Sentinel Rapid Deployment Installationshandbuch
Contents
1. Eingebettete PostgreSQL Datenbank 3 GB Collector Manager 1228 MB DAS_Core 1579 MB DAS_Binary 1404 MB Correlation Engine 1073 MB 4 Collectors Generic Cisco Snort und IBM die jeweils 500 EPS generieren 10 Korrelationsregeln bereitgestellt 10 eindeutige Active Views 3 gleichzeitige Benutzer 2 Zuordnungen bereitgestellt 16 GB Leerzeichen 1 TB SAS Festplatte n 15K U min Hardware RAID 10 Tabelle 2 3 Konfiguration mit drei Computern bis zu 5000 EPS Komponenten RAM Computer 1 Sentinel Rapid Deployment Server Eingebettete PostgreSQL Datenbank 3 GB Collector Manager 1228 MB DAS_Core 1579 MB DAS_Binary 1404 MB Correlation Engine 1073 MB 4 Collectors die jeweils 500 EPS generieren 1500 EPS vom Remote Collector Manager 1 und 1500 EPS vom Remote Collector Manager 2 Computer 2 Collector Manager 4 GB Collector Manager Collectors 3 Collectors die jeweils 500 EPS generieren Computer 3 Collector Manager 4 GB Collector Manager Collectors 3 Collectors die jeweils 500 EPS generieren 22 Sentinel Rapid Deployment Installationshandbuch 16 GB Leerzeichen 1 TB SAS Festplatte n 15K U min Hardware RAID 10 300 GB SATA Festplatte 3 GBit s 300 GB SATA Festplatte 3 GBit s Prozessor Dell PowerEdge 2900 2 x Quad Core Intel Xeon E5310 1 6 GHz mit Gigabit Ethernet NIC Prozessor Dell PowerEdge 29002. shared_buffers Legt fest wieviel Arbeitsspeicher f r PostgreSQL Caching Daten reserviert wird Zur Erzielung einer besseren Leistung k nnen Sie diesen Parameterwert auf ein Viertel des verf gbaren RAM einstellen effective_cache_ size Legt fest wieviel Arbeitsspeicher f r das Festplatten Caching des Betriebssystems und der Datenbank zur Verf gung steht Sie k nnen die Gr e des Parameters berechnen indem Sie einkalkulieren wie viel vom Betriebssystem und anderen Anwendungen verwendet wird F r diesen Parameter kann die H lfte des gesamten verf gbaren Arbeitsspeichers definiert werden work mem Legt die Menge an Arbeitsspeicher fest der von internen Sortiervorg ngen und Hash Tabellen verwendet wird bevor zu tempor ren Festplattendateien gewechselt wird Der Wert wird in Kilobyte angegeben Der Standardwert lautet 1 024 Kilobyte 1 MB Bei einer komplexen Abfrage werden m glicherweise mehrere Sortier oder Hash Vorg nge gleichzeitig durchgef hrt Jeder Vorgang nutzt soviel Arbeitsspeicher wie f r den Parameter work_mem angegeben ist bevor er beginnt Daten in tempor ren Festplattendateien abzulegen Wenn Sie mehrere Berichte in Ihrem Sentinel Rapid Deployment System planen setzen Sie diesen Wert auf 500 MB bis 1GB maintenance_work_mem Legt die maximale Menge an Arbeitsspeicher fest die f r Vorg nge zur Wartung der Datenbank z B VACUUM CREATE INDEX und ALTER TABLE ADD FOREIGN KEY verwendet werden
3. Aufgrund des hochsensiblen Charakters der Daten in Sentinel Rapid Deployment muss der Computer physisch geschiitzt und in einem sicheren Bereich des Netzwerks betrieben werden Verwenden Sie einen remoten Collector Manager um Daten von Ereignisquellen au erhalb des sicheren Netzwerks zu sammeln Weitere Informationen zu remote betriebenen Collector Managern finden Sie in Abschnitt 3 3 Installieren des Collector Managers und der Sentinel Client Anwendungen auf Seite 35 5 2 Sichern der Kommunikation im gesamten Netzwerk Die Kommunikation zwischen den verschiedenen Komponenten von Sentinel Rapid Deployment erfolgt ber das Netzwerk und im gesamten Netzwerk werden verschiedene Arten von Kommunikationsprotokollen verwendet Abschnitt 5 2 1 Kommunikation zwischen Sentinel Serverprozessen auf Seite 60 Abschnitt 5 2 2 Kommunikation zwischen dem Sentinel Server und den Sentinel Client Anwendungen auf Seite 60 Abschnitt 5 2 3 Kommunikation zwischen Server und Datenbank auf Seite 61 Abschnitt 5 2 4 Kommunikation zwischen den Collector Managern und den Ereignisquellen auf Seite 62 Abschnitt 5 2 5 Kommunikation mit Webbrowsern auf Seite 62 Abschnitt 5 2 6 Kommunikation zwischen der Datenbank und anderen Clients auf Seite 62 5 2 1 Kommunikation zwischen Sentinel Serverprozessen Zu den Sentinel Serverprozessen z hlen DAS Core DAS Binary Correlation Engine Collec
4. Installationshandbuch Novell Sentinel 6 1 Rapid Deployment SP2 April 2011 www novell com Rechtliche Hinweise Novell Inc leistet keinerlei Gew hr bez glich des Inhalts oder Gebrauchs dieser Dokumentation Insbesondere werden keine ausdr cklichen oder stillschweigenden Gew hrleistungen hinsichtlich der handels blichen Qualit t oder Eignung f r einen bestimmten Zweck bernommen Novell Inc beh lt sich weiterhin das Recht vor diese Dokumentation zu revidieren und ihren Inhalt jederzeit und ohne vorherige Ank ndigung zu ndern Des Weiteren bernimmt Novell Inc f r Software keinerlei Haftung und schlie t insbesondere jegliche ausdr cklichen oder impliziten Gew hrleistungsanspr che bez glich der Marktf higkeit oder der Eignung f r einen bestimmten Zweck aus Au erdem beh lt sich Novell Inc das Recht vor Novell Software ganz oder teilweise jederzeit inhaltlich zu ndern ohne dass f r Novell Inc die Verpflichtung entsteht Personen oder Organisationen von diesen berarbeitungen oder nderungen in Kenntnis zu setzen Alle im Zusammenhang mit dieser Vereinbarung zur Verf gung gestellten Produkte oder technischen Informationen unterliegen m glicherweise den US Gesetzen zur Exportkontrolle sowie den Handelsgesetzen anderer L nder Sie erkennen alle Ausfuhrkontrollbestimmungen an und erkl ren sich damit einverstanden alle f r ausstehende Exporte Re Exporte oder Importe erforderlichen Lizenzen bzw Klassifiz
5. Wenn der Zugriff auf den Sentinel Server von au erhalb des Unternehmensnetzwerks m glich ist sollte eine Firewall eingesetzt werden um den direkten Zugriff durch einen Eindringling zu verhindern Aktivieren Sie folgende Ports in der Firewall Komponenten Port ActiveMQ 61616 PostgreSQL 5432 Tomcat 8443 Sentinel Control Center Proxy Client Port 10013 Vertrauensw rdiger Proxy Client 10014 internal_gateway_server und internal_gateway verwendet zwischen Engine und 5556 Manager internal_router_server und internal_router_client 5558 Wird zwischen Ereignis Router Client und Server verwendet Ereignis Listener Port 35000 in config collector_mgr properties als esecurity agentmanager event port konfiguriert Sicherheits berlegungen f r Sentinel Rapid Deployment 69 Hinweis Mit einem Sternchen markierte Ports k nnen anders definiert sein falls sie zum Zeitpunkt der Installation bereits in Verwendung waren Wenn sie zum Zeitpunkt der Installation bereits Verwendung waren sind sie durch die Portnummern zu ersetzen die zum Zeitpunkt der Installation abgefragt wurden Weitere Informationen zum Aktivieren einer Firewall auf SLES 10 finden Sie unter Konfigurieren von Firewalls mit YaST http www novell com documentation sles 10 sles_admin data sec_fire_suse html im SLES 10 Administrationshandbuch 5 7 Anzeigen von Sentinel Audit Ereignissen F r viele von Benutzern durchgef hrte Aktionen und f
6. nnen m ssen die Novell Certificate Server Plugins f r iManager installiert sein Active Directory Weitere Informationen hierzu finden Sie unter Aktivieren von LDAP ber SSL mit einer Fremdanbieter Zertifizierungsstelle http support microsoft com kb 321051 Aktivieren der anonymen Suche im LDAP Verzeichnis Um die LDAP Authentifizierung unter Verwendung der anonymen Suche durchf hren zu k nnen muss diese im LDAP Verzeichnis aktiviert werden Standardm ig ist die anonyme Suche in eDirectory aktiviert und in Active Directory deaktiviert 46 Sentinel Rapid Deployment Installationshandbuch Beachten Sie Folgendes wenn Sie die anonyme Suche im LDAP Verzeichnis aktiveren m chten eDirectory Lesen Sie die Informationen zu IdapBindRestrictions im Abschnitt Attributes on the LDAP Server Object http www novell com documentation edir88 edir88 page documentation edir88 edir88 data agq8auc html Attribute des LDAP Serverobjekts Active Directory Das Benutzerobjekt ANONYMOUS LOGON muss mit ausreichenden Berechtigungen f r den Listen und Lesezugriff auf die Attribute sAMAccountName und objectclass ausgestattet sein Weitere Informationen finden Sie unter Konfigurieren von Active Directory um anonyme Abfragen zu erm glichen http support microsoft com kb 320528 F r Windows Server 2003 ist zus tzlicher Konfigurationsaufwand erforderlich Weitere Informationen finden Sie unter Configuring Active Directory on Wi
7. 2 x Quad Core Intel Xeon E5310 1 6 GHz mit Gigabit Ethernet NIC Intel Core 2 Duo E6750 2 66 GHz mit Gigabit Ethernet NIC Intel Core 2 Duo E6750 2 66 GHz mit Gigabit Ethernet NIC 2 3 Unterst tzte Webbrowser Mozilla Firefox 3 x Internet Explorer 8 x 2 4 Virtuelle Umgebung Sentinel Rapid Deployment wurde intensiv auf VMWare ESX Server getestet Novell unterstiitzt Sentinel Rapid Deployment uneingeschr nkt in dieser Umgebung Um auf ESX oder in anderen virtuellen Umgebungen Ergebnisse zu erzielen die mit den Testergebnissen auf physischen Computern vergleichbar sind sollte die virtuelle Umgebung dieselben Anforderungen an Arbeitsspeicher CPU Plattenplatz und E A erf llen die auch f r physische Computer gelten Empfehlungen zu einem physischen Computer f r ein SLES System finden Sie unter Abschnitt 2 2 Hardwareanforderungen auf Seite 21 2 5 Empfohlene Begrenzungen Die in diesem Abschnitt genannten Begrenzungsempfehlungen basieren auf bei Novell oder bei Kunden durchgef hrten Leistungsmessungen Es handelt sich nicht um harte Begrenzungen sondern um N herungswerte In sehr dynamischen Systemen hat es sich bew hrt Puffer zu bilden und Wachstum zu erm glichen Abschnitt 2 5 1 Begrenzungen f r den Collector Manager auf Seite 23 Abschnitt 2 5 2 Begrenzungen f r Berichte auf Seite 24 2 5 1 Begrenzungen f r den Collector Manager Wenn nicht anders angegeben wird f r di
8. 23 45 CorrelationEngine Stopped Stopped Correlation Engine vorhanden 16 05 11 17 23 45 CorrelationEngineStopping Stopping Correlation Engine P E EEPE EA 6 05 11 17 23 32 NewDstaObject Rule Name Test Rule1 Type filter Rule Id 54ACES33 5FB0 102E 9D26 000C2 kii 21 von 21 aktualisierung 16 05 11 17 35 30 Empfangen 0 von 0 Anzeige 0 6 Rufen Sie das Men Ereignisquellenverwaltung auf und w hlen Sie die Option Live Ansicht 72 Sentinel Rapid Deployment Installationshandbuch 7 Klicken Sie in der grafischen Ansicht mit der rechten Maustaste auf Ereignisquelle mit 5 EPS und w hlen Sie die Option Starten 8 Schlie en Sie das Fenster Ereignisquellenverwaltung Live Ansicht 9 Klicken Sie auf die Registerkarte Active Views Sie k nnen das aktive Fenster mit dem Titel PUBLIC High_Severity Severity anzeigen Es kann einige Zeit dauern bis der Collector gestartet wird und die Daten in diesem Fenster angezeigt werden 10 Klicken Sie in der Symbolleiste auf die Schaltfl che Ereignisabfrage Das Fenster Alte Ereignisabfrage wird angezeigt 11 Klicken Sie im Fenster Alte Ereignisabfrage auf den Abw rtspfeil neben Filter um den Filter auszuw hlen W hlen Sie den Filter ffentlich Alle aus 12 W hlen Sie einen Zeitraum aus der die Zeit abdeckt in der der Collector aktiv war W hlen Sie mithilfe der Dropdown Listen Von und Bis den Datumsbereich aus 13 W hlen Sie die Stapelgr e aus 14 Klicke
9. 29 Verwenden Sie die Dropdown Men s um Schweregrad 4 als Kriterium festzulegen und klicken Sie anschlie end auf Weiter Das Fenster Kriterien aktualisieren wird angezeigt 78 Sentinel Rapid Deployment Installationshandbuch Korrelationsregel Kriterien aktualisieren Nach dem Ausl sen der Regel O Mit dem Durchf hren von Aktionen bei jedem Ausl sen dieser Regel fortfahren Kein Durchf hren von Aktionen wenn diese Regel f r die n chste ausgel st wird i 1 a Stunden v Can rn E 30 W hlen Sie Kein Durchf hren von Aktionen wenn diese Regel f r die n chste ausgel st wird aus stellen Sie die Zeitspanne mithilfe des Dropdown Men s auf 1 Minute ein und klicken Sie anschlie end auf Weiter Das Fenster Allgemeine Beschreibung wird angezeigt Testen der Funktionalit t von Sentinel Rapid Deployment 79 Korrelationsregel Allgemeine Beschreibung Name TestRule1 Namespace Korrelationsregeln Beschreibung 31 Nennen Sie die Regel Testregell geben Sie eine Beschreibung ein und klicken Sie auf Weiter 32 W hlen Sie Nein erstellen Sie keine andere Regel und klicken Sie auf Weiter 33 Erstellen Sie eine Aktion um sie mit der erstellten Regel zu verkn pfen 33a F hren Sie einen der folgenden Schritte durch W hlen Sie Werkzeuge gt Aktionsmanager gt Hinzuf gen Klicken Sie im Fenster Regel bereitstellen auf Aktion hinzuf gen Weitere Informationen finden Sie i
10. Anzahl an 2000 Die Begrenzung der Ger te auf dem Ger ten auf dem Sentinel Sentinel Rapid Deployment Server Rapid Deployment Server betr gt 2000 2 5 2 Begrenzungen f r Berichte Tabelle 2 5 Leistungserhaltende Begrenzungen f r Berichte Attribut Begrenzung Kommentar H chstanzahl gespeicherter 200 Diese Begrenzung kann sich erh hen oder Berichte reduzieren Dies h ngt von der Gr e der Berichte und dem verf gbaren Speicherplatz auf dem Server ab der nicht vom Rest des Systems verwendet wird Maximale Anzahl 3 F r diesen Wert wird vorausgesetzt dass der Server gleichzeitig ausgef hrter noch nicht stark mit Datenerfassungs oder anderen Berichte Aufgaben ausgelastet ist 2 6 Testergebnisse Die Konfiguration von Sentinel Rapid Deployment kann an die Anspr che Ihrer Umgebung angepasst werden Die folgenden auf Leistungsmessungen beruhenden Informationen sind das Ergebnis von Untersuchungen die Novell mit den in den folgenden Tabellen aufgef hrten spezifischen Konfigurationen durchgef hrt hat Die Hardwareempfehlungen f r eine Sentinel Implementierung k nnen im Einzelnen unterschiedlich ausfallen Es empfiehlt sich daher vor der Fertigstellung der Sentinel Architektur die Novell Consulting Services oder einen der Novell Sentinel Partner zu Rate zu ziehen Die nachstehenden Testinformationen k nnen als Leitfaden dienen Linux Die Linux Tests wurden mit dem maximalen EPS Wert und einer unterschiedlichen Anzahl von Ger ten
11. Datei Drucker und Named D cherheitskantenv Anhalten Piped Freigabe f r diesen Computer ber a Sitzungs Manager F Ver Per das Netzwerk Diese Funktionen sind Ska Smartcard vel ue don ee a falls Geet Dienst G nz Server MSSQL Pe eendet wird Falls dieser Diens deaktiviert wird k nnen die Dienste die SQL Server Active En Alle Aufgaben Aktualisieren Anmelden als Lokales Systemkonto IT Datenaustausch zwischen Dienst und Desktop zulassen C Dieses Konto Durchsuchen von diesem Dienst ausschlie lich Sa soL Server Agent abh ngig sind nicht mehr gestartet Sa SOL Server Browser pal werden a SQL Server FulTex Qu Eigenschaften SOL Server VSS Wii Pre SSS Sy Standort bergreife i Ei Ciibomoscioishon Cocos Dienst Aktiviert Hardwareprofil Profil 1 A Erweitert X Standard Deaktivieren DK Abbrechen Ubemehmen 92 Sentinel Rapid Deployment Installationshandbuch 3 W hlen Sie im Fenster Eigenschaften von Sentinel die Registerkarte Anmelden aus 4 W hlen Sie Dieses Konto aus geben Sie dann den Berechtigungsnachweis f r den aktuellen Benutzer ein den Sie zum Installieren des Collector Managers verwendet haben B 4 F r Collector Manager Images wird keine UUID erstellt Wenn Sie Images von einem Collector Manager Server erstellen z B mit ZenWorks Imaging und diese Images auf verschiedenen Computern wiederhe
12. Melden Sie sich bei dem Computer auf dem die Client Anwendungen von Novell Sentinel Rapid Deployment laufen als Administrator an 2 Laden Sie das Patch Installationsprogramm f r Sentinel Rapid Deployment von der Webseite Novell Patch Finder http download novell com patch finder herunter 3 Kopieren Sie die heruntergeladene Datei in ein tempor res Verzeichnis 4 Extrahieren Sie die Dateien in dem Installationspaket 5 Navigieren Sie zu dem Verzeichnis in das Sie die Dateien des Installationsprogramms extrahiert haben 6 W hlen Sie eine der folgenden Vorgehensweisen um das Installationsprogramm zu starten Doppelklicken Sie auf die Datei service pack bat und befolgen Sie die Anweisungen auf dem Bildschirm Starten Sie die Datei service pack bat von einer Eingabeaufforderung aus und befolgen Sie die Anweisungen auf dem Bildschirm 58 Sentinel Rapid Deployment Installationshandbuch Sicherheits berlegungen fur Sentinel Rapid Deployment Dieser Abschnitt enth lt spezielle Anweisungen f r die sichere Installation Konfiguration und Wartung von Novell Sentinel Rapid Deployment Abschnitt 5 1 Erh hen der Systemsicherheit auf Seite 59 Abschnitt 5 2 Sichern der Kommunikation im gesamten Netzwerk auf Seite 60 Abschnitt 5 3 Sichern von Benutzern und Passw rtern auf Seite 62 Abschnitt 5 4 Sichern der Sentinel Daten auf Seite 65 Abschnitt 5 5 Sicherung von Informationen
13. Novell unterst tzt auch die Ausf hrung auf Betriebssystemen wenn diese kleinere Aktualisierungen erhalten haben z B Sicherheitspatches oder Hotfixes Das Ausf hren von Sentinel Rapid Deployment auf Systemen mit gro en oder kleinen Aktualisierungen dieser Plattformen wird jedoch erst unterst tzt wenn Novell diese Aktualisierungen gepr ft und zertifiziert hat Zu den Serverkomponenten von Sentinel Rapid Deployment geh ren der Communication Server die Correlation Engine der Data Access Service DAS der Webserver sowie der Datenabonnement Service Advisor Die Client Anwendungen von Sentinel sind Sentinel Control Center SCC Sentinel Data Manager SDM und Sentinel Solution Designer SSD F r den Collector Manager gelten besondere Plattformanforderungen Tabelle 2 1 Unterst tzte und zertifizierte Betriebssysteme Client Plattformen Serverkomponenten Anwendungen Collector Manager von Sentinel SUSE Linux Enterprise Server SLES Zertifiziert Zertifiziert Zertifiziert 11 SP1 64 Bit Systemanforderungen 19 Client Plattformen Serverkomponenten Anwendungen Collector Manager von Sentinel SUSE Linux Enterprise Server SLES Nicht unterst tzt Unterst tzt Unterst tzt 11 SP1 32 Bit SUSE Linux Enterprise Server SLES Zertifiziert Unterst tzt Unterst tzt 10 SP3 64 Bit SUSE Linux Enterprise Server SLES Unterst tzt Unterst tzt Unterst tzt 10 SP3 32 Bit Windows Server 2008 R2 64 Bit Nicht unterst tzt
14. Sie die Eingabetaste 5 Geben Sie den neuen g ltigen Lizenzschl ssel an und befolgen Sie die Anweisungen auf dem Bildschirm um den Vorgang nach der Aktualisierung des Lizenzschl ssels zu beenden 54 Sentinel Rapid Deployment Installationshandbuch Aktualisierung von Sentinel Rapid Deployment Dieser Abschnitt enth lt Informationen zur Aktualisierung einer vorhandenen Version von Sentinel Rapid Deployment mit dem neuesten Patch Hinweis Dieser Patch steht nur f r eine 64 Bit Installation von Sentinel Rapid Deployment zur Verf gung Die Anwendung dieses Patches auf einem 32 Bit Demosystem f hrt zu einer nicht funktionsf higen Installation Abschnitt 4 1 Voraussetzungen auf Seite 55 Abschnitt 4 2 Installation des Patches auf dem Server auf Seite 55 Abschnitt 4 3 Aktualisieren des Collector Managers und der Client Anwendungen auf Seite 56 4 1 Voraussetzungen Stellen Sie sicher dass auf dem System das Sie aktualisieren bereits Sentinel 6 1 Rapid Deployment SP1 installiert ist Stellen Sie sicher dass Sentinel Data Manager Auftr ge aktiviert sind damit die Partition Aktuelle Elemente online nie den Wert P_MAX erreicht Falls der P_MAX Wert erreicht wird und Sie manuell Partitionen hinzuf gen startet Sentinel Control Center nicht 4 2 Installation des Patches auf dem Server 1 Melden Sie sich bei dem Server auf dem Sie den Patch installieren m chten als novell Benut
