do Coletor cccccccicccicci 5 7 Ambiente virtual sas a sia suma a aaa SAE OSTRAS NDA GE e DASD RA ASAS AMAR SE A gel 6 Considera es sobre a implementa o do Sentinel Operacional no modo FIPS140 2 6 1 Implementa o do FIPS no Sentinel cccicicciclc 6 1 1 Pacotes RHEL NSS icere ieni e ms aa E E a E E a a A A 6 1 2 Pacotes SLES NSS caga tg alto a boa e Gore EA e A DM A E E RS RD SP a 6 2 Componentes ativados para FIPS no Sentinel ccccciciisiis e 6 3 Lista de verifica o da implementa o cccciiiiicicic rr 6 4 Cen rios de implanta o ccciccicis 6 4 1 Cen rio 1 Coleta de dados no modo FIPS 140 2 completo ccccccic 6 4 2 Cen rio 2 Coleta de dados no modo FIPS 140 2 parcial ananunua aaan 7 Portas usadas 74 Portas do servidor do Sentinel ccccccccccc eee 7 1 1 PRortaslocalS ass ssa Res Da Ea E BEE REAR RUA EA a r a a ca 7 1 2 Portas de rede ts dis mo a pasmo Id e achas dans a e GS a a e e da E A E a TD 71 3 Portas espec ficas da aplica o do Sentinel Server uauaaua aaan ennaa 7 2 Portas do Gerenciador de Coletor cccccccicl rn 7 2 1 Portas detedes siitia a e a a a e a aa a Aqui ED E e TDR 7 2 2 Portas espec ficas da aplica o do Gerenciador de Coletor n suua asasaa unun 7 3 Portas do mecanismo de correla o cicciciiisis aa
185. tamente como o Servidor de Origem de Evento do Gerenciador de Agente SSL verifica a identidade das Fontes de Evento do Gerenciador de Agente que est o tentando enviar dados Abrir Permite todas as conex es SSL provenientes dos agentes do Gerenciador de Agente N o executa nenhuma valida o ou autentica o de certificado de cliente R gida Valida o certificado como um certificado X 509 v lido e tamb m verifica se o certificado do cliente de confian a para o Servidor de Origem de Evento Novas fontes precisar o ser explicitamente adicionadas ao Sentinel isso evita que fontes fraudulentas enviem dados n o autorizados Para a op o R gida voc deve importar o certificado de cada novo cliente do Gerenciador de Agente para o keystore do Sentinel FIPS Quando o Sentinel est executando no modo FIPS 140 2 n o poss vel importar o certificado do cliente usando a interface do Gerenciamento de Fonte de Eventos ESM Para obter mais informa es sobre como importar o certificado veja Importando certificados para o banco de dados de keystore do FIPS en la p gina 118 Nota No modo FIPS 140 2 o servidor da Fonte de Evento do Gerenciador de Agente usa o par de chaves do servidor do Sentinel n o necess rio importar o par de chaves do servidor 112 Guia de instala o e configura o do NetIQ Sentinel 7 1 19 5 2 19 5 3 3 Se a autentica o de servidor estiver ativa nos agentes os agentes tamb
186. tificado para trabalhar em um ambiente de alta disponibilidade e suporta arquiteturas de recupera o de desastres Este ap ndice descreve como instalar o produto em um modo de alta disponibilidade ativo passivo permitindo que o Sentinel alterne para um n do cluster redundante no caso de falha de hardware ou software Ele n o abrange configura es ativa ativa e n o garante nenhum objetivo de tempo de atividade espec fico O NetIQ Consulting e os parceiros do NetIQ podem ajudar voc a implementar a alta disponibilidade e a recupera o de desastres do Sentinel Nota O NetIQ suporta a configura o de alta disponibilidade apenas nas instala es completas do Sentinel Ele n o suporta diretamente instala es distribu das dos Gerenciadores de Coletor e Mecanismos de Correla o Secci n A 1 Conceitos en la p gina 133 Secci n A 2 Suportabilidade en la p gina 135 Secci n A 3 Requisitos do Sistema en la p gina 135 Secci n A 4 Instala o e configura o en la p gina 136 Secci n A 5 Backup e recupera o en la p gina 148 Conceitos Alta disponibilidade se refere a uma metodologia de design que se destina a manter um sistema dispon vel para uso enquanto for pr tico A inten o minimizar as causas de tempo de espera como falhas e manuten o do sistema e minimizar o tempo que demorar para detectar e recuperar de eventos de tempo de esper