15. Spure gt Sie k nnen Details wie Collector TargetIP Schweregrad Service Port des Ziels und Ressource anzeigen 26 W hlen Sie die Registerkarte Korrelation Das Fenster Manager f r Korrelationsregeln wird angezeigt N Manager f r Korrelationsregeln dh Hinzuf gen fi Ordner SE F Korrelstionsregeln in Unterordnern auflisten Ordner verwalten ImportiereniExportieren Fertig Aktuslisieren Aktualisiert am 16 05 11 09 42 17 27 Klicken Sie auf Hinzuf gen Das Fenster Assistent f r Korrelationsregeln wird angezeigt 76 Sentinel Rapid Deployment Installationshandbuch Korrelationsregel B Welchen Korrelationsregeltyp m chten Sie erstellen Einfach Eine Regel die den angegebenen Bedingungen entspricht Aggregat Aggregatregel erstellen Zusammengesetzt Eine Regel die mindestens zwei einfachen Regeln gemeinsam entspricht Sequenz Eine Regel die die Ausf hrung aufeinander folgender Regeln erlaubt Benutzerdefiniert Formfrei Erm glicht das Schreiben benutzerdefinierter Regeln unter Verwendung von RuleLt 28 Klicken Sie auf Einfach Das Fenster Einfache Regel wird angezeigt Testen der Funktionalit t von Sentinel Rapid Deployment 77 Korrelationsregel Einfache Regel Ausl sen wenn alle v der folgenden Bedingungen erf llt werden Schweregr v 24 RuleLg Vorschau filter e Severity 4
16. Weitere Informationen finden Sie in Exportieren des LDAP Server CA Zertifikats auf Seite 46 9 Achten Sie darauf die erforderliche Eigent merschaft und die erforderlichen Berechtigungen der Zertifikatsdateien festzulegen chown novell novell lt Installationsverzeichnis gt config lt cert file gt chmod 700 lt Installationsverzeichnis gt config lt cert file gt 10 F gen Sie jedes Zertifikat dem Keystore 1dap_server keystore zu der in Schritt 8 im Abschnitt Konfigurieren des Sentinel Servers f r die LDAP Authentifizierung auf Seite 47 erstellt wird lt Installationsverzeichnis gt jre64 bin keytool importcert noprompt trustcacerts file lt certificate file gt alias lt alias_name gt keystore ldap_server keystore storepass sentinel Ersetzen Sie lt certificate file gt durch den Namen der Datei mit dem LDAP Zertifikat im Base64 verschl sselten Format und lt alias_name gt durch den Aliasnamen f r das zu importierende Zertifikat Wichtig Die Angabe des Aliasnamens ist erforderlich Wird kein Aliasname angegeben verwendet das Keytool standardm ig mykey als Aliasnamen Wenn Sie mehrere Zertifikate in den Keystore importieren ohne einen Aliasnamen anzugeben meldet das Keytool als Fehler dass der Aliasname bereits vorhanden ist 11 Starten Sie den Sentinel Dienst ete init d sentinel start 3 7 6 Anmeldung unter Verwendung von LDAP Benutzerberechtigungsnachweisen Nachdem Sie den Sentinel Serv
17. Zertifiziert Zertifiziert Windows Server 2003 R2 64 Bit Nicht unterst tzt Unterst tzt Unterst tzt Windows Server 2003 R2 32 Bit Nicht unterst tzt Unterst tzt Unterst tzt Windows XP SP3 32 Bit Nicht unterst tzt Unterst tzt Nicht unterst tzt Windows Vista SP2 32 Bit Nicht unterst tzt Unterst tzt Nicht unterst tzt Windows 7 Nicht unterst tzt Zertifiziert Nicht unterst tzt Beachten Sie folgende Richtlinien zur Gew hrleistung optimaler Leistung Stabilit t und Zuverl ssigkeit Wird SLES verwendet m ssen auf dem Computer mit dem Sentinel Rapid Deployment Server mindestens die Komponenten Base Server und X Window von SLES installiert sein Verwenden Sie f r den Sentinel Rapid Deployment Server das EXT3 Dateisystem Weitere Informationen zu Dateisystemen finden Sie unter Overview of File Systems in Linux http www novell com documentation sles11 stor_admin data filesystems html berblick ber Dateisysteme in Linux im Storage Administration Guide Handbuch zur Speicherungsverwaltung Hinweis Sentinel Rapid Deployment wird auf Open Enterprise Server Installationen von SLES nicht unterst tzt Die 32 Bit Demoversion des Sentinel 6 1 Rapid Deployment Servers wurde f r Demonstrations und Testumgebungen mit begrenztem Umfang konzipiert in denen 32 Bit Hardware und Betriebssysteme eingesetzt werden Kunden oder Partner mit einem Support Vertrag f r Sentinel 6 1 Rapid Deployment k nnen vom Technis
18. all aus install sh all Das Installationsskript pr ft zun chst ob gen gend Arbeitsspeicher und Plattenspeicherplatz zur Verf gung stehen Bei weniger als 1 GB verf gbarem Arbeitsspeicher beendet das Skript die Installation automatisch Bei mehr als 1 GB doch weniger als 4 GB Arbeitsspeicher meldet das Skript dass weniger Arbeitsspeicher als empfohlen zur Verf gung steht Sie k nnen angeben ob Sie mit der Installation fortfahren m chten Geben Sie y ein wenn die Installation fortgesetzt werden soll und n wenn Sie nicht fortfahren m chten Geben Sie den Benutzernamen ein oder dr cken Sie die Eingabetaste um den Standardbenutzernamen zu verwenden Der Standardbenutzername ist novell Wenn der angegebene Benutzer bereits vorhanden ist informiert Sie das Installationsprogramm und listet die Gruppe der Benutzer auf Fahren Sie mit Schritt 8 fort Wenn der angegebene Benutzername nicht vorhanden ist erstellt das Installationsprogramm den Benutzer Fahren Sie mit Schritt 7 fort Geben Sie den Gruppennamen ein oder dr cken Sie die Eingabetaste um den Standardgruppennamen zu verwenden Der Standardgruppenname ist novell Wenn der angegebene Gruppenname vorhanden ist f hrt das Installationsprogramm mit der Installation fort Anderenfalls erstellt das Installationsprogramm die Gruppe und meldet dass der angegebene Benutzername in der angegebenen Gruppe erstellt wird Der angegebene Benutzer und die angegebene Gruppe sind Eige
19. beginnt die Dateien zu extrahieren und fragt nach Ihrer Lizenz 15 Geben Sie 1 ein wenn Sie einen Lizenzschl ssel f r eine 90 Tage Testversion verwenden m chten Geben Sie 2 ein wenn Sie den g ltigen Lizenzschl ssel verwenden m chten Wenn Sie 2 eingeben fordert das Installationsprogramm Sie auf den g ltigen Sentinel RD Lizenzschl ssel einzugeben Geben Sie einen ung ltigen Lizenzschl ssel ein fordert Sie das Installationsprogramm erneut dazu auf den g ltigen Lizenzschl ssel einzugeben Ist auch der zweite angegebene Lizenzschl ssel ung ltig wird automatisch ein Lizenzschl ssel f r eine 90 Tage Testversion verwendet Sie k nnen den g ltigen Lizenzschl ssel sp ter eingeben Anschlie end l dt das Skript die g ltige Lizenz bzw die Testlizenz 34 Sentinel Rapid Deployment Installationshandbuch 16 Geben Sie ein Passwort f r den Benutzer dbauser ein und best tigen Sie es durch erneutes Eingeben Die dbauser Berechtigung wird zur Erstellung von Tabellen und Partitionen in der PostgreSQL Datenbank verwendet 17 Geben Sie ein Passwort f r den Benutzer admin ein und best tigen Sie es durch erneutes Eingeben Verwenden Sie in den Passw rtern f r die Benutzer admin und dbauser keinen umgekehrten Schr gstrich und kein Apostroph da diese Zeichen in PostgreSQL Datenbanken nicht zul ssig sind 18 Wenn die Sentinel Rapid Deployment Dienste automatisch beim Systemstart gestartet werden sollen f hren
20. die Darstellung der konzeptuellen Architektur von Sentinel Rapid Deployment die Aufschluss ber die an der Sicherheits und Konformit tsverwaltung beteiligten Komponenten gibt 10 Sentinel Rapid Deployment Installationshandbuch Abbildung 1 1 Konzeptuelle Architektur von Sentinel Sentinel RD Ereignisquellen PostgreSQL N Ereignisquellen Datenerfassung Konfiguration iTrac Korrelation Collection Manager Collector Manager g ss Sentinel Control Center Sentinel Data Ereignisquellen Manager e zm mm mm wm mm vm mm om mm wm wm 8 3 2 5 2 al Sentinel Control Center e e em e em e em em em e em em em em em em e em em e em em em em em e e em em e em em e em e e e em em e em em e em em e e em em em pm em 1 2 Konfiguration von Sentinel 6 1 Rapid Deployment Die folgende Grafik zeigt die Konfiguration von Sentinel 6 1 Rapid Deployment Produkt bersicht 11 Abbildung 1 2 Konfiguration von Sentinel 6 1 Rapid Deployment Beispielkonfiguration mit Linux PostgreSQL Datenbank Correlation engine Si ist auf dem Sentinel Server Computer instalbert installiert PostgreSQL Datenbank Sentinel Server Sentinel RD Server OS SLES Datenbank Sentinel Cent Anwendungen Sentinel Control Center Sentinel Data Manager Solution Designer OS Linux und Windows Collector Manager OS Linux und Windows 1 3 Benutzeroberfl chen von Sentinel Rapid Deployment Po
21. gesamten Netzwerk 2 2222 ses seen 60 5 2 1 Kommunikation zwischen Sentinel Serverprozessen 2222222 eeren en 60 5 2 2 Kommunikation zwischen dem Sentinel Server und den Sentinel Client Anwendungen 60 5 2 3 Kommunikation zwischen Server und Datenbank 61 5 2 4 Kommunikation zwischen den Collector Managern und den Ereignisquellen 62 5 2 5 Kommunikation mit Webbrowsern 2 22 22n saacana eaa 62 5 2 6 Kommunikation zwischen der Datenbank und anderen Clients 62 5 3 Sichern von Benutzern und Passw rtern 2 2 2 2 eeeeeneneere rennen nn 62 5 3 1 Betriebssystembenutzer 63 5 3 2 Sentinel Anwendungs und Datenbankbenutzer onana nnana ae 63 5 3 3 Erzwingen der Einhaltung einer Passwortrichtlinie f r Benutzer 64 5 4 Sichern der Sentinel Daten LL 65 5 5 Sicherung von Informationen 68 5 6 Sichern des Betriebssystems 2222 mon nern en ernennen nern een 69 5 7 Anzeigen von Sentinel Audit Ereignissen 70 5 8 Verwenden eines CA Zertifikats LL 70 Sentinel Rapid Deployment Installationshandbuch Testen der Funktionalit t von Sentinel Rapid Deployment 71 6 1 Testen der Installation von Rapid Deployment 71 6 2 Bereinigung nach dem Testen rer een rennen een rerren 83 6 3 Verwenden realer Daten 84 Deinstallation von Sentinel Rapid Deployment 85 7 1 Deinstallieren des Sentinel Rapid Deployment Servers 85 7 2 Deinstallieren des Remote Collector Mana
22. m ssen den Sentinel Server mit einem NTP Server oder einen anderen Zeitserver verbinden Wenn die Systemzeit nicht zwischen den einzelnen Computern synchronisiert ist funktionieren Sentinel Correlation Engine und Active Views nicht ordnungsgem Die Ereignisse von den Collector Managern werden nicht als Echtzeitereignisse betrachtet und daher unter Umgehung der Sentinel Control Center und Correlation Engines nicht direkt an die Sentinel Datenbank gesendet Standardm ig liegt der Schwellwert f r Echtzeit Daten bei 120 Sekunden Diese Vorgabe kann durch eine nderung des Werts esecurity router event realtime expiration in der Datei event router properties ge ndert werden Die Sentinel Ereignisuhrzeit wird entsprechend der Uhrzeit des Trust Device oder des Collector Managers ausgef llt Die Uhrzeit des Trust Device kann w hrend der Konfiguration eines Collector ausgew hlt werden Die Uhrzeit des Trust Device ist der Zeitpunkt an dem das Protokoll vom Ger t erstellt wurde Die Collector Manager Uhrzeit ist die lokale Systemzeit des Collector Manager Systems 3 7 LDAP Authentifizierung Sentinel Rapid Deployment unterst tzt die LDAP Authentifizierung neben der Datenbank Authentifizierung Sie k nnen Benutzern erlauben sich bei Sentinel Rapid Deployment unter Verwendung ihrer Novell eDirectory oder Microsoft Active Directory Berechtigung anzumelden indem Sie einen Sentinel Rapid Deployment Server f r die LDAP Authentifizierung konfigurie
23. nahmen Diese Daten erm glichen in Kombination mit Informationen zu bekannten Schwachstellen sowie Echtzeit Informationen zu Intrusion Detection Erkennung von Eindringversuchen und den entsprechenden Gegenma nahmen aus Ihrer Systemumgebung eine proaktive Schwachstellenerkennung Au erdem kann im Falle eines Angriffs eines anf lligen Systems sofort reagiert werden Bei der Installation von Sentinel 6 1 Rapid Deployment wird standardm ig ein Advisor Daten Snapshot installiert Sie ben tigen eine Advisor Lizenz um die fortlaufenden Aktualisierungen der Advisor Daten zu abonnieren Weitere Informationen finden Sie unter Advisor Usage and Maintenance Verwendung und Wartung von Advisor im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 8 Webserver F r eine sichere Verbindung zur Weboberfl che von Sentinel Rapid Deployment wird Apache Tomcat als Webserver verwendet 1 5 Sentinel Plugins Sentinel unterst tzt eine Reihe von Plugins zur Erweiterung und Optimierung der Systemfunktionalit t Einige dieser Plugins sind bereits vorinstalliert Von der Sentinel 6 1 Plugins Website http support novell com products sentinel secure sentinelplugins html k nnen weitere Plugins und Updates heruntergeladen werden F r das Herunterladen einiger Plugins z B f r Remedy Integrator IBM Mainframe Connector und den Connector f r SAP XAL ist eine zus tzliche Lizenz erforderlich Abschnitt 1
24. soll Der Wert wird in Kilobyte angegeben Der Standardwert lautet 16 384 Kilobyte 16 MB Gr ere Einstellungen k nnen die Leistung f r das Bereinigen Vacuuming und Wiederherstellen von Datenbank Dumps verbessern ndern Sie diesen Parameter nicht Der Standardwert ist f r die Sentinel Rapid Deployment Vorg nge ausreichend Bew hrte Verfahren f r die Pflege der PostgreSQL Datenbank 95 C 2 Verringern der E A Auswirkung von Bereinigungs Analyse Prozessen Es gibt mehrere M glichkeiten die Leistung der PostgreSQL Datenbank zu verbessern Die folgenden beiden Parameter steuern automatische Bereinigungsprozesse Standardm ig sind diese Parameter w hrend der Installation des Sentinel Rapid Deployment Servers auskommentiert und Sie m ssen den Kommentar entfernen und die Werte festlegen vacuum_cost_delay Legt fest wie lange der Prozess inaktiv bleibt wenn die Kostengrenze berschritten wurde Sie k nnen diesen Wert beispielsweise auf 100 festlegen vacuum_cost_limit Legt die akkumulierten Kosten fest die bewirken dass der Bereinigungs Prozess Vacuuming deaktiviert wird Sie k nnen diesen Wert beispielsweise auf 10000 festlegen Wenn Sie diese Parameter auf einen Wert ungleich Null setzen wird die E A Auswirkung des Bereinigungs und Analysebefehls auf die normale Datenbankaktivit t verringert Da die Bereinigung l nger als fr her dauert kann das Ausf hren der Berichte die Leistung minimal beeintr c
25. sowie mit der maximalen Ger teanzahl f r einen bestimmten EPS Wert durchgef hrt Es wurde folgende Hardware Konfiguration verwendet Anzahl der CPU Kerne A CPU Modell Intel Xeon CPU X5770 bei 2 93 GHz 24 Sentinel Rapid Deployment Installationshandbuch RAM 16 GB Festplattengr e RAID Typ und Anzahl der Festplatten im RAID 1 7 TB RAID 5 6 Festplatten Hinweis Alle Tests wurden mit Syslog basierten Ereignisquellen durchgef hrt Andere Connectors bieten m glicherweise eine andere Leistung Die folgende Tabelle zeigt die maximalen EPS die Sie mit einer unterschiedlichen Anzahl an Ger ten auf einem SLES System skalieren k nnen Tabelle 2 6 Maximale EPS auf einem SLES System Systemeinrichtung 4 Collector Manager ein lokaler und drei remote mit 10 Collectors die jeweils 500 EPS generieren 4 Collector Manager ein lokaler und drei remote mit 10 Collectors die jeweils 500 EPS generieren 4 Collector Manager ein lokaler und drei remote mit 10 Collectors die jeweils 500 EPS generieren Ger te 25 100 1 000 Maximaler EPS Wert 5 000 5 000 5 000 Die folgende Tabelle zeigt die maximalen Ger te die Sie mit unterschiedlichen EPS Raten auf einem SLES System skalieren k nnen Tabelle 2 7 Maximale Ger te auf einem SLES System Systemeinrichtung EPS Maximale Ger teanzahl 1 Collector Manager mit 1 Collector der 500 EPS generiert 500 2 000 1 Collector Manager mit 2
26. 27 0 0 1 32 md5 Um die Verbindungen von anderen Client Computern einzuschr nken k nnen Sie zus tzliche host Eintr ge hinzuf gen 5 3 Sichern von Benutzern und Passw rtern Abschnitt 5 3 1 Betriebssystembenutzer auf Seite 63 Abschnitt 5 3 2 Sentinel Anwendungs und Datenbankbenutzer auf Seite 63 Abschnitt 5 3 3 Erzwingen der Einhaltung einer Passwortrichtlinie f r Benutzer auf Seite 64 62 Sentinel Rapid Deployment Installationshandbuch 5 3 1 Betriebssystembenutzer Server Installation auf Seite 63 Installation von Collector Manager auf Seite 63 Server Installation Bei der Server Installation von Sentinel Rapid Deployment werden der Systembenutzer und eine Gruppe erstellt die Eigent mer der installierten Dateien im lt Installationsverzeichnis gt sind Wenn der Benutzer nicht vorhanden ist dann wird er erstellt und sein Basisverzeichnis wird auf lt Installationsverzeichnis gt festgelegt Wenn ein neuer Benutzer erstellt wird wird das Passwort aus Sicherheitsgr nden nicht standardm ig festgelegt Wenn Sie sich bei dem System als der Benutzer anmelden m chten der w hrend der Installation erstellt wurde m ssen Sie dem Benutzer im Anschluss an die Installation ein Passwort zuweisen Installation von Collector Manager Abh ngig von dem Betriebssystem auf dem der Collector Manager installiert ist K nnen die Sicherheitsstufen der Systembenutzer variieren Linux Das
27. 5 1 Collectors auf Seite 16 Abschnitt 1 5 2 Connectors und Integratoren auf Seite 17 Abschnitt 1 5 3 Korrelationsregeln und aktionen auf Seite 17 Abschnitt 1 5 4 Berichte auf Seite 17 Abschnitt 1 5 5 ITRAC Workflows auf Seite 18 Abschnitt 1 5 6 L sungspakete auf Seite 18 1 5 1 Collectors Sentinel sammelt Daten von Quellger ten und stellt einen umfassenderen Ereignisdatenstrom bereit indem Taxonomie Schwachstellenerkennung sowie Gesch ftsrelevanz in den Datenstrom integriert werden bevor Ereignisse korreliert analysiert und an die Datenbank gesendet werden Ein umfangreicherer Ereignisstrom bedeutet dass die Daten mit dem erforderlichen Gesch ftskontext korreliert werden um interne bzw externe Bedrohungen und Richtlinienverletzungen erkennen und beheben zu k nnen 16 Sentinel Rapid Deployment Installationshandbuch Sentinel Collectors k nnen unter anderem Daten von folgenden Ger tetypen analysieren Intrusion Detection Systeme Host Virenschutzsysteme Intrusion Detection Systeme Netzwerk Webserver Firewalls Datenbanken Betriebssysteme Mainframe Richtlinien berwachung System zur Anf lligkeitsbewertung Authentifizierung Directory Services Router und Switches Netzwerkverwaltungssysteme VPNs Propriet re Systeme JavaScript Collectors k nnen mit standardm igen JavaScript Entwicklungswerkzeugen und dem Collector SDK gesc
28. Anwendungen installiert wurde 10 Geben Sie den Benutzernamen ein oder dr cken Sie die Eingabetaste um den Standardbenutzernamen zu verwenden Der Standardbenutzername ist esecadn Dies ist der Benutzername des Eigent mers des installierten Sentinel Produkts Wenn der Benutzer noch nicht existiert wird er gemeinsam mit einem Basisverzeichnis im angegebenen Verzeichnis erstellt 11 Geben Sie das Basisverzeichnis des Benutzers an oder dr cken Sie die Eingabetaste um das Standardverzeichnis zu verwenden Das Standardverzeichnis ist export home Lauter der Benutzername esecadm dann hei t das entsprechende Basisverzeichnis export home esecadn 12 Geben Sie das Passwort an mit dem sich der Benutzer als esecadm Benutzer anmelden kann falls Sie in Schritt 10 den Standardbenutzernamen ausgew hlt haben Anderenfalls geben Sie das Passwort f r den Benutzer an den Sie in Schritt 10 erstellt haben 13 Legen Sie die folgenden Werte fest Nachrichtenbus Port Der Port den der Kommunikationsserver berwacht Die Komponenten die eine direkte Verbindung mit dem Kommunikationsserver herstellen verwenden diesen Port Die Standard Portnummer lautet 61616 Sentinel Control Center Proxy Port Der Port den der SSL Proxyserver DAS Proxy berwacht um den Benutzernamen und das Passwort zu akzeptieren Der SSL Proxyserver akzeptiert den Berechtigungsnachweis auf Basis der authentifizierten Verbindungen Sentinel Control Center verwende
29. Collectors die jeweils 500 EPS 1 000 2 000 generieren 1 Collector Manager mit 3 Collectors die jeweils 500 EPS 1 500 2 000 generieren Hinweis Wenn Sie mehr EPS oder Ger te skalieren m chten installieren Sie zus tzliche Collector Manager Die maximalen Anzahlen an Ger ten sind keine unver nderbaren Begrenzungen sondern Empfehlungen die auf Leistungsmessungen von Novell basieren Sie gehen von einer geringen durchschnittlichen EPS Rate pro Ger t aus weniger als 3 EPS H here EPS Raten f hren zu einem niedrigeren dauerhaften Maximum an Ger ten Mit der folgenden Gleichung k nnen Sie die ungef hren Grenzen f r Ihre spezifische durchschnittliche EPS Rate oder die Anzahl der Ger te ermitteln sofern die maximale Anzahl der Ger te die oben angegebene Grenze nicht berschreitet maximale Ger te x durchschnittliche EPS pro Ger t maximale Ereignisrate Systemanforderungen 25 26 Sentinel Rapid Deployment Installationshandbuch Installation Dieser Abschnitt enth lt Informationen zur Installation von Sentinel Rapid Deployment und der Client Komponenten e Abschnitt 3 1 berblick auf Seite 27 Abschnitt 3 2 Installation auf SUSE Linux Enterprise Server auf Seite 29 Abschnitt 3 3 Installieren des Collector Managers und der Sentinel Client Anwendungen auf Seite 35 Abschnitt 3 4 Manuelles Starten und Anhalten der Sentinel Dienste auf Seite 42 Abschnitt 3 5 Manuell
30. Erstellung und Modifizierung von L sungspaketen Hierbei handelt es sich um Pakete mit Sentinel Inhalten beispielsweise Korrelationsregeln Aktionen iTRAC Workflows und Berichte Sentinel Inhalte erweitern die Funktionalit t des Sentinel Systems Zu diesen Inhalten geh ren Aktionen Integratoren und Plugins beispielsweise Collectors Connectors und L sungspakete die ihrerseits mehrere andere Arten von Plugins enthalten k nnen Diese modularen Komponenten erm glichen die Integration von Drittanbieter Systemen die Installation einer vollst ndig steuerungsbasierten Sicherheitsl sung sowie die automatisierte Beseitigung erkannter Vorf lle Weitere Informationen finden Sie unter Solution Packs L sungspakete im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 3 5 Sentinel Plugin SDK Das Sentinel Plugin SDK enth lt von Novell Engineering entwickelte Bibliotheken und Code Au erdem beinhaltet es die Schablone und Beispielcode die Sie f r die Entwicklung Ihrer eigenen Projekte verwenden k nnen Weitere Informationen finden Sie auf der Webseite zu Sentinel SDK http www novell com developer develop_to_sentinel htm 1 4 Sentinel Serverkomponenten Sentinel besteht aus den folgenden Komponenten Abschnitt 1 4 1 Data Access Service auf Seite 14 Abschnitt 1 4 2 Nachrichtenbus auf Seite 15 Abschnitt 1 4 3 Sentinel Datenbank auf Seite 15 Abschnitt 1 4 4
31. Installationsprogramm fordert Sie auf den Namen des Systembenutzers anzugeben der Eigent mer der installierten Dateien sein soll Au erdem fragt es nach dem Speicherort an dem das Basisverzeichnis f r diesen Benutzer erstellt werden soll Standardm ig ist der Systembenutzer esecadm Sie k nnen jedoch den Namen dieses Systembenutzers ndern Wenn der Benutzer nicht vorhanden ist wird er zusammen mit seinem Basisverzeichnis erstellt Wenn ein neuer Benutzer erstellt wird wird das Passwort w hrend der Installation aus Sicherheitsgr nden nicht festgelegt Wenn Sie sich bei dem System als dieser Benutzer anmelden m chten m ssen Sie dem Benutzer im Anschluss an die Installation ein Passwort zuweisen Die Standardgruppe ist esec Wenn der Benutzer w hrend der Client Installation bereits vorhanden ist dann werden Sie vom Installationsprogramm nicht erneut nach dem Benutzer gefragt Dieses Verhalten hnelt dem Verhalten beim Deinstallieren oder erneuten Installieren von Software Sie k nnen jedoch daf r sorgen dass das Installationsprogramm erneut nach dem Benutzer fragt 1 L schen Sie den Benutzer und die Gruppe die bei der ersten Installation erstellt wurden 2 L schen Sie die ESEC_USER Umgebungsvariablen aus etc profile Windows Es werden keine Benutzer erstellt Die Passwortrichtlinien f r Systembenutzer werden durch das verwendete Betriebssystem bestimmt 5 3 2 Sentinel Anwendungs und Datenbankbenutzer Alle Anwendungsben
32. Legen Sie die Umgebungsvariable JAVA_HOME so fest dass sie auf den JRE 6 Ordner verweist Der Exportpfad sollte auf den Ordner bin unterhalb des JRE 6 Speicherorts verweisen Durch Verwendung von lt Installationsverzeichnis gt bin als der Benutzer der Eigent mer der Sentinel Rapid Deployment Installationsdateien ist Beispiel bin lt client_application gt sh Tabelle 3 2 Client Anwendungen von Sentinel Komponente Beschreibung Sentinel Control Center Die Hauptkonsole f r Sicherheits oder Konformit tsanalysten Sentinel Data Manager Dienstprogramm zur Datenbankverwaltung Solution Designer Anwendung zum Erstellen von L sungspaketen Sentinel Collector Manager Dienst der die Verbindung zu Ereignisquellen Datenanalysen Zuordnungen usw handhabt Auf dem Sentinel Server wird ein Collector Manager installiert Mithilfe eines per Download erh ltlichen Installationsprogramms k nnen jedoch auf Windows oder Linux Remote Computern zus tzliche Collector Manager installiert werden 28 Sentinel Rapid Deployment Installationshandbuch 3 2 Installation auf SUSE Linux Enterprise Server Abschnitt 3 2 1 Voraussetzungen auf Seite 29 Abschnitt 3 2 2 Installation von Sentinel Rapid Deployment auf Seite 30 3 2 1 Voraussetzungen Stellen Sie sicher dass folgende Voraussetzungen erf llt sind bevor Sie Sentinel Rapid Deployment installieren Weitere Informationen zu diesen Voraussetzungen einschlie lich der Liste de
33. P Authentifizierung 1 Stellen Sie sicher dass die Schritte Schritt 2 auf Seite 47 bis Schritt 10 auf Seite 48 zur Konfiguration des Sentinel Servers f r die LDAP Authentifizierung ber den prim ren LDAP Server durchgef hrt wurden 2 Melden Sie sich beim Sentinel Server als der Benutzer novell an 3 Beenden Sie den Sentinel Dienst etc init d sentinel stop 4 Wechseln Sie in das Verzeichnis lt Installationsverzeichnis gt config cd lt Installationsverzeichnis gt config 5 ffnen Sie die Datei auth login zum Bearbeiten vi auth login 6 Aktualisieren Sie den Parameter userProvider im Abschnitt LdapLogin und geben Sie mehrere LDAP URLs an Trennen Sie die URLs durch ein Leerzeichen Beispiel userProvider 1ldap ldap url1 ldap ldap ur12 Bei Active Directory darf der Teilbaum in der LDAP URL nicht leer sein Weitere Informationen zur Angabe mehrerer LDAP URLs finden Sie in der Beschreibung der Option userProvider unter Class LdapLoginModule http java sun com javase 6 docs jre api security jaas spec com sun security auth module LdapLoginModule htm 7 Speichern Sie die nderungen 8 Exportieren Sie das Zertifikat f r jeden Failover LDAP Server und kopieren Sie die Zertifikatdatei in das Verzeichnis lt Installationsverzeichnis gt config auf dem Sentinel Server Weitere Informationen finden Sie unter Exportieren des LDAP Server CA Zertifikats auf Seite 46 9 Stellen Sie sicher dass die Zertifikatda
34. Sentinel Collector Manager auf Seite 15 Abschnitt 1 4 5 Correlation Engine auf Seite 15 Abschnitt 1 4 6 ITRAC auf Seite 15 Abschnitt 1 4 7 Sentinel Advisor und Schwachstellenerkennung auf Seite 16 Abschnitt 1 4 8 Webserver auf Seite 16 1 4 1 Data Access Service Der Sentinel Data Access Service ist die Hauptkomponente f r die Kommunikation mit der Sentinel Datenbank Der Data Access Server sorgt gemeinsam mit anderen Server Komponenten daf r dass von den Collector Managern bermittelte Ereignisse in der Datenbank gespeichert Daten gefiltert Active View Anzeigen verarbeitet Datenbankabfragen durchgef hrt Ergebnisse verarbeitet und administrative Aufgaben wie z B die Benutzerauthentifizierung und autorisierung durchgef hrt werden Weitere Informationen finden Sie unter Data Access Service im Sentinel Rapid Deployment Reference Guide Sentinel Rapid Deployment Referenzhandbuch 14 Sentinel Rapid Deployment Installationshandbuch 1 4 2 Nachrichtenbus Sentinel Rapid 6 1 Deployment verwendet den Open Source Message Broker Apache Active MQ Der Nachrichtenbus kann in einer einzigen Sekunde Tausende Nachrichtenpakete zwischen den Komponenten von Sentinel bertragen Die Apache Active MQ Architektur orientiert sich an der Java Message Oriented Middleware JMOM die asynchrone Aufrufe zwischen den Client und Server Anwendungen unterst tzt Nachrichtenwarteschlangen erm glichen die tempo
35. Server jedoch auf die neueste Version aufr sten m ssen Sie folgende Schritte durchf hren damit Sentinel Rapid Deployment die neueste Version verwendet 1 Laden Sie die JRE Bundles f r das Betriebssystem herunter auf dem der Sentinel Rapid Deployment Server installiert ist Der Benutzer der die Aufr stung durchf hrt ben tigt Schreibzugriff auf das Sentinel Rapid Deployment Installationsverzeichnis sowie auf das Verzeichnis in das die Aufr stungsdateien heruntergeladen werden Wenn Sie Sentinel Rapid Deployment auf einem SUSE Linux Enterprise Server installiert haben laden Sie sowohl 32 Bit als auch 64 Bit JRE Bundles von der Java Download Seite http www java com en download manual jsp herunter 2 Benennen Sie die Ordner jre und jre64 im Installationsverzeichnis von Sentinel Rapid Deployment in jre_old bzw jre64_old um cd lt install_path gt sentinel_rd mv jre jre_old mv jre64 jre64_ old Hinweis Das Umbenennen ist erforderlich um wieder die lteren Versionen verwenden zu k nnen falls die Java Aufr stung nicht ordnungsgem funktioniert Sie k nnen die umbenannten Ordner l schen wenn Java nach der Aufr stung korrekt funktioniert 3 Extrahieren Sie die heruntergeladenen JRE Bundles 4 Benennen Sie den 32 Bit Ordner in jre und den 64 Bit Ordner in jre64 um 42 Sentinel Rapid Deployment Installationshandbuch 5 Kopieren Sie die umbenannten Ordner jre und jre64 in das Installationsverzeichnis von Sent
36. Sie auf Client Installationsprogramme herunterladen und befolgen Sie die Anweisungen auf dem Bildschirm unterst tzten Plattformen installieren Weitere Informationen zur Installation des Collector Managers finden Sie in Abschnitt 3 3 4 Installieren des Sentinel Collector Managers auf SLES oder Windows auf Seite 39 Informationen zur Installation des Client Installationsprogramms finden Sie in Abschnitt 3 3 3 Installieren der Sentinel Client Anwendungen auf Seite 37 3 3 2 Portnummern f r Sentinel Rapid Deployment Client Komponenten Verwenden Sie bei der Konfiguration Ihrer Firewall Einstellungen folgende Ports um den gegenseitigen Zugriff zwischen dem Sentinel Rapid Deployment Server und den Client Komponenten zu erm glichen Tabelle 3 3 Kompatible Portnummern f r Sentinel Rapid Deployment Client Komponenten Portnummer Beschreibung 61616 Sentinel Rapid Deployment Server ber ActiveMQ 10013 Sentinel Rapid Deployment Server ber einen Proxy 5432 PostgreSQL Datenbank 8443 Deployment Server 36 Sentinel Rapid Deployment Installationshandbuch Die Remote Collector Manager verwenden diese Portnummer f r die Verbindung zum Das Sentinel Control Center verwendet diese Portnummer f r die Verbindung zum Der Sentinel Data Manager verwendet diese Portnummer f r die Verbindung zur Die Web Clients verwenden diese Portnummer f r die Verbindung zum Sentinel Rapid 3 3 3 Installieren der Sent
37. Sie im Anschluss an die Installation das Skript install sh mit der Option createservice als root Benutzer aus install sh createservice Nach der Installation haben Sie folgende M glichkeiten Starten Sie die Sentinel Rapid Deployment Weboberfl che ber die URL https lt SERVER_IP gt 8443 sentinel lt SERVER_IP gt ist die IP Adresse des Computers auf dem Sentinel Rapid Deployment installiert ist Starten Sie das Sentinel Control Center indem Sie das Skript lt Installationsverzeichnis gt bin control_center sh als der oben in Schritt 7 erstellte Benutzer ausf hren 3 3 Installieren des Collector Managers und der Sentinel Client Anwendungen Laden Sie mit der Novell Sentinel Rapid Deployment Weboberfl che die Installationsprogramme f r den Collector Manager und den Client herunter Abschnitt 3 3 1 Herunterladen der Installationsprogramme auf Seite 35 Abschnitt 3 3 2 Portnummern f r Sentinel Rapid Deployment Client Komponenten auf Seite 36 Abschnitt 3 3 3 Installieren der Sentinel Client Anwendungen auf Seite 37 Abschnitt 3 3 4 Installieren des Sentinel Collector Managers auf SLES oder Windows auf Seite 39 3 3 1 Herunterladen der Installationsprogramme 1 ffnen Sie einen Webbrowser und rufen Sie folgende URL auf https lt svrname example com gt 8443 sentinel Ersetzen Sie lt svrname example com gt durch den tats chlichen DNS Namen bzw die tats chliche IP Adre
38. Suchen im LDAP Verzeichnis angegeben haben fahren Sie mit LDAP Authentifizierung ohne anonyme Suchen auf Seite 49 fort LDAP Authentifizierung ohne anonyme Suchen Wenn Sie bei der Konfiguration von Sentinel Rapid Deployment f r die LDAP Authentifizierung festgelegt haben dass anonymen Suchen im LDAP Verzeichnis nicht zul ssig sind f hrt die LDAP Authentifizierung keine anonymen Suchen durch Wenn Sie das LDAP Benutzerkonto ber das Sentinel Control Center erstellen m ssen Sie f r die nicht anonyme LDAP Authentifizierung die LDAP Benutzer DN angeben Sie k nnen diesen Ansatz sowohl f r eDirectory als auch f r Active Directory verwenden Weitere Informationen finden Sie unter Creating an LDAP User Account for Sentinel Erstellen eines LDAP Benutzerkontos im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Dar ber hinaus gibt es f r Active Directory einen alternativen Ansatz zur Durchf hrung der LDAP Authentifizierung ohne anonyme Suchvorg nge Weitere Informationen finden Sie in Nicht anonyme LDAP Authentifizierung unter Verwendung des UserPrincipalName Attributs in Active Directory Nicht anonyme LDAP Authentifizierung unter Verwendung des UserPrincipalName Attributs in Active Directory In Active Directory k nnen Sie LDAP Authentifizierung ohne anonyme Suchen auch mithilfe des Attributs userPrinicipalName durchf hren 1 Stellen Sie sicher dass das userPrinicipalN
39. _filename gt Ersetzen Sie lt install_filename gt durch den tats chlichen Namen der Installationsdatei 56 Sentinel Rapid Deployment Installationshandbuch 5 Wechseln Sie in das Verzeichnis in das Sie die Dateien des Installationsprogramms extrahiert haben cd lt directory_name gt Ersetzen Sie lt directory_name gt durch den Namen des Verzeichnisses in das Sie die Dateien des Installationsprogramms extrahiert haben 6 Beenden Sie die Collector Manager Dienste lt Installationsverzeichnis gt bin sentinel sh stop 7 F hren Sie das Installationsprogramm f r das Service Pack aus und befolgen Sie die Anweisungen auf dem Bildschirm service_pack sh Nach der Installation starten die Collector Manager Dienste automatisch Windows 1 Melden Sie sich bei dem Computer mit dem Sentinel Rapid Deployment Collector Manager als ein Admin Benutzer an 2 Laden Sie das Patch Installationsprogramm f r Sentinel Rapid Deployment von der Webseite Novell Patch Finder http download novell com patch finder herunter 3 Kopieren Sie die Installationsprogrammdatei in ein tempor res Verzeichnis 4 Extrahieren Sie die Dateien in dem Installationspaket 5 Beenden Sie die Collector Manager Dienste lt Installationsverzeichnis gt bin sentinel bat stop 6 Navigieren Sie zu dem Verzeichnis in das Sie die Dateien des Installationsprogramms extrahiert haben 7 W hlen Sie eine der folgenden Vorgehensweisen um das Installationsprogramm zu
40. ame Attribut f r den Active Directory Benutzer mit lt sAMAccountName domain gt definiert ist Weitere Informationen finden Sie unter User Principal Name Attribute http msdn microsoft com en us library ms680857 VS 85 aspx 2 Stellen Sie sicher dass Sie die Schritte Schritt 1 auf Seite 47 bis Schritt 10 auf Seite 48 durchgef hrt und bei der Eingabeaufforderung Anonymous searches on LDAP directory Anonyme Suchen im LDAP Verzeichnis auf Seite 48 ein n eingegeben haben 3 Bearbeiten Sie auf dem Sentinel Server den Abschnitt LdapLogin in der Datei lt Installationsverzeichnis gt config auth login LdapLogin com sun security auth module LdapLoginModule required userProvider ldap LDAP server IP 636 DN of the Container that contains the user objects authIdentity USERNAME Domain Name userFilter amp sAMAccountName USERNAME objectclass user useSSL true E Beispiel Installation 49 LdapLogin com sun security auth module LdapLoginModule required userProvider ldap 137 65 151 12 636 DC Test AD DC provo DC novell DC com authIdentity USERNAME Test AD provo novell com userFilter amp sAMAccountName USERNAME objectclass user useSSL true 4 Starten Sie den Sentinel Dienst neu etc init d sentinel stop etc init d sentinel start 3 7 4 Konfigurieren mehrerer LDAP Server zur Ausfallsicherheit So konfigurieren Sie einen oder mehrere LDAP Server als Failover Server fiir die LDA
41. amm im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Verwenden Sie bei vertraulichen Daten eine der folgenden Methoden zum Verschl sselung der Datensicherung Verschl sseln Sie die eigentlichen Daten wenn die Anwendung mit der die Daten erzeugt werden eine Verschl sselung unterst tzt So unterst tzen beispielsweise Datenbankprodukte und Drittanbieter Tools die Datenverschl sselung Verwenden Sie Sicherungssoftware die in der Lage ist die Daten w hrend des Sicherungsvorgangs zu verschl sseln Diese Methode ist mit Leistungs und Verwaltungsanforderungen verkn pft insbesondere beim Verwalten von Verschl sselungsschl sseln Verwenden Sie eine Verschl sselungs Appliance die w hrend der Datensicherung die Sicherungsmedien verschl sselt Wenn Sie die Medien transportieren und an einem anderen Ort aufbewahren m chten sollten Sie damit ein Unternehmen beauftragen das auf den Transport und die Aufbewahrung von Speichermedien spezialisiert ist Stellen Sie sicher dass Ihre B nder mit Barcodes verfolgt werden k nnen unter umweltfreundlichen Bedingungen aufbewahrt werden und durch ein Unternehmen gehandhabt werden dessen Ruf auf seiner F higkeit zum richtigen Umgang mit Speichermedien beruht Laden von Wiederherstellungszertifikaten Der Novell Sentinel Dienst ist standardm ig nicht f r den Wiederherstellungsagenten konfiguriert W hrend der Serverkonfiguration ber YaST m ssen Si