187. tritos por exemplo se sess es autenticadas forem usadas para enviar receber dados entre o sistema de terceiro e o Sentinel ent o o sistema de terceiro dever ser configurado para aceitar sess es de origem ou iniciar sess es para qualquer n de cluster o Sentinel deve ser configurado com um IP virtual para esse fim O NetIQ n o pode garantir nenhum n vel espec fico de alta disponibilidade entre o nosso produto e os sistemas de terceiros fora de nosso controle Armazenamento compartilhado Todos os clusters de alta disponibilidade requerem algum formul rio de armazenamento compartilhado de modo que os dados de aplicativo possam ser rapidamente movidos de um n do cluster para outro no caso de uma falha do n de origem O pr prio armazenamento deve estar altamente dispon vel isso normalmente obtido usando a tecnologia SAN Storage Area Network conectada aos n s do cluster que usam uma rede Fibre Channel Outros sistemas usam NAS Network Attached Storage iSCSI ou outras tecnologias que levam em conta a montagem remota do armazenamento compartilhado O requisito fundamental do armazenamento compartilhado que o cluster possa mover de forma limpa o armazenamento de um n do cluster com falha para um novo n do cluster Nota Para iSCSI voc precisa usar a maior Unidade de transfer ncia de mensagem MTU suportada pelo hardware MTUs maiores oferecem benef cios ao desempenho do armazenamento O Sentinel pode apresentar
188. u la para Mecanismos de correla o e Gerenciadores de coletor remotos Enquanto uma configura o tudo em um pode funcionar bem para cen rios simples nos quais somente um pequeno conjunto de recursos usado de forma limitada ela n o funciona bem com grandes n meros de recursos ou usos de forma estendida Por exemplo se voc usar mais do que as regras de correla o prontas para o uso isso colocar uma carga maior no sistema o que pode afetar negativamente outros recursos do mesmo servidor devido maior utiliza o de recursos do Mecanismo de correla o Distribuir a carga para Gerenciadores de coletor remotos necess rio quando mais que um pequeno n mero de coletores usado Distribuir a carga para Mecanismos de correla o remotos necess rio quando voc usa mais do que as regras de correla o prontas para o uso Distribuir a carga uma boa ideia quando voc planeja aumentar o n mero de recursos usados ou a extens o em que voc usa esses recursos A capacidade da CPU de utilizar a tecnologia Hyperthreading demonstrou ter um impacto significativamente positivo na carga que o sistema conseguir manipular Logo ao decidir qual CPU comprar verifique se a tecnologia Hyperthreading estava ativa no teste de refer ncia abaixo e certifique se de que a CPU escolhida possui capacidades de Hyperthreading t o boas ou melhores Atendendo aos requisitos do sistema 37 38 Tudo Coleta Coleta de em
189. uinte comando para extrair o arquivo de instala o tar zxvf lt install filename gt Substitua lt nome arquivo instala o gt pelo nome real do arquivo de instala o Mude para o diret rio no qual extraiu o instalador cd lt directory name gt Especifique o seguinte comando para instalar o Sentinel install sentinel ou Se desejar instalar o Sentinel em mais de um sistema voc pode registrar as op es de instala o em um arquivo E poss vel usar esse arquivo para uma instala o independente do Sentinel em outros sistemas Para registrar as op es de instala o especifique o seguinte comando install sentinel r lt response filename gt Especifique o n mero do idioma que deseja usar para a instala o e em seguida pressione Enter O contrato de licen a de usu rio final ser exibido no idioma selecionado Pressione a barra de espa o para ler o contrato de licen a 7 Digite yes ou y para aceitar a licen a e continuar a instala o A instala o poder levar alguns segundos para carregar os pacotes de instala o e solicitar o tipo de configura o Quando solicitado especifique 1 para prosseguir com a configura o padr o A instala o prossegue com a chave de licen a de avalia o de 90 dias inclu da com o instalador Essa chave de licen a ativa o conjunto completo de recursos do produto por um per odo de teste de 90 dias A qualquer momento durante ou ap s o per odo de teste