42. anders als die JavaScript SendEmail Aktion zu der das JavaScript Symbol JS geh rt Wenn ein Workflow einen Email Schritt oder eine Email Aktivit t enth lt der bzw die f r das Senden von Email konfiguriert ist Wenn ein Benutzer einen Vorfall ffnet und eine Aktivit t ausf hrt die zum Senden von Email konfiguriert ist Wenn ein Benutzer mit der rechten Maustaste auf ein Ereignis klickt und Email w hlt Wenn der Benutzer einen Vorfall ffnet und Vorfall mailen w hlt 3 6 3 Collector Manager Dienste Installieren zus tzlicher Collector Manager Instanzen auf Seite 44 Arbeiten mit dem Generic Collector auf Seite 45 Installieren zus tzlicher Collector Manager Instanzen Collector Manager verwalten alle Datensammel und analyseprozesse Manchmal ist es f r den Lastausgleich zwischen Computern erforderlich einen zus tzlichen Sentinel Collector Manager Knoten f r eine Sentinel Umgebung zu installieren Remote Collector Manager bieten einige Vorteile Sie erm glichen eine verteilte Ereignisanalyse und verarbeitung und tragen zur Verbesserung der Systemleistung bei Sie erm glichen die Filterung Verschl sselung und Datenkomprimierung auf den Quellsystemen ber die Kollokation mit den Ereignisquellen Dies reduziert die Anforderungen an die Netzwerkbandbreite und gew hrleistet zus tzliche Datensicherheit Sie erm glichen die Installation auf weiteren Betriebssystemen Beispiels
43. apid Deployment Installationshandbuch Sentinel Rapid Deployment speichert sowohl Konfigurationsdaten als auch Ereignisdaten Diese Daten werden an folgenden Speicherorten gespeichert Komponenten Sentinel Rapid Deployment Server Correlation Engine DAS Core DAS Binary Collector Manager Speicherort f r Konfigurationsdaten Datenbanktabellen und das Dateisystem lt Installationsverzeichnis gt config Diese Konfigurationsdaten enthalten die verschl sselte Datenbank die Ereignisquelle die Integratoren und die Passw rter Dateisystem lt Installationsverzeichnis gt config Die einzigen sensitiven Konfigurationsdaten sind das Client Schl sselpaar das zur Verbindung mit dem Nachrichtenbus verwendet wird lt Installationsverzeichnis gt config lt Installationsverzeichnis gt config Dateisystem lt Installationsverzeichnis gt config Die einzigen vertraulichen Konfigurationsdaten sind das Collector Manager Benutzerpasswort das zur Verbindung mit dem Nachrichtenbus verwendet wird Sicherheits berlegungen f r Sentinel Rapid Deployment Speicherort f r Ereignisdaten Datenbank Tabellen EVENTS sCORRELATED_ EVENTS sEVT_SMRY_ und AUDIT_RECORD sowie das Dateisystem unter lt Installationsverzeichnis gt data eventdata und lt Installationsverzeichnis gt data raw data Die Ereignisdaten k nnen im Rahmen der Partitionsverwaltung in das Dateisystem archiviert we
44. asper Reports k nnen Sie ber die Weboberfl che von Sentinel Rapid Deployment eine Vielzahl von Dashboard und operativen Berichten ausf hren Die Berichte werden blicherweise ber L sungspakete verteilt Produkt bersicht 17 1 5 5 iTRAC Workflows iTRAC Workflows sorgen f r konsistente wiederholbare Prozesse beim Verwalten von Vorf llen Die Workflow Schablonen werden blicherweise ber L sungspakete verteilt ITRAC umfasst eine Gruppe von Standardschablonen die Sie an Ihre spezifischen Anforderungen anpassen k nnen Weitere Informationen finden Sie unter ITRAC Workflows TRAC Workflows im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 5 6 L sungspakete L sungspakete enthalten verwandte Sentinel Inhalte wie z B Korrelationsregeln Aktionen iTRAC Workflows und Berichte Novell stellt L sungspakete bereit die auf spezifische Anforderungen im Gesch ftsleben ausgerichtet sind So liegt beim PCI DSS L sungspaket der Schwerpunkt beispielsweise auf der Konformit t mit dem Payment Card Industry Data Security Standard Novell erstellt zudem Collector Pakete die haupts chlich Inhalte einer bestimmten Ereignisquelle enthalten beispielsweise Windows Active Directory Weitere Informationen finden Sie unter Solution Packs L sungspakete im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 6 Sprachunterst tzung Die Sentinel Komponenten steh
45. auf Seite 68 Abschnitt 5 6 Sichern des Betriebssystems auf Seite 69 Abschnitt 5 7 Anzeigen von Sentinel Audit Ereignissen auf Seite 70 Abschnitt 5 8 Verwenden eines CA Zertifikats auf Seite 70 5 1 Erh hen der Systemsicherheit Abschnitt 5 1 1 Schlie en von Sicherheitsl cken auf Seite 59 Abschnitt 5 1 2 Sichern der Sentinel Rapid Deployment Daten auf Seite 60 5 1 1 Schlie en von Sicherheitsl cken Alle nicht ben tigten Ports werden ausgeschaltet Wenn m glich berwacht ein Dienste Port nur lokale Verbindungen und l sst keine Remote Verbindungen zu Dateien werden mit den geringstm glichen Zugriffsrechten installiert sodass nur eine kleine Zahl von Benutzern diese Dateien lesen kann Standardpassw rter sind nicht erlaubt Datenbankberichte werden unter einem Benutzer ausgef hrt der nur bestimmte Zugriffsrechte f r die Datenbank besitzt Alle Webschnittstellen erfordern HTTPS Es werden eine Schwachstellenpr fung auf die Anwendung ausgef hrt und alle potenziellen Sicherheitsprobleme bearbeitet Jede Kommunikation ber das Netzwerk verwendet standardm ig SSL und ist f r die Authentifizierung konfiguriert Passw rter f r Benutzerkonten werden standardm ig verschl sselt wenn sie im Dateisystem oder in der Datenbank gespeichert werden Sicherheits berlegungen f r Sentinel Rapid Deployment 59 5 1 2 Sichern der Sentinel Rapid Deployment Daten
46. chen Support von Novell auch f r diese Plattform Unterst tzung erhalten jedoch nur f r solche Probleme die sich auf einer 64 Bit Produktionsplattform reproduzieren lassen Wegen der bekannten Einschr nkungen der 32 Bit Hardware behebt der Technische Support von Novell bei der 32 Bit Demoversion keine die Leistung oder Skalierbarkeit betreffenden Probleme In einer Produktionsumgebung werden 32 Bit Demoversionen nicht unterst tzt 20 Sentinel Rapid Deployment Installationshandbuch 2 2 Hardwareanforderungen Die Sentinel Rapid Deployment Serverkomponenten laufen mit einigen betriebssystemabh ngigen Ausnahmen auf x86 64 Hardware 64 Bit wie in Abschnitt 2 1 1 Unterst tzte Betriebssysteme auf Seite 19 beschrieben Sentinel ist f r AMD Optero und Intel Xeon Hardware zertifiziert Itanium Server werden nicht unterst tzt In diesem Abschnitt finden Sie einige allgemeine Hardware Empfehlungen f r den Entwurf des Sentinel Systems Den Empfehlungen f r das Design liegen Ereignisratenbereiche zugrunde Diese Empfehlungen basieren jedoch auf folgenden Annahmen Die Ereignisrate liegt am oberen Ende des Bereichs Ereignisse pro Sekunde EPS Die durchschnittliche Ereignisgr e betr gt 1 KB Alle Ereignisse werden in der Datenbank gespeichert es gibt also keine Filter zum Verwerfen von Ereignissen Daten werden 90 Tagen lang online in der Datenbank gespeichert Der Speicherplatz f r Advisor Daten ist in d
47. chl sseln Sentinel Rapid Deployment verwendet f r die Verbindung mit der PostgreSQL Datenbank einer Java Implementierung Typ 4 den PostgreSQL Treiber postgresql lt Version gt jdbc3 jar der auf der PostgreSQL Download Webseite http jdbe postgresql org download html verf gbar ist Dieser Treiber unterst tzt die Verschl sselung der Datenkommunikation Informationen zur Verschl sselung der Datenkommunikation finden Sie unter PostgreSQL Verschl sselungsoptionen http www postgresql org docs 8 1 static encryption options html Hinweis Das Aktivieren der Verschl sselung wirkt sich auf die Systemleistung aus Daher erfolgt die Kommunikation mit der Datenbank standardm ig unverschl sselt Dies ist jedoch kein Sicherheitsproblem da die Kommunikation zwischen der Datenbank und dem Server ber die Loopback Netzwerkschnittstelle stattfindet und deshalb nicht mit dem offenen Netzwerk in Ber hrung kommt Sicherheits berlegungen f r Sentinel Rapid Deployment 61 5 2 4 Kommunikation zwischen den Collector Managern und den Ereignisquellen Sie k nnen Sentinel Rapid Deployment f r die sichere Sammlung von Daten aus verschiedenen Ereignisquellen konfigurieren Jedoch wird die Sicherung der Datensammlung durch die spezifischen von der Ereignisquelle unterst tzten Protokolle bestimmt So k nnen beispielsweise Check Point LEA Syslog und Audit Connectors f r die Verschl sselung der Kommunikation mit den Ereignisquellen konfi
48. chten verwalten v Ia Ansicht wechseln v 19 Doppelklicken Sie auf den Vorfall um die Ereignisse anzuzeigen 74 Sentinel Rapid Deployment Installationshandbuch 20 21 22 23 24 25 N Neuer Vorfall 1 Datei Aktionen Optionen demax Ereignisse Verkn pfte Ereignisse Schweregr Ereignisuhrzeit Ereignisname Nachricht 13 05 11 19 17 39 CombinedPersistent Maps St Total 6 pen 13 05 11 19 16 44 EnginePerformance Summary Engine tchli 13 05 11 19 16 14 CombinedPersistentMapsSt Total 6 perd 13 05 11 19 02 33 SinglePersistentMapStatus Customer D 13 05 11 19 01 52 Collector Manager initialized Initialized C 13 05 11 19 01 51 Event Router Is Running Event route 13 05 11 19 01 50 RefreshingMapFromServer Refreshing 13 05 11 19 01 49 RefreshingMapFromServer Refreshing 13 05 11 19 01 44 New Data Object Correlation Vorfalls ID Schweregrad Keine 0 Priorit t Keine 0 Kategorie Initiator admin Zust ndig v Beschreibung i gt Aufl sung Erstellen Schlie en Sie das Fenster Vorfall Klicken Sie auf die Registerkarte Analyse Klicken Sie vom Men Analyse oder vom Navigator aus auf Offline Abfragen Klicken Sie im Fenster Offline Abfrage auf Hinzuf gen Geben Sie einen Namen an w hlen Sie einen Filter aus w hlen Sie eine Zeitspanne aus und klicken Sie ansch
49. core xml das binary xml und advisor_client xml gespeichert wird die sich im Verzeichnis lt Installationsverzeichnis gt config befinden Zum ndern des Passworts f r den appuser k nnen Sie das Dienstprogramm lt Installationsverzeichnis gt bin dbconfig verwenden Weitere Informationen finden Sie unter Data Container Files Datencontainerdateien im Sentinel Rapid Deployment Reference Guide Sentinel Rapid Deployment Referenzhandbuch Hinweis Es gibt auch einen PostgreSQL Datenbankbenutzer der Eigent mer der gesamten Datenbank einschlie lich der Systemdatenbanktabellen ist Standardm ig ist der PostgreSQL Datenbankbenutzer auf NOLOGIN gesetzt sodass sich keiner als der PostgreSQL Benutzer anmelden kann 5 3 3 Erzwingen der Einhaltung einer Passwortrichtlinie f r Benutzer Sentinel Rapid Deployment verwendet auf Standards basierende Mechanismen um die Durchsetzung der Passwortrichtlinieneinhaltung zu erleichtern Das Installationsprogramm erstellt und konfiguriert eine PostgreSQL Datenbank mit folgenden Benutzern dbauser Der Eigent mer der Datenbank Datenbankadministrator Benutzer Das Passwort wird bei der Installation festgelegt appuser Dies ist der Anwendungsbenutzer der f r die Anmeldung bei der Datenbank von Sentinel Rapid Deployment verwendet wird Das Passwort wird bei der Installation zuf llig generiert und ist nur f r interne Benutzer gedacht admin Der Berechtigungsnachweis f r den Admi
50. ctor ausgef hrt wird der in der propriet ren Collector Sprache geschrieben wurde dies trifft auf nahezu alle vor Juni 2008 geschriebenen Collectors zu bzw wenn bestimmte Connectors ausgef hrt werden etwa der LEA Connector Auf JavaScript basierende Collectors sowie der Rest von Sentinel sind 64 Bit f hig Das Sicherstellen der Verf gbarkeit dieser Bibliotheken ist besonders auf Linux Plattformen wichtig die sie m glicherweise nicht standardm ig enthalten Advisor Falls Sie den Advisor installieren m chten m ssen Sie das Daten Abonnement f r Sentinel Advisor und Schwachstellenerkennung erwerben Verwenden Sie nach dem Erwerb des Abonnements Novell eLogin um die Advisor Daten herunterzuladen und zu aktualisieren Weitere Informationen finden Sie im Kapitel Advisor Usage and Maintenance Verwendung und Wartung von Advisor im Sentinel Rapid Deployment User Guide Sentinel 6 1 Rapid Deployment Benutzerhandbuch 3 2 2 Installation von Sentinel Rapid Deployment F r die Installation des Sentinel Rapid Deployment Servers stehen folgende M glichkeiten zur Verf gung Einzelskriptinstallation mit root Rechten auf Seite 30 Nicht root Installation auf Seite 33 W hrend der Installation bietet das Installationsskript f r den Sentinel Rapid Deployment Server folgende Optionen an all Diese Option k nnen Sie nur als root Benutzer verwenden Es werden ein Benutzer Standard novel1 und eine Benutzergr
51. ctory ou users o novell Hinweis Wird in eDirectory kein Teilbaum angegeben wird die Suche im gesamten Verzeichnis durchgef hrt Active Directory CN users DC TESTAD DC provo DC novell DC com Hinweis Bei Active Directory muss der Teilbaum angegeben werden Filename of the LDAP server certificate Dateinamen des LDAP Server Zertifikats Der Dateiname des Zertifizierungsstellenzertifikats f r eDirectory bzw Active Directory CA das Sie in Schritt 3 kopiert haben 9 Geben Sie einen der folgenden Befehle ein y um die eingegebenen Werte zu bernehmen n um neue Werte einzugeben q um die Konfiguration abzubrechen Bei erfolgreicher Konfiguration Das LDAP Server Zertifikat wird dem Keystore lt Installationsverzeichnis gt config ldap_server keystore hinzugef gt Die Konfigurationsdateien auth login und configuration xml im Verzeichnis lt Installationsverzeichnis gt config werden aktualisiert um die LDAP Authentifizierung zuzulassen 10 Geben Sie y ein um den Sentinel Dienst erneut zu starten Wichtig Sollten Fehler auftreten machen Sie die nderungen r ckg ngig die Sie an den Konfigurationsdateien auth login und configuration xml im Verzeichnis config vorgenommen haben 48 Sentinel Rapid Deployment Installationshandbuch cp p auth login sav auth login cp p configuration xml sav configuration xml 11 Bedingt Wenn Sie n f r Anonymous searches on LDAP directory Anonyme
52. die in Ihrer Umgebung vorhandenen Mittel beispielsweise Ihr LDAP Verzeichnis nutzen 5 4 Sichern der Sentinel Daten Wichtig Aufgrund des hochsensiblen Charakters der Daten auf dem Sentinel Server sollten Sie den Computer physisch sch tzen und in einem sicheren Bereich des Netzwerks betreiben Verwenden Sie einen remoten Collector Manager um Daten von Ereignisquellen au erhalb des sicheren Netzwerks zu sammeln F r bestimmte Komponenten m ssen Passw rter gespeichert werden sodass sie verf gbar sind wenn das System eine Verbindung zu einer Ressource herstellen muss z B zur Datenbank oder zu einer Ereignisquelle In diesem Fall wird das Passwort beim Speichern zun chst verschl sselt um den unerlaubten Zugriff auf das unverschl sselte Passwort zu verhindern Auch wenn Passw rter verschl sselt werden m ssen Sie daf r sorgen dass der Zugriff auf die gespeicherten Passwortdaten gesch tzt ist um eine Passwortoffenlegung zu verhindern Beispielsweise k nnen Sie sicherstellen dass die Berechtigungen f r die Dateien mit vertraulichen Daten nicht von unbefugten Benutzern gelesen werden k nnen DATEIEN advisor_client xml Datenbank Berechtigungsnachweise Der Datenbank Berechtigungsnachweis wird in der Datei lt Installationsverzeichnis gt config server xml gespeichert lt class gt esecurity base ccs comp dataobject ConnectionManager lt class gt lt property name username gt appuser lt property gt lt prop
53. e Aufr stung von Java auf Seite 42 Abschnitt 3 6 Konfiguration im Anschluss an die Installation auf Seite 43 Abschnitt 3 7 LDAP Authentifizierung auf Seite 45 Abschnitt 3 8 Aktualisieren des Lizenzschl ssels von einem Evaluierungsschl ssel zu einem Produktionsschl ssel auf Seite 54 3 1 berblick Zum Installationspaket von Sentinel geh rt ein vereinfachtes Installationsprogramm f r einen Einzelcomputer Server mit dem Sie alles installieren k nnen was f r die Ausf hrung von Sentinel Rapid Deployment ben tigt wird Das Installationsprogramm von Sentinel Rapid Deployment Server installiert folgende Komponenten Abschnitt 3 1 1 Serverkomponenten auf Seite 27 Abschnitt 3 1 2 Client Anwendungen auf Seite 28 3 1 1 Serverkomponenten Tabelle 3 1 Komponenten und Anwendungen des Sentinel Servers Komponente Beschreibung In der Sentinel Datenbank werden Konfigurations und Ereignisdaten gespeichert Nachrichtenbus Ein auf JMS basierender Nachrichtenbus bernimmt die Kommunikation zwischen den Komponenten des Sentinel Systems Correlation Engine Die Correlation Engine f hrt eine Ereignisanalyse in Echtzeit durch Advisor Advisor ermittelt die Echtzeit Korrelation zwischen erkannten IDS Angriffen und den Ergebnissen der Schwachstellenpr fung um sofort auf ein erh htes Risiko hinweisen zu k nnen Data Access Service Enth lt Komponenten zur Speicherung Abfrage Anzei
54. e Collector Manager Begrenzungen angenommen dass die Software auf einem Computer mit vier 2 2 GHz Prozessoren und 4 GB RAM unter dem Betriebssystem SLES 11 l uft Tabelle 2 4 Leistungserhaltende Collector Manager Begrenzungen Attribut Begrenzung Kommentar Maximale Anzahl der 20 F r diesen Wert wird vorausgesetzt Collector Manager dass jeder Collector Manager mit Instanzen wenigen EPS z B weniger als 100 EPS l uft Der Wert verringert sich mit zunehmender Anzahl von Ereignissen pro Sekunde Maximale Anzahl von 1 pro CPU Kern wobei Ein voll ausgelasteter Connector l uft Connectors voll mindestens 1 CPU Kern f r das mit der f r diesen Connector Typ ausgelastet auf einem Betriebssystem und andere h chsten EPS einzelnen Collector Prozesse reserviert ist Manager Systemanforderungen 23 Attribut Begrenzung Kommentar Maximale Anzahl von 1 pro CPU Kern wobei Ein voll ausgelasteter Collector l uft mit Collectors voll mindestens 1 CPU Kern f r das der f r diesen Collector Typ h chsten ausgelastet auf einem Betriebssystem und andere EPS einzelnen Collector Prozesse reserviert ist Manager Maximale Anzahl an 2000 Die Begrenzung auf dem Sentinel Rapid Ger ten auf einem Deployment Server betr gt ebenfalls einzelnen Collector 2000 Daher wird die Begrenzung der Manager Ger te f r das Gesamtsystem bereits auf einem einzelnen Collector Manager erreicht wenn auf diesem 2000 Ger te vorhanden sind Die maximale
55. e sicherstellen dass der Pfad des Wiederherstellungsagenten konfiguriert ist Dieser Pfad sollte die Liste der Zertifikate enthalten die der Dienst laden kann damit die Benutzer eine Auswahl treffen k nnen 68 Sentinel Rapid Deployment Installationshandbuch Weitere Informationen finden Sie unter Certificate Management for Sentinel 6 1 Rapid Deployment Server Zertifikatsverwaltung f r Sentinel 6 1 Rapid Deployment Server im Sentinel Rapid Deployment Reference Guide Sentinel Rapid Deployment Referenzhandbuch YaST enth lt Module f r die Basisverwaltung von X 509 Zertifikaten die vor allem das Erstellen von CAs Sub CAs und deren Zertifikaten umfasst Weitere Informationen zum Verwalten und Aktualisieren von Zertifikaten finden Sie unter Verwalten der X 509 Zertifizierung http www novell com documentation sles10 sles_admin data cha_yast_ca html im SUSE Linux Enterprise Server 10 Installations und Administrationshandbuch http www novell com documentation sles 10 sles_admin data bookinfo_book_sles_admin html 5 6 Sichern des Betriebssystems Sentinel Rapid Deployment wird auf SUSE Linux Enterprise Server SLES 10 SP3 oder h her unterstiitzt Weitere Information zum Sichern des SLES Computers finden Sie in der SuSE Linux Enterprise Server 10 Dokumentation http www novell com documentation sles10 sles_admin data part_security html Sichern Sie den Zugriff auf den Sentinel Rapid Deployment Server mit einer Firewall
56. egy active yes id proxied_client location com esecurity common communication strategy proxystrategy ProxiedCl ientStrategyFactory gt lt transport type ssl gt lt ssl host localhost keystore lt Installationsverzeichnis gt config proxyClientKeystore port 10013 usecacerts false gt lt transport gt lt strategy gt Zur Aktivierung der Kommunikation zwischen dem Sentinel Server dem SCC dem SDM und dem Solution Designer die iiber Web Start ausgefiihrt werden wird die Kommunikationsstrategie auf dem Server in der Datei lt Installationsverzeichnis gt 3rdparty tomcat webapps ROOT novellsiemdownloads configuration xml folgenderma en festgelegt lt strategy active yes id proxied_client location com esecurity common communication strategy proxystrategy ProxiedCl ientStrategyFactory gt lt transport type ss1 gt lt ssl host 127 0 0 1 port 10013 keystore novell sentinel proxyClientKeystore gt lt transport gt lt strategy gt Weitere Informationen zum Einrichten benutzerdefinierter Server und Client Zertifikate finden Sie unter Processes Prozesse im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 5 2 3 Kommunikation zwischen Server und Datenbank Das f r die Kommunikation zwischen dem Server und der Datenbank verwendete Protokoll wird vom JDBC Treiber definiert Einige Treiber sind in der Lage die Kommunikation mit der Datenbank zu vers
57. eigt 8 Klicken Sie auf Deinstallieren 9 W hlen Sie das Neubooten des Systems aus und klicken Sie auf Fertig stellen 86 Sentinel Rapid Deployment Installationshandbuch 7 2 3 Vorgehensweisen im Anschluss an die Deinstallation Nach der Deinstallation der Anwendungen bleiben einige Systemeinstellungen bestehen die manuell entfernt werden k nnen Diese Einstellungen sollten entfernt werden bevor eine saubere Installation von Sentinel ausgef hrt wird insbesondere dann wenn bei der Deinstallation von Sentinel Fehler aufgetreten sind Hinweis Bei Linux wird durch die Deinstallation des Collector Managers oder der Client Anwendungen der Sentinel Administratorbenutzer nicht aus dem Betriebssystem entfernt Sie m ssen bei Bedarf diesen Benutzer manuell entfernen Linux auf Seite 87 Windows auf Seite 87 Linux 1 Melden Sie sich als root Benutzer an 2 Entfernen Sie die Inhalte im lt Installationsverzeichnis gt der Sentinel Software 3 Entfernen Sie die folgenden Dateien im Verzeichnis etc init d falls vorhanden sentinel Das gilt nur wenn Collector Manager installiert ist 4 Stellen Sie sicher dass niemand als Sentinel Administratorbenutzer angemeldet ist standardm ig esecadm und entfernen Sie dann den Benutzer das Basisverzeichnis sowie die Gruppe esec F hren Sie Folgendes aus userdel r esecadm F hren Sie Folgendes aus groupdel esec 5 Entfernen Sie das Verzeichnis
58. em Computer installieren auf dem Identity Audit installiert ist sorgen Sie daf r dass Identity Audit vollst ndig deinstalliert wird Wenn die Identity Audit Prozesse nicht vollst ndig gestoppt wurden kann die Deinstallation von Identity Audit nicht erfolgreich abgeschlossen werden In diesem Fall besteht das Risiko dass bei der Installation von Sentinel Rapid Deployment oder beim Starten der zugeh rigen Anwendungen Konflikte auftreten 1 F hren Sie folgenden Befehl aus um die Identity Audit Dienste herunterzufahren ete init d identity_audit stop 2 F hren Sie folgenden Befehl aus um sicherzustellen dass alle Identity Audit Prozesse gestoppt wurden ps ef grep novell 3 Stoppen Sie etwaige verbliebene Prozesse bei Bedarf manuell Tipps zur Fehlersuche 91 kill 9 pid 4 Deinstallieren Sie Identity Audit mit den erforderlichen root Berechtigungen Weitere Informationen finden Sie im Benutzerhandbuch fiir Identity Audit http www novell com documentation identityaudit identityaudit10guide data B 3 Der Remote Collector Manager erzeugt eine Ausnahme in Windows 2008 wenn UAC aktiviert wird Problem Melden Sie sich als ein Benutzer an der zur Administrator Gruppe geh rt und f hren Sie in einer Terminal Eingabeaufforderung den Befehl setup bat aus um den Collector Manager zu installieren F hren Sie einen Neustart des Systems durch oder starten Sie den Collector Manager Dienst manuell melden Sie sich dann mi
59. en Spezifikationen in Tabelle 2 2 auf Seite 22 und Tabelle 2 3 auf Seite 22 nicht enthalten Auf dem Sentinel Server stehen standardm ig 5 GB Speicherplatz f r das vor bergehende Caching von Ereignisdaten zur Verf gung die nicht sofort in die Datenbank eingef gt werden k nnen Auf dem Sentinel Server stehen au erdem standardm ig 5 GB Speicherplatz f r Ereignisse zur Verf gung die nicht sofort in die Ereigniserstellungsdateien eingef gt werden k nnen F r das optionale Advisor Abonnement sind zus tzlich 1 GB Speicherplatz auf dem Server erforderlich Die Hardwareempfehlungen f r eine Sentinel Implementierung k nnen im Einzelnen unterschiedlich ausfallen Es empfiehlt sich daher vor der Fertigstellung der Sentinel Architektur die Novell Consulting Services oder einen der Novell Sentinel Partner zu Rate zu ziehen Die nachfolgenden Empfehlungen dienen als Leitfaden In der SLES Version ist die Datenbank in den Sentinel Rapid Deployment Server eingebettet und wird auf demselben Computer wie der Server installiert Hinweis Wegen des hohen Ereignisaufkommens und des umfangreichen lokalen Cachings muss der Sentinel Server ber ein lokales oder freigegebenes Disk Array mit Striping Funktionalit t RAID und mindestens vier Datentr gerspindeln verf gen Systemanforderungen 21 Tabelle 2 2 Konfiguration mit einem Computer bis zu 2000 EPS Komponenten RAM Computer 1 Sentinel Rapid Deployment Server
60. en in folgenden Sprachen zur Verf gung Tschechisch Englisch Franz sisch Deutsch Italienisch Japanisch Niederl ndisch Polnisch Portugiesisch Chinesisch Vereinfacht Spanisch Chinesisch Traditionell 18 Sentinel Rapid Deployment Installationshandbuch Systemanforderungen Damit die Sentinel Rapid Deployment Komponenten optimal und zuverl ssig funktionieren m ssen sie auf der in diesem Abschnitt aufgef hrten gepr ften Soft und Hardware installiert werden Die im Folgenden genannten Anforderungen wurden qualit tsgepr ft und zertifiziert Abschnitt 2 1 Unterst tzte Plattformen auf Seite 19 Abschnitt 2 2 Hardwareanforderungen auf Seite 21 e Abschnitt 2 3 Unterst tzte Webbrowser auf Seite 23 Abschnitt 2 4 Virtuelle Umgebung auf Seite 23 Abschnitt 2 5 Empfohlene Begrenzungen auf Seite 23 Abschnitt 2 6 Testergebnisse auf Seite 24 2 1 Unterst tzte Plattformen In Tabelle 2 1 werden Software Betriebssystem Kombinationen aufgef hrt die von Novell zertifiziert sind bzw unterst tzt werden Die zertifizierten Kombinationen wurden mithilfe der vollst ndigen Testsuite von Novell Engineering getestet Unterst tzte Kombinationen verf gen ber vollen Funktionsumfang 2 1 1 Unterst tzte Betriebssysteme Novell unterst tzt die Ausf hrung von Sentinel Rapid Deployment auf den in diesem Abschnitt beschriebenen Betriebssystemversionen
61. en nach und nehmen Sie ggf Kontakt mit Novell Technical Support http support novell com phone html sourceidint suplnav4_phonesup auf So testen Sie die Installation 1 Melden Sie sich bei einer Weboberfl che von Sentinel Rapid Deployment an Weitere Informationen finden Sie in Accessing the Novell Sentinel Web Interface Zugriff auf die Weboberfl che von Novell Sentinel im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 2 W hlen Sie die Seite Suche aus und suchen Sie nach einem internen Ereignis Ein oder mehrere Ereignisse sollten zur ckgegeben werden Testen der Funktionalit t von Sentinel Rapid Deployment 71 Wenn Sie beispielsweise nach internen Ereignissen mit dem Schweregradbereich 3 bis 5 suchen m chten w hlen Sie Systemereignisse einbeziehen aus und geben Sie anschlie end im Feld Suchen gt sev 3 TO 5 ein Weitere Informationen zur Suche finden Sie unter Running an Event Search Ausf hren einer Ereignissuche im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Die Suchfunktion ist in SP2 nicht standardm ig aktiviert Wenn Sie diese Funktion aktivieren m chten lesen Sie Enabling the Search Option in Web User Interface Aktivieren der Suchoption in der Weboberfl che im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 3 W hlen Sie die Seite Berichte aus geben Sie die Paramete
62. entifizierung anhand des Active Directory Dom nencontrollers der ersten Dom ne zu konfigurieren Stellen Sie au erdem sicher dass Sie n f r Anonymous searches on LDAP directory Anonyme Suchen im LDAP Verzeichnis auf Seite 48 angegeben haben 2 Melden Sie sich beim Sentinel Server als der Benutzer novell an 3 Beenden Sie den Sentinel Dienst etc init d sentinel stop 4 Wechseln Sie in das Verzeichnis lt Installationsverzeichnis gt config cd lt Installationsverzeichnis gt config 5 ffnen Sie die Datei auth login zum Bearbeiten vi auth login 6 Geben Sie im Abschnitt LdapLogin mehrere LDAP URL Adressen jeweils durch ein Leerzeichen getrennt ein Beispiel LdapLogin com sun security auth module LdapLoginModule required userProvider ldap lt IP of the domain 1 domain controller gt 636 ldap lt IP of the domain 2 domain controller gt 636 authIdentity USERNAME useSSL true 13 Weitere Informationen zur Angabe mehrerer LDAP URL s finden Sie in der Beschreibung der Option userProvider unter Class LdapLoginModule http java sun com javase 6 docs jre api security jaas spec com sun security auth module LdapLoginModule html 7 Speichern Sie die nderungen 52 Sentinel Rapid Deployment Installationshandbuch 8 Exportieren Sie das Zertifikat des Dom nencontrollers jeder Dom ne und kopieren Sie die Zertifikatsdateien in das Verzeichnis lt Installationsverzeichnis gt config auf dem Sentinel Server
63. er f r die LDAP Authentifizierung konfiguriert haben k nnen Sie im Sentinel Control Center LDAP Benutzerkonten erstellen Weitere Informationen finden Sie unter Creating an LDAP User Account for Sentinel Erstellen eines LDAP Benutzerkontos im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Wurde das LDAP Benutzerkonto erstellt k nnen Sie sich bei der Weboberfl che von Sentinel Rapid Deployment beim Sentinel Control Center und beim Sentinel Solution Designer mit Ihrem LDAP Benutzernamen und Passwort anmelden Hinweis Soll die vorhandene LDAP Konfiguration ge ndert werden k nnen Sie das Skript ldap_auth_config erneut ausf hren und andere Parameterwerte angeben Installation 53 3 8 Aktualisieren des Lizenzschl ssels von einem Evaluierungsschl ssel zu einem Produktionsschl ssel Wenn Sie dieses Produkt nach der Evaluation erwerben sollten Sie den Lizenzschl ssel im System mit dem unten angegebenen Verfahren aktualisieren damit keine erneute Installation erforderlich ist 1 Melden Sie sich bei dem Computer auf dem Sentinel Rapid Deployment installiert ist als der Betriebssystembenutzer f r den Sentinel Administrator an der Standardbenutzername ist novell 2 Wechseln Sie an der Eingabeaufforderung in das Verzeichnis lt Installationsverzeichnis gt bin 3 Geben Sie den folgenden Befehl ein softwarekey sh 4 Geben Sie 1 an um den Prim rschl ssel zu definieren Dr cken
64. erences properties 2 Entfernen Sie den Kommentar aus der folgenden Zeile und ndern Sie das Format f r die Datums und Uhrzeitfelder von Sentinel Control Center Ereignissen com eSecurity Sentinel event datetimeformat yyyy MM dd T HH mm ss SSSZ 3 6 2 Konfigurieren des SMTP Integrators f r das Senden von Sentinel Benachrichtigungen In Sentinel Rapid Deployment arbeitet eine JavaScript SendEmail Aktion mit einem SMTP Integrator zusammen um Mail Nachrichten aus verschiedenen Kontexten innerhalb der Sentinel Schnittstelle an die Mail Empf nger zu senden Der SMTP Integrator muss mit g ltigen Verbindungsinformationen konfiguriert werden damit er ordnungsgem funktioniert Weitere Informationen finden Sie unter Sending an E mail Senden einer Email im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch In jeder Sentinel Installation wird automatisch eine Aktionsinstanz des Aktions Plugins SendEmail erstellt Bis auf die Angabe der Empf nger und des Inhalts der Nachricht in den Aktionsparametern ist f r die SendEmail Aktion keine Konfiguration erforderlich Installation 43 Die SendEmail Aktion wird intern von Sentinel ausgel st um in den folgenden Situationen Emails zu senden Wenn eine Korrelationsregel generiert wird wird eine SendEmail Aktion ausgel st Bei der SendEmail Aktion handelt es sich um die durch das Zahnrad symbolisierte Aktion die nur f r die Korrelation giiltig ist
65. ern liegen bei den jeweiligen Eigent mern Inhalt Informationen zu diesem Handbuch 1 Produkt bersicht 1 1 Sentinel 6 1 Rapid Deployment berblick 0 1 2 Konfiguration von Sentinel 6 1 Rapid Deployment 1 3 Benutzeroberfl chen von Sentinel Rapid Deployment 1 3 1 Weboberfl che von Sentinel 6 1 Rapid Deplovment asa anaana anana 1 3 2 Sentinel Control Center 1 3 3 Sentinel Data Manager nennen een nn 1 3 4 Sentinel Solution Designer rennen nenn 1 3 5 Sentinel PIUGINESDK 2 nie 2a ria 1 4 Sentinel Serverkomponenten i 1 4 1 Data Access Senvice i e i 1 4 2 Nachrichtenbus sames 5 220er ar ae rar Brunn 1 4 3 Gentnel Datenbank 1 4 4 Sentinel Collector Manager 2 2 2222 eneneneeen een nern nenn 1 4 5 Correlation Engine nennen een 14 67 PRAC eer e i ian e iaia Arad a 1 4 7 Sentinel Advisor und Schwachstellenerkennung Li 4 80 WebServer ee elia FE AREE Ande ica pa 15 Sentinel Plugins s aere eee a ee ee nn ri 1 5 1 Collectors a eben A eege le MELA dite Ae EA eet Ah ee 1 5 2 Connectors und ntegratoren 2 22 22 onen een nennen nn 1 5 3 Korrelationsregeln und aktionen 222222 ee een rennen ren nenn 1 5 4 Berichte rd ma re Mike Penn 1 557 ITRAG W rkfl WS 2 NIE EE ee a Denen nn 1 5 6 L sungspakete sum were ni oi 1 6 Sprach unterst tzung aio erringen Bienen 2 Systemanforderungen 2 1 Unterst tzte Plattformen EEN e Sa EN a TT a 2 1 1 Unterst tz
66. erty name password gt 7fA ogBMeK7cRbJ S6xJ InLBUi sRVGK5qYycDxfIqGDHVX9FApWg lt property gt Advisor Berechtigungsnachweis lt obj component id DownloadComponent gt lt class gt esecurity ccs comp advisor feed NewAdvClientDownload lt class gt lt property name advisor downloadfrom url gt https secure www novell com sentinel advisor advisordata lt property gt lt property name username gt admin lt property gt lt Set the password encrypted using the adv change password script gt lt property name password gt jqh1WIX8HD6GDHVX9FApWg lt property gt lt property name compression enabled gt true lt property gt lt a Set the following properties to connect through an HTTP proxy Sicherheits berlegungen f r Sentinel Rapid Deployment 65 Set the proxy password encrypted using the adv change password script make a copy of the script and add x to the java cmd line to set the proxy password instead of the advisor password gt gls lt property name proxy_host gt lt property gt lt property name proxy_port gt lt property gt lt property name proxy username gt lt property gt lt property name proxy_ password gt lt property gt EE lt obj component gt Configuration xml lt strategy active yes id jms location com esecurity common communication strategy jmsstrategy activemg Ac tiveMOStrategyFactory name ActiveMQ gt lt jms brokerURL failover ss1 localhos
67. f r das Senden von Sentinel Benachrichtigungen 43 3 6 3 Collector Manager Dienste 22222 oneereeenen nennen een nn 44 3 6 2 _ Zeitverwaltung EE eer Re Er en ENEE ENNEN 45 3 7 LDAP Authentifizierung ie ae Rn 45 Ch NET EE 45 3 7 2 Voraussetzungen u werner er ine ee 46 3 7 3 Konfigurieren des Sentinel Servers f r die LDAP Authentifizierung 47 3 7 4 Konfigurieren mehrerer LDAP Server zur Ausfallsicherheit 50 3 7 5 Konfigurieren der LDAP Authentifizierung f r mehrere Active Directory Dom nen 52 3 7 6 Anmeldung unter Verwendung von LDAP Benutzerberechtigungsnachweisen 53 3 8 Aktualisieren des Lizenzschl ssels von einem Evaluierungsschl ssel zu einem Pr duktionsschl ssel 2 2 nei ER PSA EE ste 54 4 Aktualisierung von Sentinel Rapid Deployment 55 4 1 Voraussetzungen ee ra pei de 55 4 2 Installation des Patches auf dem Server 55 4 3 Aktualisieren des Collector Managers und der Client Anwendungen 56 4 3 1 Aktualisieren des Collector Managers 2 222222 senen nern een nen 56 4 3 2 Aktualisieren der Client Anwendungen 22222 nenennere rennen nen 57 5 Sicherheits berlegungen f r Sentinel Rapid Deployment 59 5 1 Erh hen der Systemsicherheit 22020 eeeenenen nern nn 59 5 1 1 Schlie en von Sicherheitsl cken 2 22 22 anaana 59 5 1 2 Sichern der Sentinel Rapid Deployment Daten 2 2222 c2e rennen 60 5 2 Sichern der Kommunikation im
68. g stattfindet bevor er feststellt dass der prim re LDAP Server nicht zur Verf gung steht So stellen Sie sicher dass der Sentinel Server ohne Zeit berschreitung eine Verbindung zu dem Failover LDAP Server herstellt 1 Melden Sie sich beim Sentinel Server als root Benutzer an 2 ffnen Sie die Datei sysct1 conf zum Bearbeiten vi etc sysctl conf Stellen Sie sicher dass der net ipv4 tcp_syn retries den Wert 3 hat Wenn der Eintrag nicht vorhanden ist f gen Sie ihn hinzu Speichern Sie die Datei net ipv4 tcp_syn_retries 3 4 F hren Sie die Befehle aus damit die nderungen wirksam werden sbin sysctl p sbin sysctl w net ipv4 route flush 1 Definieren Sie den Zeit berschreitungswert f r den Sentinel Server indem Sie in den Dateien control_center shund solution designer sh im Verzeichnis lt Installationsverzeichnis gt bin den Parameter Desecurity remote timeout 60 hinzuf gen control_center sh lt Installationsverzeichnis gt jre bin java SMEMORY Dcom esecurity configurationfile ESEC_CONF FILE Desecurity cache directory lt Installationsverzeichnis gt data control_center cache Desecurity communication service sentinel_client Dfile encoding UTF8 Desecurity dataobjects config file xml BaseMetaData xml xml WorkflowMetaData xml xml ActMetaData xml Djava util logging config file lt Installationsverzeichnis gt config control center log prop Djava security auth login config