190. uisitos do sistema en la p gina 35 Cap tulo 6 Considera es sobre a implementa o do Sentinel Operacional no modo FIPS140 2 en la p gina 51 Cap tulo 7 Portas usadas en la p gina 57 Cap tulo 8 Op es de instala o en la p gina 63 Planejando a instala o do Sentinel 29 30 Guia de instala o e configura o do NetIQ Sentinel 7 1 Lista de verifica o da implementa o Tarefas Revise as informa es da arquitetura do produto para aprender sobre os componentes do Sentinel Revise a licen a do Sentinel para determinar se necess rio instalar a vers o de avalia o ou a vers o corporativa do Sentinel Avalie seu ambiente para determinar a configura o do hardware Assegure que os computadores em que voc instalar o Sentinel e seus componentes satisfa am aos requisitos especificados Por padr o o Sentinel vem com um Gerenciador de Coletor e um Mecanismo de Correla o Revisar os Gerenciadores de coletor e os eventos por segundo EPS do Mecanismo de correla o e determinar se voc precisa instalar Gerenciadores de coletor e Mecanismos de correla o adicionais para melhorar o desempenho e o equil brio de carga Instale o Sentinel Certifique se de configurar o hor rio no servidor Sentinel Ao instalar o Sentinel os plug ins do Sentinel dispon veis no momento da libera o do Sentinel s o instalados como padr o Configure os plug in prontos
191. um tudo dados Tudo dados E m u u Ss Descri o e E em um baseada em um aah a n o visa m dio em grande distribu d produ agente o m dia a grande Capacidade Ataxa de 100 EPS 2500 2500 9000 EPS 11000 11000 EPS retida eventos por EPS EPS EPS EPS segundo processada por componente em tempo real e retida em armazenament o pelo sistema Capacidade A taxa total de 100 EPS 2500 2500 9000 EPS 16000 16000 EPS eventos por EPS EPS EPS EPS operacional segundo recebida pelo sistema das fontes de eventos Isso inclui dados descartados pela filtragem inteligente do sistema antes de serem armazenados e o n mero usado para prop sitos de conformidade com a licen a baseada em EPS Hardware do servidor Sentinel Guia de instala o e configura o do NetIQ Sentinel 7 1 Tudo ai Coleta de emum tudo dados Tudo dados Configura Descri o SPDR em um baseada em um zem Extra es n o visa m dio em grande agente grande produ agente distribu d o m dia a grande CPU Intel Dois Intel Dois Dois Intel R Xeon R Entre em Xeon Xeon AMD CPU E5 2680 0 O contato CPU CPU Opteron 2 70GHz 8 n cleos com os E54200 E54500 2431 CPUs 16 n cleos no Servi os 2 50 GHz 3 00GHz 2 40GHz total com da NetIQ CPU de 4 6 Hyperthreading 4 n cleos n cleos n cleos por CPU por CPU sem 8n cleos 1
192. ventos eventos eventos 500 c da 101 2500 5000 CM gerenciador de EPS remoto coletor EPS 100 EPS EPS 9000 1 i f 2500 2500 O porcentagem Filtrado l Filtrado Fontes de filtrada indica 0 Filtrado Filtrado 0 eventos 0 0 110 quantos eventos EPS padronizados 9500 foram filtrados imediatamente Filtrado depois da 21 coleta sem serem Dados armazenados nao ou passados processad para Us mecanismo de desativad an lise os Observe que os CM dados n o remoto processados de 2 registro n o padronizados Fontes de nos quais os eventos eventos 20 padronizados se baseiam n o EPS s o afetados 6500 pela filtragem e Filtrado s o sempre 54 armazenados O CM embutido Dados local fica nao localizado na PERE ias Re desativad Sentinel e 42 Guia de instala o e configura o do NetIQ Sentinel 7 1 Configura es Coletores usados Descri o Tudo em um demo n o visa produ o IBM AIX 6 1r3 Fontes 100 EPS 99 NetIQ Universa I Event 2011 1r1 Fontes 1 EPS 1 Tudo em um m dio Cada coletor tem seu pr prio servidor syslog Oracle Solaris 6 1r3 Fontes 1000 EPS 1000 IBM AIX 6 1r3 Fontes 1000 EPS 1000 Sourcefi re Snort 2011 1r1 Fontes 500 EPS 500 Coleta de dados baseada em agente m dia Coletor de teste personali zado sem an lise Servidor 1 do conecto r
Download Pdf Manuals
Related Search