69. g von Sentinel Rapid Deployment auf Seite 55 Kapitel 5 Sicherheits berlegungen f r Sentinel Rapid Deployment auf Seite 59 Kapitel 6 Testen der Funktionalit t von Sentinel Rapid Deployment auf Seite 71 Kapitel 7 Deinstallation von Sentinel Rapid Deployment auf Seite 85 Anhang A Aktualisieren des Hostnamens von Sentinel Rapid Deployment auf Seite 89 Anhang B Tipps zur Fehlersuche auf Seite 91 Anhang C Bew hrte Verfahren f r die Pflege der PostgreSQL Datenbank auf Seite 95 Zielgruppe Diese Dokumentation ist f r Mitarbeiter des Bereichs Informationssicherheit konzipiert R ckmeldungen Wir freuen uns ber Ihre Hinweise Anregungen und Vorschl ge zu diesem Handbuch und den anderen Teilen der Dokumentation zu diesem Produkt Bitte verwenden Sie die Funktion Benutzerkommentare unten auf den einzelnen Seiten der Onlinedokumentation um Ihre Kommentare einzugeben Zus tzliche Dokumentation Die technische Dokumentation von Sentinel umfasst mehrere B nde Dazu geh ren Novell Sentinel Rapid Deployment Installationshandbuch http www novell com documentation sentinel61rd s61rd_install data index html Novell Sentinel Rapid Deployment User Guide http www novell com documentation sentinel61rd s61rd_user data bookinfo html Novell Sentinel Rapid Deployment Benutzerhandbuch Novell Sentinel Rapid Deployment Reference Guide http www novell com documenta
70. ge und Verarbeitung von Daten Installation 27 Komponente Beschreibung Webserver Unterst tzt die Weboberfl che f r Sentinel Rapid Deployment Collector Manager Ein Dienst der die Verbindung zu Ereignisquellen Datenanalysen Zuordnungen usw handhabt Sie k nnen den Collector Manager an andere Standorte auf andere Computer und andere Betriebssysteme verteilen Verwenden Sie dazu das Collector Manager Installationsprogramm das ber die Weboberfl che von Sentinel Rapid Deployment erh ltlich ist Sie k nnen beispielsweise einen zus tzlichen Collector Manager auf einem Windows Computer installieren um Windows Ereignisse zu sammein ITRAC Sentinel stellt ein iTRAC Workflow Verwaltungssystem bereit mit dem Prozesse f r die Vorfallsreaktion definiert und automatisiert werden k nnen Vorf lle die in Sentinel entweder durch eine Korrelationsregel oder manuell identifiziert werden k nnen mit einem iTRAC Workflow verkn pft werden 3 1 2 Client Anwendungen Die Client Anwendungen Sentinel Control Center Sentinel Data Manager und Solution Designer werden standardm ig auf dem Sentinel Rapid Deployment Server installiert Es gibt mehrere Methoden die Client Anwendungen zu starten ber die Weboberfl che von Sentinel Rapid Deployment Auf den Clientsystemen sollte Java 1 6 0_20 oder h her installiert und der JRE Pfad sollte definiert sein damit die Sentinel Anwendungen mittels Webstart gestartet werden k nnen
71. gers und der Sentinel Client Anwendungen 85 7 2 1 DES echt Set ER A e El EAER A ee See A 85 7 2 2 Windows sica lia ea 86 7 2 3 Vorgehensweisen im Anschluss an die Deinstallation LL 87 Aktualisieren des Hostnamens von Sentinel Rapid Deployment 89 Asl SENVertis colli Leal Pieri ec TEE 89 A3 Client Anwendungen een een 89 Tipps zur Fehlersuche 91 Bi Fehlschlagen der Datenbankauthentifizierung nach der Eingabe eines ung ltigen Berechtigungsnachweises 222m H2er een rennen een ernennen een 91 B 2 Sentinel Weboberfl che l sst sich nicht starten 91 B 3 Der Remote Collector Manager erzeugt eine Ausnahme in Windows 2008 wenn UAC aktiviert Wird Nr en e o DA en i Bed EE sila 92 BA F r Collector Manager Images wird keine UUID erstellt 222222 aaan 93 Bew hrte Verfahren f r die Pflege der PostgreSQL Datenbank 95 C 1 Modifizieren der Konfigurationsparameter f r den Arbeitsspeicher 95 C 2 _ Verringern der E A Auswirkung von Bereinigungs Analyse Prozessen 96 Inhalt 5 6 Sentinel Rapid Deployment Installationshandbuch Informationen zu diesem Handbuch Dieses Handbuch gibt eine Einf hrung in Novell Sentinel 6 1 Rapid Deployment Service Pack 2 und beschreibt die Installationsprozeduren Kapitel 1 Produkt bersicht auf Seite 9 Kapitel 2 Systemanforderungen auf Seite 19 Kapitel 3 Installation auf Seite 27 Kapitel 4 Aktualisierun
72. gnis generiert wurde 82 Sentinel Rapid Deployment Installationshandbuch Schweregr Ereignisuhrzeit Ereignisname Nachricht XDAS Taxonomienai 6 05 11 17 24 04 NewData Object Correlation Rule Config ID 54 amp CE530 5F BO 102E 84E1 000C2990133F Rule D 16 05 11 17 23 47 Start Engine Start engine 696080E0 9420 1029 4DDD 0003BAC9707D regld 31 BOCC50 5 E 16 05 11 17 23 47 CorrelationEngine Started Started Correlation Engine 16 0511 17 23 47 CorrelationEngine Starting Starting Correlation Engine 16051117 23 45 StopEngine Stop engine 696080E0 9420 1029 ADDD 0003B4AC9707 D reqld 31 DOC CHE E AR NE AA kde RT CarralatianEnnina Stannard Stannad Corralatinn Ennine 41 SchlieBen Sie Sentinel Control Center 42 Klicken Sie auf der Seite Anwendungen auf Sentinel Data Manager starten 43 Melden Sie sich als der f r die Verwaltung der Datenbank befugte Benutzer bei Sentinel Data Manager an der w hrend der Installation angegeben wurde Standard dbauser S Verbindung mit Datenbank Server ar PostgreSQL w Datenbank Host SIEM test Benutzername Passwort Verbindungseinstellungen speichern 44 Klicken Sie auf jede Registerkarte um zu berpr fen ob Sie darauf zugreifen k nnen 45 Schlie en Sie Sentinel Data Manager Wenn Sie alle diese Schritte ohne Fehler durchf hren konnten haben Sie die grundlegende berpr fung der Sentinel Systeminstal
73. guriert werden Weitere Informationen zu den m glichen Sicherheitsfunktionen die aktiviert werden k nnen finden Sie in der Dokumentation zu Connectors und Ereignisquellen auf der Novell Sentinel Plugins Website http support novell com products sentinel secure sentinelplugins html 5 2 5 Kommunikation mit Webbrowsern Der Webserver ist standardm ig zur Kommunikation ber HTTPS konfiguriert Weitere Informationen finden Sie in der Tomcat Dokumentation http tomcat apache org tomcat 4 0 doc ssl howto html 5 2 6 Kommunikation zwischen der Datenbank und anderen Clients Sie k nnen die PostgreSQL SIEM Datenbank so konfigurieren dass Verbindungen von allen Client Computern zugelassen werden Dazu verwenden Sie den Sentinel Data Manager oder eine Drittanbieteranwendung z B Pgadmin Um dem Sentinel Data Manager die Verbindung von jedem Client Computer aus zu erlauben f gen Sie in die Datei lt Installationsverzeichnis gt 3rdparty postgresql data pg_hba conf folgende Zeile ein host all all 0 0 0 0 0 md5 Wenn Sie die Client Verbindungen einschr nken m chten die durchgef hrt werden d rfen und ber den SDM mit der Datenbank Verbindung aufnehmen k nnen dann ersetzen Sie die oben angegebene Zeile durch die IP Adresse des Hosts Die folgende Zeile in der Datei pg_hba conf weist PostgreSQL an nur Verbindungen vom lokalen Computer zu akzeptieren sodass der SDM nur auf dem Server ausgef hrt werden darf host all all 1
74. hrieben werden 1 5 2 Connectors und Integratoren Connectors stellen die Verbindung zwischen dem Collector Manager und Ereignisquellen ber Standardprotokolle wie JDBC Java Database Connectivity und Syslog her Ereignisse werden zu Analysezwecken vom Connector an den Collector bertragen Integratoren erm glichen die Durchf hrung von Gegenma nahmen auf Systemen au erhalb von Sentinel So kann beispielsweise eine Korrelationsaktion den Simple Object Access Protocol SOAP Integrator zur Initiierung eines Novell Identity Manager Workflows nutzen Mit dem optionalen Remedy AR Integrator kann ein Remedy Bericht anhand von Sentinel Ereignissen oder Vorf llen erstellt werden Weitere Informationen finden Sie unter Action Manager and Integrator Aktionsmanager und Integrator im Sentinel Rapid Deployment User Guide Sentinel 6 1 Rapid Deployment Benutzerhandbuch 1 5 3 Korrelationsregeln und aktionen Anhand von Korrelationsregeln werden wichtige Muster im Ereignis Stream identifiziert Wenn eine Korrelationsregel ausgel st wird initiiert sie Korrelationsaktionen zu denen das Senden von Email Benachrichtigungen das Initiieren eines iTRAC Workflows oder das Ausf hren einer Aktion mithilfe eines Integrators geh ren k nnen Weitere Informationen finden Sie unter Correlation Tab Registerkarte Correlation im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 5 4 Berichte Mithilfe von J
75. hritt 33 auf Seite 80 f r die Verkn pfung mit der Regel erstellt haben und klicken Sie anschlie end auf OK Testen der Funktionalit t von Sentinel Rapid Deployment 81 N Regel bereitstellen Engine ausw hlen f r die die Regel bereitgestelft werden soll shrabanitest bir nowell com 127 0 02 wi Aktionen ausw hlen die beim Ausl sen von Regeln durchgef hrt werden CorrelatedEwent _ Vorfall C Enviar correo electr nico Aktion hinzuf gen 38 W hlen Sie Correlation Engine Manager aus Sie k nnen unterhalb der Correlation Engine sehen dass die Regel bereitgestellt und aktiviert wurde N GCorrelation Engine Manager DER Name 1 Hostname Host ID Status Aktivieren ID Durchschn Statusdauer Verarbeitet Ausgel st Sentinel EI a shrabani st blr novell shrabani st bl 127 0 0 2 Fehlerfrei Db Aktiviert 544ACE533 5 0 Nachr 0 Nachr Test Rule wi Fehlerfrei Db Aktiviert 54ACE5334 CA Aktualisieren Aktualisiert am 16 05 11 09 32 06 39 Generieren Sie ein Ereignis mit dem Schweregrad 4 beispielsweise eine fehlgeschlagene Authentifizierung um die bereitgestellte Korrelationsregel auszul sen ffnen Sie beispielsweise ein Fenster f r die Anmeldung beim Sentinel Control Center und geben Sie einen falschen Benutzerberechtigungsnachweis ein um ein solches Ereignis zu generieren 40 Klicken Sie auf die Registerkarte Active Views und berpr fen Sie ob das korrelierte Erei
76. htigen Standardm ig ist der Prozess autovacuum auf true gesetzt und wird regelm ig ausgef hrt um Festplattenspeicherplatz frei zu machen und die Planerstatistik zu aktualisieren Wenn die Datenbankgr e anw chst kann autovacuum nicht alle Datenbankobjekte warten Wenn in diesen F llen die Leistung vermindert ist f hren Sie das Skript AnalyzePartitions sh als Cron Daemon Auftrag aus Dieser Cron Daemon Auftrag sollte von dem Benutzer festgelegt werden der Eigent mer der Sentinel Rapid Deployment Prozesse ist Beispiel 30 11 SESEC HOME bin AnalyzePartitions sh Hierbei gilt 30 ist die Zeit in Minuten 11 ist die Zeit in Stunden ESEC_HOME ist der absolute Pfad der Datenbank In diesem Beispiel wird das Skript t glich um 11 30 Uhr ausgef hrt Planen Sie die Archivierung nach M glichkeit nicht w hrend des Zeitraums der Berichterstellung Wenn Sie beide Prozesse zusammen planen wechselt die Berichterstellung aufgrund von PostgreSQL Fehlern in den Wartemodus und beginnt mit der Verarbeitung der Daten erst nach Abschluss der Archivierung Diese nderung wirkt sich auf die Leistung der Datenbank aus 96 Sentinel Rapid Deployment Installationshandbuch
77. icherplatz zur Verf gung stehen Bei weniger als 1 GB verf gbarem Arbeitsspeicher beendet das Skript die Installation automatisch Bei mehr als 1 GB doch weniger als 4 GB Arbeitsspeicher meldet das Skript dass weniger Arbeitsspeicher als empfohlen zur Verf gung steht Sie k nnen angeben ob Sie mit der Installation fortfahren m chten Geben Sie y ein wenn die Installation fortgesetzt werden soll und n wenn Sie nicht fortfahren m chten 12 Geben Sie den Installationspfad ein oder dr cken Sie die Eingabetaste um den standardm igen Installationspfad zu verwenden Der Standardpfad ist opt novell Der angegebene Installationspfad sollte kein Leerzeichen enthalten Kommen Leerzeichen darin vor fordert das Installationsskript Sie auf einen Installationspfad ohne Leerzeichen anzugeben 13 W hlen Sie eine der folgenden Sprachen aus indem Sie die entsprechende Zahl eingeben Seriennummer Sprache _ Tschechisch Englisch Franz sisch Deutsch Italienisch Japanisch Niederl ndisch Polnisch o 0 N O Om A OO N Portugiesisch CH Chinesisch Vereinfacht x _ Spanisch 12 Chinesisch Traditionell Die Endbenutzer Lizenzvereinbarung wird in der ausgew hlten Sprache angezeigt 14 Lesen Sie die Endbenutzer Lizenzvereinbarung und geben Sie 1 ein wenn Sie der Vereinbarung zustimmen und mit der Installation fortfahren m chten Geben Sie 2 ein wenn Sie die Installation beenden m chten Das Installationsprogramm
78. icken Sie auf Weiter Eine Zusammenfassung aller zur Installation vorgesehenen Funktionen wird angezeigt 13 Klicken Sie auf Installieren 14 Nach der Installation werden Sie aufgefordert den Benutzernamen und das Passwort einzugeben die von der ActiveMQ JMS Strategie f r die Herstellung einer Verbindung mit dem Broker verwendet werden Verwenden Sie den Benutzernamen collectormanager und das zugeh rige Passwort das in der Datei lt Installationsverzeichnis gt config activemqusers properties auf dem Sentinel Server zu finden ist Beispiel f r die in der Datei activemqusers properties verf gbaren Berechtigungsnachweise collectormanager cefc76062c58e2835aa3d777778 9295 collectormanager ist der Benutzername und cefc76062c58e2835aa3d777778 9295 ist das zugeh rige Passwort Es wird empfohlen f r die Installation des Collector Manager Diensts den Benutzer collectormanager und das zugeh rige Passwort zu benutzen In diesem Fall verf gt der collectormanager Benutzer nur ber Zugriffsrechte auf die f r den Collector Manager Betrieb erforderlichen Kommunikationskan le Nach der Installation werden Sie aufgefordert neu zu booten oder sich erneut anzumelden und die Sentinel Dienste manuell zu starten 15 Klicken Sie auf Fertig stellen um das System neu zu booten 16 Verwenden Sie bei der erneuten Anmeldung den Benutzernamen den Sie in Schritt 8 angegeben haben Sollten Sie den Benutzernamen vergessen haben ffnen Sie e
79. ie Standard Portnummer lautet 61616 Kommunikationsserver Hostname Die IP Adresse oder der Hostname des Computers auf dem der Sentinel Rapid Deployment Server installiert ist Stellen Sie sicher dass die Portnummern bei allen Computern im Sentinel System dieselben sind damit die Kommunikation m glich ist Notieren Sie sich diese Ports f r sp tere Installationen auf anderen Computern 10 Klicken Sie auf Weiter 11 Legen Sie die folgenden Werte fest Automatische Konfiguration des Arbeitsspeichers W hlen Sie aus wie viel Arbeitsspeicher dem Collector Manager insgesamt zugewiesen werden soll Das Installationsprogramm bestimmt automatisch die optimale Verteilung des Arbeitsspeichers unter den Komponenten und ber cksichtigt dabei den gesch tzten Betriebssystem und Datenbank Overhead 40 Sentinel Rapid Deployment Installationshandbuch Wichtig Sie k nnen den Xmx Wert in der Datei configuration xml modifizieren um die RAM Menge zu ndern die dem Collector Manager Prozess zugewiesen wird Die Datei configuration xml wird unter Linux im Verzeichnis lt Installationsverzeichnis gt config und unter Windows im Verzeichnis lt Installationsverzeichnis gt config abgelegt Benutzerdefinierte Konfiguration des Arbeitsspeichers Klicken Sie auf Konfigurieren um eine Feinabstimmung der Arbeitsspeicherzuordnungen vorzunehmen Diese Option ist nur verf gbar wenn gen gend Arbeitsspeicher auf dem Computer vorhanden ist 12 Kl
80. ie bidirektionale Integration in Problemberichtssysteme erm glicht Mit Sentinel k nnen Sie prompt reagieren und Vorf lle auf effiziente Weise aus der Welt schaffen Mithilfe von L sungspaketen k nnen Sentinel Korrelationsregeln dynamische Listen Zuordnungen Berichte sowie ITRAC Workflows m helos verteilt und in Steuerelemente importiert werden Diese Steuerelemente k nnen f r die Einhaltung spezifischer beh rdlicher Bestimmungen Produkt bersicht 9 wie z B dem PCI Standard Payment Card Industry Data Security Standard konfiguriert oder mit einer spezifischen Datenquelle beispielsweise den Benutzerauthentifizierungsereignissen f r eine Datenbank verkniipft werden Mit Sentinel Rapid Deployment erhalten Sie Integrierte automatisierte Sicherheitsverwaltung und Konformit ts berwachung in Echtzeit in allen Systemen und Netzwerken Ein Rahmenwerk mit Gesch ftsrichtlinien zur Verbesserung der IT Richtlinien und Initiativen Automatische Dokumentation und Berichterstellung in Bezug auf Sicherheits System und Zugriffsereignisse im gesamten Unternehmen Integrierte Verwaltung und Aufl sung von Vorf llen Nachweis und berwachung der Einhaltung von internen Richtlinien und gesetzlichen Auflagen darunter Sarbanes Oxley HIPAA GLBA FISMA und andere Die f r die Implementierung dieser Steuerelemente erforderlichen Inhalte werden mithilfe von L sungspaketen verteilt und implementiert Im Folgenden finden Sie
81. ierungen einzuholen Sie erkl ren sich damit einverstanden nicht an juristische Personen die in der aktuellen US Exportausschlussliste enthalten sind oder an in den US Exportgesetzen aufgef hrte terroristische L nder oder L nder die einem Embargo unterliegen zu exportieren oder zu reexportieren Sie stimmen zu keine Lieferungen f r verbotene nukleare oder chemisch biologische Waffen oder Waffen im Zusammenhang mit Flugk rpern zu verwenden Weitere Informationen zum Export von Novell Software finden Sie auf der Webseite Novell International Trade Services http www novell com info exports Novell bernimmt keine Verantwortung f r das Nichteinholen notwendiger Exportgenehmigungen Copyright 1999 2011 Novell Inc Alle Rechte vorbehalten Ohne ausdr ckliche schriftliche Genehmigung des Herausgebers darf kein Teil dieser Ver ffentlichung reproduziert fotokopiert bertragen oder in einem Speichersystem verarbeitet werden Novell Inc 404 Wyman Street Suite 500 Waltham MA 02451 USA www novell com Online Dokumentation Die neueste Online Dokumentation f r dieses und andere Novell Produkte finden Sie auf der Dokumentations Webseite http www novell com documentation von Novell Novell Marken Hinweise zu Novell Marken finden Sie in der Novell Trademark and Service Mark Liste http www novell com company legal trademarks tmlist htm Materialien von Drittanbietern Die Rechte f r alle Marken von Drittanbiet
82. ine Terminal Konsole und geben Sie als root Benutzer folgenden Befehl ein env grep ESEC_USER Mit diesem Befehl wird der Benutzername zur ckgegeben wenn der Benutzer bereits erstellt wurde und die Umgebungsvariablen bereits festgelegt worden sind Hinweis Bei der Installation des Collector Managers auf der Windows 2008 Plattform und im Zusammenhang mit Collector Manager Images gibt es einige Probleme Informationen zur Behebung dieser Probleme finden Sie in Anhang B Tipps zur Fehlersuche auf Seite 91 Installation 41 3 4 Manuelles Starten und Anhalten der Sentinel Dienste Zum manuellen Starten der Sentinel Dienste k nnen Sie einen der folgenden Befehle verwenden Plattform Befehl Linux lt Installationsverzeichnis gt bin sentinel sh start Windows lt Installationsverzeichnis gt bin sentinel bat start Zum manuellen Beenden der Sentinel Dienste k nnen Sie einen der folgenden Befehle verwenden Plattform Befehl Linux lt Installationsverzeichnis gt bin sentinel sh stop Windows lt Installationsverzeichnis gt bin sentinel bat stop Sie k nnen auch den folgenden Befehl f r das Starten oder Beenden der Sentinel Dienste verwenden etc init d sentinel sh stop start 3 5 Manuelle Aufr stung von Java Die Java Version 1 6 0_24 ist im Installationsprogramm des Sentinel Rapid Deployment Servers enthalten und wird w hrend der Installation des Sentinel Rapid Deployment Servers installiert Wenn Sie Java auf dem
83. inel Client Anwendungen Sie k nnen eine Sentinel Client Anwendung auf einem Linux oder einem Windows System installieren So installieren Sie Client Anwendungen 1 2 3 4 5 6 7 Wechseln Sie zu dem Ordner in den Sie das Client Installationsprogramm heruntergeladen haben Extrahieren Sie das Installationsskript aus folgender Datei Plattform Aktion Windows Dekomprimieren Sie die Datei client_installer zip Die Dateien werden in ein Verzeichnis mit der Bezeichnung disk1 dekomprimiert Linux F hren Sie folgenden Befehl mit root Rechten aus unzip client installer zip Die Dateien werden in ein Verzeichnis mit der Bezeichnung disk1 dekomprimiert Wechseln Sie in das Installationsverzeichnis und starten Sie die Installation Plattform Aktion Windows F hren Sie disk1 setup bat aus Hinweis Starten Sie auf einem Windows Vista Computer die Befehlseingabeaufforderung indem Sie die Option Als Administrator ausf hren aus den Men optionen verwenden die per Klick mit der rechten Maustaste aufgerufen werden k nnen Linux GUI Modus lt Installationsverzeichnis gt disk1 setup sh Konsolenmodus lt Installationsverzeichnis gt disk1 setup sh console Die folgenden Schritte gelten nur f r den GUI Modus Klicken Sie auf den Abw rtspfeil und w hlen Sie eine der Sprachen aus Klicken Sie auf der ersten Seite auf Weiter Lesen Sie die Lizenzvereinbarung durch und erkl ren Sie Ihr Einverst ndni
84. inel Rapid Deployment copy jre lt install_path gt sentinel_rd copy jre64 lt install path gt sentinel rd 6 Bedingt Stellen Sie sicher dass Sie die erforderliche Eigentiimerschaft und die erforderlichen Berechtigungen der Ordner j re und jre64 auf den Benutzer einstellen der den Sentinel Rapid Deployment Server ausf hrt 7 Starten Sie den Sentinel Rapid Deployment Server neu starten Sie den Browser neu und priifen Sie ob Java korrekt installiert wurde 3 6 Konfiguration im Anschluss an die Installation In diesem Abschnitt erhalten Sie einen Einblick in die nach der Installation vorzunehmende Konfiguration f r die Sentinel Rapid Deployment Dienste e Abschnitt 3 6 1 ndern der Datums und Zeiteinstellungen auf Seite 43 Abschnitt 3 6 2 Konfigurieren des SMTP Integrators f r das Senden von Sentinel Benachrichtigungen auf Seite 43 Abschnitt 3 6 3 Collector Manager Dienste auf Seite 44 Abschnitt 3 6 4 Zeitverwaltung auf Seite 45 3 6 1 ndern der Datums und Zeiteinstellungen Das Standardformat f r Datum und Uhrzeit im Sentinel Control Center kann ge ndert werden Weitere Informationen zur Anpassung des Formats von Datums und Zeitangaben auf Ihre lokale Zeitzone finden Sie auf der Java Website http java sun com j2se 1 6 0 docs api java text SimpleDateFormat html 1 Bearbeiten Sie die Datei SentinelPreferences properties lt Installationsverzeichnis gt config SentinelPref
85. ive Ansicht aus 10 Klicken Sie in der grafischen Ereignisquellenhierarchie mit der rechten Maustaste auf Allgemeiner Collector und w hlen Sie Stoppen 11 Schlie en Sie das Fenster Ereignisquellenverwaltung 12 Klicken Sie auf die Registerkarte Vorf lle 13 ffnen Sie den Vorfallansichts Manager 14 W hlen Sie Testvorfalll aus klicken Sie mit der rechten Maustaste darauf und w hlen Sie L schen 6 3 Verwenden realer Daten Zum Starten mit echten Daten m ssen Sie Collectors importieren und konfigurieren die f r Ihre Umgebung passend sind Ihre eigenen Regeln erstellen ITRAC Workflows erstellen usw Weitere Informationen finden Sie im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Mit Sentinel L sungspaketen k nnen Sie schnell starten Weitere Details finden Sie auf der Webseite Sentinel Content Page http support novell com products sentinel sentinel61 html 84 Sentinel Rapid Deployment Installationshandbuch Deinstallation von Sentinel Rapid Deployment Abschnitt 7 1 Deinstallieren des Sentinel Rapid Deployment Servers auf Seite 85 Abschnitt 7 2 Deinstallieren des Remote Collector Managers und der Sentinel Client Anwendungen auf Seite 85 7 1 Deinstallieren des Sentinel Rapid Deployment Servers 1 Melden Sie sich als root Benutzer an 2 Wechseln Sie zum setup Verzeichnis cd lt Installationsverzeichnis gt setup 3 F hren Sie das Skript uninstall sh a
86. lation abgeschlossen 6 2 Bereinigung nach dem Testen Nach Abschluss der System berpr fung sollten Sie die f r die Tests erstellten Objekte l schen 1 Melden Sie sich als der verwaltungsbefugte Sentinel Benutzer beim System an der w hrend der Installation angegeben wurde Standard admin 2 W hlen Sie die Registerkarte Korrelation 3 ffnen Sie den Correlation Engine Manager 4 Klicken Sie im Correlation Engine Manager auf Testregel und w hlen Sie Bereitstellung aufheben Testen der Funktionalit t von Sentinel Rapid Deployment 83 5 ffnen Sie den Manager f r Korrelationsregeln 6 W hlen Sie Testregell aus und klicken Sie auf L schen KR IE A AE TEEN DER dh Hinzuf gen ti Ordner Korrelationsregeln Z Korreletionsrege in Unterordnern auflisten Ordner verwalten Importieren Exportieren Test Rule1 Anzeigen Bearbeiten Regel bereitstellen L schen Aktualisieren Aktualisiert am 16 05 11 09 41 11 7 W hlen Sie Werkzeuge gt Aktionsmanager um das Fenster Aktionsmanager anzuzeigen 8 W hlen Sie die Aktion CorrelatedEvent aus klicken Sie auf L schen und anschlie end auf Ja um den L schvorgang zu best tigen N Aktionsmanager CP Hinzuf gen Plugins verwalten Zei Enviar correo electr nico Korreliertes Ereignis Anzeigen Bearbeiten L schen D Aktualisieren Aktualisiert am 13 05 11 16 33 52 9 W hlen Sie im Men Ereignisquellenverwaltung die Option L
87. lie end auf OK Klicken Sie auf Durchsuchen um die Liste der Ereignisse und der zugeordneten Details im Fenster Aktiver Browser anzuzeigen Testen der Funktionalit t von Sentinel Rapid Deployment 75 N Novell Sentinel Control Center angemeldet als admin Datei Optionen Werkzeuge Fenster Ereignisquellenverwaltung Ative Ansichten Korrelation Worle ITRAC Analyse Admin Hilfe E CollectorScript Audit 48 Internal 5 Performance 187 Mehrere Werte ausw hlen E EventName x Authentication Collector Manager Starting 8 CombinedPersistentMapsStatus 35 erbeitsliste Bai CombinedRealTimeSummariesStatus En 23 Arbetselementzusammenfassung EventRouterinitializing EventRouterisRun 6 Es sind 0 Elemente in Wewe EventThroughputCapacity 24 meinem Eigentum und 0 O LoginUser ReestablishedContactwihco 10 meinen Gruppen Nachr e SS zugemiesene Ele RefreshingMapFromServer RtChartJoini 21 vorhanden SinglePersistertMapStatus UserLogge 114 Mehrere Werte ausw hlen Arbetselemente anzeigen Admin E InitIP Ereignisanzahl 8 Aktiver Browser FFENTLICH ALL Uhrzeit Ereignisname 17 05 11 22 44 28 NewDataObject Query Ns A 17 05 11 22 44 10 CombinedPersistentMapsS t Total 6 pi 17 05 11 22 44 10 Single PersistentMap Status 13BB664C 17 05 11 22 44 10 Single Persistent Map Status
88. lt Installationsverzeichnis gt config auth login SENTINEL LANG PROP SENTINEL CTRY PROP Dice pilots html4 baseFontFamily Arial Unicode MS Desecurity remote timeout 60 jar lib console jar Installation 51 solution_designer sh lt Installationsverzeichnis gt jre bin java classpath LOCAL CLASSPATH MEMORY Dcom esecurity configurationfile SESEC CONF FILE Dsentinel installer jar location lt Installationsverzeichnis gt lib contentinstaller jar Desecurity communication service sentinel client Dfile encoding UTF8 Desecurity dataobjects config file xml BaseMetaData xml xml WorkflowMetaData xml xml ActMetaData xml Djava util logging config file lt Installationsverzeichnis gt config solution designer log prop Djava security auth login config lt Installationsverzeichnis gt config auth login SENTINEL LANG PROP SENTINEL CTRY PROP Desecurity cache directory data solution designer cache Desecurity remote timeout 60 com esecurity content exportUI ContentPackBuilder 3 7 5 Konfigurieren der LDAP Authentifizierung f r mehrere Active Directory Dom nen Wenn sich die zu authentifizierenden LDAP Benutzer in mehreren Active Directory Dom nen befinden k nnen Sie den Sentinel Rapid Deployment Server wie folgt f r die LDAP Authentifizierung konfigurieren 1 Stellen Sie sicher dass Sie Schritt 2 auf Seite 47 bis Schritt 10 auf Seite 48 durchgef hrt haben um den Sentinel Server f r die LDAP Auth
89. n Geben Sie einen ung ltigen Lizenzschl ssel ein fordert Sie das Installationsprogramm erneut dazu auf den g ltigen Lizenzschl ssel einzugeben Ist auch der zweite angegebene Lizenzschl ssel ung ltig wird automatisch ein Lizenzschl ssel f r eine 90 Tage Testversion verwendet Sie k nnen den g ltigen Lizenzschl ssel sp ter eingeben Anschlie end l dt das Skript die g ltige Lizenz bzw die Testlizenz 12 Geben Sie ein Passwort f r den Benutzer dbauser ein und best tigen Sie es durch erneutes Eingeben Die dbauser Berechtigung wird zur Erstellung von Tabellen und Partitionen in der PostgreSQL Datenbank verwendet 13 Geben Sie ein Passwort f r den Benutzer admin ein und best tigen Sie es durch erneutes Eingeben Verwenden Sie in den Passw rtern f r die Benutzer admin und dbauser keinen umgekehrten Schr gstrich und kein Apostroph da diese Zeichen in PostgreSQL Datenbanken nicht zul ssig sind Das Installationsskript installiert die PostgreSQL Datenbank erstellt Tabellen und Partitionen und installiert anschlie end den Sentinel Rapid Deployment Server Nach der Installation haben Sie folgende M glichkeiten Starten Sie die Sentinel Rapid Deployment Weboberfl che ber die URL https lt SERVER_IP gt 8443 sentinel lt SERVER_IP gt ist die IP Adresse des Computers auf dem Sentinel Rapid Deployment installiert ist Starten Sie das Sentinel Control Center indem Sie das Skript lt Installations
90. n Sie auf die Lupe um die Abfrage auszuf hren N Alte Ereignisabfrage Abfrage d Aktiver Browser Schweregrad E von Stapelgr Re Im ei A Rum Schweregr Ereignisuhrzeit Ereignisname Nachricht 13 05 11 19 01 44 EnginePerformanceSummary Engine tchlinux dublinlab vistatec ie 172 22 19 161 has processed 13 05 11 19 01 44 CorrelstionEngine Config Loaded Correlation Engine configuration 13 05 11 19 01 44 CorrelationEngine Started Started Correlation Engine 13 05 11 19 01 44 CorrelationEngine Starting Starting Correlation Engine 13 05 11 19 01 44 CorrelationEngine Config Retrieving Correlation Engine configuration 13 05 11 19 01 42 Event Router ls Running Event router completed its initialization in standalone mode regld 3 13 05 11 19 01 41 RefreshingMapFromServer Refreshing from server map Customer Hierarchy ID A22E8940 91 13 05 11 19 01 41 RefreshingMapFromServer Refreshing from server map AssetToRegulation ID 577 C20F8 D0 13 05 11 19 01 41 RefreshingMapFromServer Refreshing from server map IsExploitivatchlist ID 86D0F5C4 E8C 13 05 11 19 01 40 RefreshingMapFromServer Refreshing from server map IpToCountry ID 577C020F8 D0A7 107 13 05 11 19 01 40 RefreshingMapFromServer Refreshing from server map Accountldentity ID 4F6FF2C0 D362 13 05 11 19 01 40 RefreshingMapFromServer Refreshing from server map Asset ID 3BB664CA E8C5 1026 9DE 13 05 11 19 01 39 EventRouterInitializing Event router is initializi
91. n den Schritten Schritt 34 bis Schritt 35 auf Seite 81 Das Fenster Aktion konfigurieren wird angezeigt 80 Sentinel Rapid Deployment Installationshandbuch 34 35 36 37 N Aktion konfigurieren lt P Korreliertes Ereignis konfigurieren Name Wert Ereignisoptionen Felder aus Ausl seereignis kopieren Severity 5 EventName CorrelatedEvent Message Resource SubResource Aktions Plugin hinzuf gen 33b Geben Sie im Fenster Aktion konfigurieren Folgendes an Geben Sie den Aktionsnamen an beispielsweise CorrelatedEvent Action W hlen Sie in der Dropdown Liste Aktion die Option Korreliertes Ereignis konfigurieren aus Definieren Sie die Ereignisoptionen Stellen Sie den Schweregrad auf 5 ein Geben Sie den Ereignisnamen an beispielsweise CorrelatedEvent Geben Sie bei Bedarf eine Nachricht ein Weitere Informationen finden Sie unter Creating Actions Erstellen von Aktionen im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 33c Klicken Sie auf Speichern ffnen Sie das Fenster Manager f r Korrelationsregeln W hlen Sie eine Regel aus und klicken Sie anschlie end auf den Link Bereitstellungsregeln Das Fenster Regel bereitstellen wird angezeigt W hlen Sie im Fenster Regel bereitstellen die Engine aus mit der die Regel bereitgestellt werden soll W hlen Sie die Aktion aus die Sie in Sc
92. ndows Server 2003 http support microsoft com kb 326690 en us Konfigurieren von Active Directory auf Windows Server 2003 3 7 3 Konfigurieren des Sentinel Servers f r die LDAP Authentifizierung 1 Stellen Sie sicher dass Sie die in Abschnitt 3 7 2 Voraussetzungen auf Seite 46 aufgef hrten Voraussetzungen erf llen 2 Melden Sie sich beim Sentinel Rapid Deployment Server als root Benutzer an 3 Kopieren Sie die Datei mit dem exportierten LDAP Server CA Zertifikat in das Verzeichnis lt Installationsverzeichnis gt config 4 Definieren Sie den Eigent mer der Zertifikatdatei und die Zugriffsrechte darauf chown novell novell lt Installationsverzeichnis gt config lt cert file gt chmod 700 lt Installationsverzeichnis gt config lt cert file gt 5 Wechseln Sie zum Benutzer novell su novell 6 Wechseln Sie in das Verzeichnis lt Installationsverzeichnis gt bin 7 F hren Sie das Skript f r die Konfiguration der LDAP Authentifizierung aus ldap_auth_config sh Das Skript sichert die Konfigurationsdateien auth login und configuration xml im Verzeichnis config als auth login sav und configuration xml sav bevor sie f r die LDAP Authentifizierung ge ndert werden 8 Legen Sie die folgenden Werte fest Dr cken Sie die Eingabetaste um den Standardwert zu bernehmen oder geben Sie einen neuen Wert ein der den vorgegebenen Wert berschreibt Sentinel install location Sentinel Installationsverzeichnis Das I
93. ng in standalone mode reqld 3DBA9110 5Fl 3 13 05 11 19 01 37 Event Router Is Running Event router completed its initialization in standalone mode regld 5 v gt Stapel empfangen klicken Sie auf Weitere Ergebnisse um weitere Ergebnisse zu erhalten Bis einschli Anzahl 100 15 W hlen Sie bei gedr ckter Strg oder Umschalttaste im Fenster Alte Ereignisabfrage mehrere Ereignisse aus 16 Klicken Sie mit der rechten Maustaste in das Fenster und w hlen Sie anschlie end Vorfall erstellen aus um das Fenster Neuer Vorfall anzuzeigen Testen der Funktionalit t von Sentinel Rapid Deployment 73 N Neuer Vorfall 1 Verkn pfte Ereignisse Vorfalls ID NEU Titel TestIncidenti Status OPEN Schweregr Ereignisuhrzeit Ereignisname Nachricht Schweregrad Keine On Priorit t Keine 0 Kategorie Initiator admin Zust ndig Beschreibung di Aufl sung 17 Nennen Sie den Vorfall Testvorfall1 und klicken Sie auf Erstellen Wenn die Erfolgsmeldung angezeigt wird klicken Sie auf Speichern 18 Klicken Sie auf die Registerkarte Vorfall um den gerade erstellten Vorfall im Vorfallansichts Manager zu sehen X Ansicht der Vorf lle Status Schweregr Priorit t ID Zust ndig S E incident L Testincidentt OPEN baue 0 O I Aktualisieren 2 Ansi
94. nistrator kann f r die Anmeldung bei der Weboberfl che von Sentinel Rapid Deployment verwendet werden Das Passwort wird bei der Installation festgelegt Standardm ig werden Benutzerpassw rter innerhalb der in Sentinel Rapid Deployment eingebetteten PostgreSQL Datenbank gespeichert PostgreSQL bietet die M glichkeit verschiedene standardbasierte Authentifizierungsmechanismen einzusetzen wie im Abschnitt Client Authentication http www postgresql org docs 8 3 static client authentication html Client Authentifizierung der PostgreSQL Dokumentation beschrieben Die Verwendung dieser Mechanismen betrifft alle Benutzerkonten in Sentinel Rapid Deployment d h die Benutzer der Webanwendung sowie Konten die ausschlieBlich von Backend Diensten verwendet werden z B dbauser und appuser 64 Sentinel Rapid Deployment Installationshandbuch Einfacher ist es Webanwendungsbenutzer mittels eines LDAP Verzeichnisses zu authentifizieren Informationen dazu wie dies auf einem Sentinel Rapid Deployment Server erm glicht wird finden Sie in Abschnitt 3 7 LDAP Authentifizierung auf Seite 45 Diese Option wirkt sich nicht auf von Backend Diensten verwendete Konten aus die solange Sie nicht die Konfigurationseinstellungen f r PostgreSQL ndern weiterhin ber PostgreSQL authentifiziert werden Sie k nnen die Einhaltung von Sentinel Rapid Deployment Passwortrichtlinien zuverl ssig erzwingen wenn Sie diese standardbasierten Mechanismen und
95. nstallationsverzeichnis auf dem Sentinel Server LDAP server hostname or IP address Hostname oder IP Adresse des LDAP Servers Der Hostname bzw die IP Adresse des Computers auf dem der LDAP Server installiert ist Der Standardwert ist localhost Der LDAP Server sollte jedoch nicht auf demselben Computer wie der Sentinel Log Manager Server installiert sein LDAP server port LDAP Server Port Die Portnummer f r die sichere LDAP Verbindung Die Standard Portnummer lautet 636 Installation 47 Anonymous searches on LDAP directory Anonyme Suchen im LDAP Verzeichnis Geben Sie y ein wenn anonyme Suchen m glich sein sollen Anderenfalls geben Sie n ein Der Standardwert ist y Wenn Sie n angeben f hren Sie die LDAP Konfiguration und die Schritte durch die in Abschnitt LDAP Authentifizierung ohne anonyme Suchen auf Seite 49 beschrieben sind LDAP Directory used Verwendetes LDAP Verzeichnis Dieser Parameter wird nur dann angezeigt wenn Sie anonyme Suchen zugelassen haben Geben Sie 1 f r Novell eDirectory oder 2 f r Active Directory ein Der Standardwert ist 1 LDAP subtree to search for users Nach Benutzern zu durchsuchender LDAP Teilbaum Dieser Parameter wird nur dann angezeigt wenn Sie anonyme Suchen zugelassen haben Der Teilbaum im Verzeichnis der die Benutzerobjekte enth lt Die folgenden Beispiele zeigen wie Teilb ume in eDirectory und Active Directory angegeben werden eDire
96. nt mer der Installation und der Ausf hrungsvorg nge von Sentinel Geben Sie den Installationspfad ein oder dr cken Sie die Eingabetaste um den standardm igen Installationspfad zu verwenden Der Standardpfad ist opt novell Der angegebene Installationspfad sollte kein Leerzeichen enthalten Kommen Leerzeichen darin vor fordert das Installationsskript Sie auf einen Installationspfad ohne Leerzeichen anzugeben W hlen Sie eine der folgenden Sprachen aus indem Sie die entsprechende Zahl eingeben Seriennummer Sprache 1 Tschechisch 2 Englisch 3 Franz sisch 4 Deutsch Installation 31 Seriennummer Sprache 5 Italienisch 6 Japanisch 7 Niederl ndisch 8 Polnisch 9 Portugiesisch 10 Chinesisch Vereinfacht 11 Spanisch 12 Chinesisch Traditionell Die Endbenutzer Lizenzvereinbarung wird in der ausgew hlten Sprache angezeigt 10 Lesen Sie die Endbenutzer Lizenzvereinbarung und geben Sie 1 ein wenn Sie der Vereinbarung zustimmen und mit der Installation fortfahren m chten Geben Sie 2 ein wenn Sie die Installation beenden m chten Das Installationsprogramm beginnt die Dateien zu extrahieren und fragt nach Ihrer Lizenz 11 Geben Sie 1 ein wenn Sie einen Lizenzschl ssel f r eine 90 Tage Testversion verwenden m chten Geben Sie 2 ein wenn Sie den g ltigen Lizenzschl ssel verwenden m chten Wenn Sie 2 eingeben fordert das Installationsprogramm Sie auf den g ltigen Sentinel RD Lizenzschl ssel einzugebe
97. nter Collector Manager Collector Manager im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 5 Correlation Engine Die Correlation Engine automatisiert die Analyse des eingehenden Ereignisdatenstroms zur Identifikation relevanter Muster und verbessert auf diese Weise die Handhabung von Sicherheitsereignissen Die Korrelation erm glicht Ihnen das Definieren von Regeln die kritische Bedrohungen und komplexe Angriffsmuster identifizieren sodass Sie Ereignissen Priorit t verleihen und eine effektive Vorfallsverwaltung und reaktion initialisieren K nnen Weitere Informationen finden Sie unter Correlation Tab Registerkarte Correlation im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 6 iTRAC Sentinel stellt ein iTRAC Workflow Verwaltungssystem bereit mit dem Prozesse f r die Vorfallsreaktion definiert und automatisiert werden k nnen Vorf lle die in Sentinel entweder durch eine Korrelationsregel oder manuell identifiziert werden k nnen mit einem iTRAC Workflow Produkt bersicht 15 verkn pft werden Weitere Informationen finden Sie unter iTRAC Workflows OTRAC Workflows im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 7 Sentinel Advisor und Schwachstellenerkennung Sentinel Advisor ist ein optionaler Datenabonnement Service mit Informationen zu bekannten Angriffen Anf lligkeiten und Gegenma
98. ntsprechend den Bildschirmanweisungen fort W hlen Sie eine Sprache aus und klicken Sie auf OK Klicken Sie im Sentinel UninstallShield Assistenten auf Weiter W hlen Sie die zu deinstallierenden Komponenten aus und klicken Sie auf Weiter D N OD CI Stellen Sie sicher dass alle ausgef hrten Sentinel Anwendungen gestoppt sind und klicken Sie auf Weiter Es wird eine Zusammenfassung der f r die Deinstallation ausgew hlten Funktionen angezeigt 9 Klicken Sie auf Deinstallieren 10 Klicken Sie auf Fertig stellen 7 2 2 Windows 1 Melden Sie sich als Administratorbenutzer an 2 Beenden Sie vor der Deinstallation des Collector Managers ggf die Sentinel Rapid Deployment Dienste lt Installationsverzeichnis gt bin sentinel bat stop 3 F hren Sie eine der folgenden Aktionen durch W hlen Sie Start gt Alle Programme gt Sentinel gt Sentinel deinstallieren W hlen Sie Start gt Ausf hren geben Sie lt Installationsverzeichnis gt _uninst ein und doppelklicken Sie auf uninstall exe 4 W hlen Sie eine Sprache aus und klicken Sie auf OK Der UninstallShield Assistent f r Sentinel Rapid Deployment wird angezeigt 5 Klicken Sie auf Weiter 6 W hlen Sie die zu deinstallierenden Komponenten aus und klicken Sie auf Weiter 7 Stellen Sie sicher dass alle ausgef hrten Sentinel Anwendungen gestoppt sind und klicken Sie auf Weiter Es wird eine Zusammenfassung der f r die Deinstallation ausgew hlten Funktionen angez
99. ogramm f r den Sentinel Collector Manager kann auf der Seite Anwendungen der Weboberfl che von Sentinel Rapid Deployment heruntergeladen werden So installieren Sie den Collector Manager 1 Wechseln Sie zu dem Ordner in den Sie das Installationsprogramm f r den Collector Manager heruntergeladen haben 2 Extrahieren Sie das Installationsskript aus folgender Datei Plattform Aktion Windows Dekomprimieren Sie die Datei scm_ installer zip Die Dateien werden in ein Verzeichnis mit der Bezeichnung disk1 dekomprimiert Linux F hren Sie folgenden Befehl mit root Rechten aus unzip scm installer zip Die Dateien werden in ein Verzeichnis mit der Bezeichnung disk1 dekomprimiert 3 Wechseln Sie in das Verzeichnis disk1 und starten Sie die Installation Plattform Aktion Windows F hren Sie den folgenden Befehl aus disk1 setup bat Linux GUI Modus lt Installationsverzeichnis gt disk1 setup sh Konsolenmodus lt Installationsverzeichnis gt disk1 setup sh console Installation 39 4 W hlen Sie die Sprache aus in der Sie die Installation fortsetzen m chten 5 Lesen Sie die Informationen im Begr ungsbildschirm und klicken Sie auf Weiter 6 Lesen Sie die Lizenzvereinbarung durch und erkl ren Sie Ihr Einverst ndnis Klicken Sie auf Weiter 7 bernehmen Sie das Standardinstallationsverzeichnis oder klicken Sie auf Durchsuchen um den Speicherort f r die Installation anzugeben und klicken Sie dann auf Wei
100. omputer die minimalen Systemanforderungen erf llt Weitere Informationen zu den Systemanforderungen finden Sie unter Kapitel 2 Systemanforderungen auf Seite 19 Konfigurieren Sie das Betriebssystem so dass der Befehl hostname f einen g ltigen Hostnamen zur ckgibt Installieren und konfigurieren Sie einen SMTP Simple Mail Transfer Protocol Server wenn Sie Email Benachrichtigungen ber das Sentinel System senden m chten Client Stellen Sie sicher dass jeder Client Computer die minimalen Systemanforderungen erf llt Weitere Informationen zu diesen Voraussetzungen finden Sie in Kapitel 2 Systemanforderungen auf Seite 19 Erstellen Sie ein Verzeichnis dessen Name ausschlie lich ASCH Zeichen und keine Sonderzeichen enth lt von dem aus Sie das Installationsprogramm starten k nnen Installation 29 Wenn Sie den Collector Manager oder Client Anwendungen remote auf Linux Rechnern installieren m ssen Sie sicherstellen dass der Admin Benutzer uneingeschr nkten Zugriff auf den Ordner tmp hat Vergewissern Sie sich dass der Dom nenbenutzer f r den Collector Manager unter Windows ber Hauptbenutzerrechte verf gt da normale Benutzerrechte f r die Installation des Collector Managers nicht ausreichen Wenn Sie den Collector Manager auf einem 64 Bit Computer installieren vergewissern Sie sich dass die 32 Bit Bibliotheken verfiigbar sind Die 32 Bit Bibliotheken sind erforderlich wenn ein Colle
101. passung an Strg Segment zum Erweitern ziehen Uhrzeit Schweregr Ereignisuhrzeit Ereignisname Nachricht XDAS Taxonomienai ET 16 06 11 17 33 24 Undeploy Rule Undeploy Hule 64 ACE633 6F BU 1U2E YD2H UUUCZYYUN 33H real BUCCSU 16 05 11 17 33 24 Remove Data Object Correlation Rule Config ID 54ACE533 5FB0 102E 9D25 000C2990133F Rule D Remove Data Object Rule Name sfdssfssd Type fiter Rule Id 64ACE530 5F80 102E 84E1 000C29 DeployRuleswith ctionsTo Deploy Rules With Actions To Engine 695080E0 9A20 1029 ADDD 0003BAC97 New Data Object Correlation Rule Config ID 64ACE533 5FB0 102E 9D26 000C2990133F Rule D ww Undeploy Rule Undeploy Rule 544CE530 5F BO 102E 84E1 000C2990133F regld 31 BOCCS0 6 Correlatior 1 01 le D Arbeitsiste EE E DeployRuleswith ctionsTo Deploy Rules With Actions To Engine 696080E0 9420 1029 ADDD 0003BAC97 6 05 11 17 24 04 NewDataObject Correlation Rule Config ID 544CE530 5F B0 102E 84E1 000C2990133F Rule D Arbeitselementzusammenfassung 16 05 11 17 23 47 StartEngine Start engine 696080E0 9420 1029 ADDD 0003B4C9707D reqld 31 BOCC50 5 Es sind O Elemente in E Gruppe 16 05 11 17 23 47 CorrelationEngine Started Started Correlation Engine meinem Eigentum und O 16 05 11 17 23 47 CorreletionEngine Starting Starting Correlation Engine meinen Gruppen Blus 18 05 11 17 23 45 StopEngine Stop engine 696080E0 9420 1029 ADDD 0003BAC9707D regld 31 BOCC50 5 zugewiesene Elemente 16 05 11 17
102. r re Speicherung wenn das Zielprogramm besch ftigt ist oder keine Verbindung hergestellt werden kann Weitere Informationen finden Sie unter Communication Server Kommunikationsserver im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 3 Sentinel Datenbank Das Produkt Sentinel wurde um eine Backend Datenbank herum erstellt in der Sicherheitsereignisse sowie s mtliche Sentinel Metadaten gespeichert sind Sentinel 6 1 Rapid Deployment unterst tzt PostgreSQL Die Ereignisse werden in normalisierter Form gespeichert zusammen mit Bestands und Anf lligkeitsdaten Identit tsdaten Vorfall und Workflow Status sowie zahlreichen anderen Datentypen Weitere Informationen finden Sie unter Sentinel Data Manager im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 4 4 Sentinel Collector Manager Der Sentinel Collector Manager verwaltet die Datenerfassung berwacht Meldungen zum Systemstatus und f hrt bei Bedarf eine Ereignisfilterung durch Zu den Hauptfunktionen des Collector Managers z hlen das Umwandeln von Ereignissen das Hinzuf gen unternehmensrelevanter Kontextinformationen zu Ereignissen ber die Taxonomie das globale Filtern von Ereignissen das Routing von Ereignissen sowie das Senden von Zustandsmeldungen an den Sentinel Server Der Sentinel Collector Manager stellt eine direkte Verbindung mit dem Nachrichtenbus her Weitere Informationen finden Sie u
103. r zertifizierten Plattformen finden Sie hier Kapitel 2 Systemanforderungen auf Seite 19 Server auf Seite 29 Client auf Seite 29 Advisor auf Seite 30 Wichtig Sentinel Rapid Deployment Installationen die das vollst ndige Installationsprogramm verwenden sollten immer auf einem sauberen System durchgef hrt werden Falls auf den Computern bereits andere Versionen von Sentinel installiert wurden beispielsweise Sentinel Classic oder Sentinel Log Manager m ssen diese zun chst deinstalliert werden Informationen zur Deinstallation lterer Versionen von Sentinel finden Sie in den entsprechenden Installationshandb chern Informationen zur Deinstallation von Sentinel Classic finden Sie im Kapitel Uninstalling Sentinel Deinstallation von Sentinel im Sentinel Installation Guide http www novell com documentation sentinel61 s61_install page documentation sentinel61 s61_install data bgpg4la html Sentinel 6 1 Installationshandbuch Informationen zur Deinstallation von Sentinel Log Manager finden Sie im Kapitel Uninstalling Sentinel Log Manager Deinstallation von Sentinel Log Manager im Sentinel Log Manager 1 1 Installation Guide http www novell com documentation novelllogmanager11 log_manager_install page documentation novelllogmanagerl1 log_manager_install data bor9aaf html Sentinel Log Manager 1 1 Installationshandbuch Server Stellen Sie sicher dass jeder Server C
104. r an und f hren Sie anschlie end einen Bericht aus Klicken Sie beispielsweise auf die Schaltfl che Ausf hren neben Sentinel Core Event Configuration geben Sie die gew nschten Parameter an und klicken Sie anschlie end auf Ausf hren Weitere Informationen finden Sie unter Running Reports Ausf hren von Berichten im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 4 Klicken Sie auf der Seite Anwendungen auf Control Center starten 5 Melden Sie sich als der verwaltungsbefugte Sentinel Benutzer beim System an der w hrend der Installation angegeben wurde Standard admin Das Sentinel Control Center wird ge ffnet und die Registerkarte Active Views wird mit Ereignissen angezeigt die mit den ffentlichen Filtern Internal_Events und High_Severity gefiltert wurden N Noyell Sentinel Control Center angemeldet als admin Datei Optionen Werkzeuge Fenster Ereignisquellenverwaltung Aktive Ansichten Lor fi T alyse Hilfe S Aktive Ansichten S O Echtzeit s EE Severity Severi Filter FFENTLICH High_Severity Attribut Severity Ereignisanzahl pro Sekunde e e Intervalle von 15 Minuten 20 Sekunden 17 E E Snapshot a 17 35 00 17 35 30 H O Ate Abfragen S O Untersuchen H O Analyse H 0 Aktionen WE 30 7 17 24 30 17 26 30 17 28 30 17 30 30 17 32 30 17 34 30 Umschalt Maus zur Gr enan
105. r solche die intern f r Systemaktivit ten durchgef hrt werden generiert Sentinel Rapid Deployment Audit Ereignisse Diese Ereignisse k nnen in den Active Views angezeigt oder durch eine Suche oder einen Bericht abgefragt werden Sie ben tigen jedoch die entsprechenden Berechtigungen um die Systemereignisse anzeigen zu k nnen Weitere Informationen finden Sie unter System Events for Sentinel Systemereignisse f r Sentinel im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 5 8 Verwenden eines CA Zertifikats Sie k nnen das eigensignierte Zertifikat durch ein Zertifikat ersetzen das durch eine bekannte Zertifizierungsstelle wie VeriSign Thawte oder Entrust signiert ist Au erdem k nnen Sie das eigensignierte Zertifikat durch ein Zertifikat ersetzen das durch eine weniger bekannte Zertifizierungsstelle signiert ist beispielsweise durch eine Zertifizierungsstelle in Ihrem Unternehmen oder Ihrer Organisation Weitere Informationen finden Sie unter Certificate Management for Sentinel 6 1 Rapid Deployment Server Zertifikatsverwaltung f r Sentinel 6 1 Rapid Deployment Server im Sentinel Rapid Deployment Reference Guide Sentinel Rapid Deployment Referenzhandbuch 70 Sentinel Rapid Deployment Installationshandbuch Testen der Funktionalit t von Sentinel Rapid Deployment Sentinel wird mit einem Generic Collector installiert mit dem viele der Grundfunktionen des Systems getestet we
106. rden correlation engine cache das_core cache Die Ereignisdaten k nnen im Cache zwischengespeichert werden wenn die Datenbank auBer Betrieb ist das binary cache In St rungssituationen k nnen die Ereignisdaten im Dateisystem zwischengespeichert werden z B wenn der Nachrichtenbus auBer Betrieb ist oder ein Ereignis berlauf vorliegt Diese Ereignisdaten werden im Verzeichnis lt Installationsverzeichnis gt data collector mgr cache gespeichert 67 Komponenten Speicherort f r Konfigurationsdaten Speicherort f r Ereignisdaten Client Anwendungen Dateisystem Keine Installationsverzeichnis config Die Client Anwendungen speichern keine vertraulichen Daten in ihren Konfigurationsdateien Beispielsweise k nnen Client Anwendungen die ESM Daten in ein lokales Dateisystem exportieren Die exportierten Dateien enthalten verschl sselte Passw rter wenn sie in der Konfiguration der Ereignisquellen vorhanden sind die exportiert wurden Obwohl die Passw rter verschl sselt sind sollte die Erlaubnis zum ESM Export nur Benutzern erteilt werden denen dieses Privileg wirklich anvertraut werden kann 5 5 Sicherung von Informationen Sie m ssen die Ereignisse regelm ig sichern Die Sicherungsmedien sollten in einer sicheren Offsite Einrichtung aufbewahrt werden Sichern Sie die Systemdaten Weitere Informationen finden Sie unter Backup and Restore Utility Backup und Wiederherstellungs Dienstprogr
107. rden k nnen Sie k nnen diesen Collector verwenden um Active Views erstellte Vorf lle Korrelationsregeln und Berichte zu testen Abschnitt 6 1 Testen der Installation von Rapid Deployment auf Seite 71 Abschnitt 6 2 Bereinigung nach dem Testen auf Seite 83 Abschnitt 6 3 Verwenden realer Daten auf Seite 84 6 1 Testen der Installation von Rapid Deployment Nachfolgend werden die Schritte erl utert mit denen sich das Sentinel Rapid Deployment System und die erwarteten Ergebnisse testen lassen M glicherweise werden bei Ihnen nicht dieselben Ereignisse angezeigt Ihre Ergebnisse sollten jedoch in etwa mit den unten angezeigten bereinstimmen Auf der untersten Ebene k nnen Sie mit diesen Tests berpr fen ob Folgendes zutrifft Die Sentinel Dienste sind aktiv und werden ausgef hrt Die Kommunikation ber den Nachrichtenbus funktioniert Interne Audit Ereignisse werden gesendet Ereignisse k nnen ber einen Collection Manager gesendet werden Ereignisse werden in die Datenbank eingef gt und k nnen mithilfe eines Berichts abgerufen werden Vorf lle k nnen erstellt und angezeigt werden Die Correlation Engine bewertet Regeln und l st korrelierte Ereignisse aus Der Sentinel Data Manager wird mit der Datenbank verbunden und kann die Partitionsinformationen lesen Wenn einer dieser Tests nicht erfolgreich ist lesen Sie im Installationsprotokoll und den anderen Protokolldatei
108. rdnungsgem funktioniert m ssen Sie manuell Folgendes berpr fen Alle jnlp Dateien und die Datei configuration xml werden beim Sentinel Neustart aktualisiert Der Hostnamen Eintrag in der Datenbanktabelle sentinel_host wird aktualisiert Alle Referenzen zur lokalen Schleife localhost oder 127 0 0 1 in der Datei lt Installationsverzeichnis gt config configuration xml bleiben unver ndert A 2 Client Anwendungen F r die Client Anwendungen m ssen Sie den Server Hostnamen oder die IP Adresse an folgenden Stellen manuell so ndern dass sie auf den korrekten Server verweisen lt Installationsverzeichnis gt config configuration xml Das Sentinel Control Center und der Solution Designer verwenden diese Informationen Die Hilfe URL die in der Datei lt Installationsverzeichnis gt config SentinelPreferences properties angegeben ist F hren Sie folgenden Befehl aus um den Hostnamen in der Datei sam connect zu aktualisieren sdm action saveConnection server lt postgresql gt host lt hostIpaddress hostName gt port lt portnum gt database lt databaseName SID gt driverProps lt propertiesFile user lt dbUser gt password lt dbPass gt winAuth connectFile lt filenameToSaveConnection gt Aktualisieren des Hostnamens von Sentinel Rapid Deployment 89 90 Sentinel Rapid Deployment Installationshandbuch Tipps zur Fehlersuche In diesem Abschnitt finden Sie eine Liste mit Vorschl gen z
109. ren e Abschnitt 3 7 1 berblick auf Seite 45 Abschnitt 3 7 2 Voraussetzungen auf Seite 46 Abschnitt 3 7 3 Konfigurieren des Sentinel Servers f r die LDAP Authentifizierung auf Seite 47 Abschnitt 3 7 4 Konfigurieren mehrerer LDAP Server zur Ausfallsicherheit auf Seite 50 Abschnitt 3 7 5 Konfigurieren der LDAP Authentifizierung f r mehrere Active Directory Dom nen auf Seite 52 Abschnitt 3 7 6 Anmeldung unter Verwendung von LDAP Benutzerberechtigungsnachweisen auf Seite 53 3 7 1 berblick Sie k nnen den Sentinel Rapid Deployment Server f r die LDAP Authentifizierung ber eine sichere SSL Verbindung konfigurieren Dabei kann die Verwendung anonymer Suchen im LDAP Verzeichnis zugelassen oder nicht zugelassen werden Installation 45 Hinweis Sollte die anonyme Suche im LDAP Verzeichnis nicht m glich sein d rfen Sie auch den Sentinel Rapid Deployment Server nicht f r die Verwendung der anonymen Suche konfigurieren Anonyme Suche Wenn Sie LDAP Benutzerkonten f r Sentinel Rapid Deployment erstellen m ssen Sie den Verzeichnisbenutzernamen angeben Es ist nicht notwendig den eindeutigen Benutzernamen DN anzugeben Wenn sich der LDAP Benutzer bei Sentinel Rapid Deployment anmeldet f hrt der Sentinel Rapid Deployment Server basierend auf dem angegebenen Benutzernamen eine anonyme Suche im LDAP Verzeichnis durch findet den zugeh rigen DN und authentifizie
110. roducts sentinel secure sentinelplugins html Benachrichtigungs Mailingliste Sie k nnen sich ber die Sentinel Plugin Website in die Mailingliste eintragen Sentinel Rapid Deployment Installationshandbuch Produktubersicht Sentinel 6 1 Rapid Deployment ist eine vereinfachte Version von Novell Sentinel die die Open Source Komponenten PostgreSQL activeMQ und JasperReports nutzt Die folgenden Abschnitte bieten Informationen zu den Hauptkomponenten des Sentinel 6 1 Rapid Deployment Systems Dieses Dokument das Sentinel Rapid Deployment Installationshandbuch enth lt detaillierte Informationen zu den Installations und Konfigurationsprozeduren Architektur und Betrieb der Software sowie administrative Vorg nge werden im Sentinel Rapid Deployment User Guide http www novell com documentation sentinel61rd s61rd_user page documentation sentinel61rd s61rd_user data bookinfo html Sentinel Rapid Deployment Benutzerhandbuch beschrieben Abschnitt 1 1 Sentinel 6 1 Rapid Deployment berblick auf Seite 9 Abschnitt 1 2 Konfiguration von Sentinel 6 1 Rapid Deployment auf Seite 11 Abschnitt 1 3 Benutzeroberfl chen von Sentinel Rapid Deployment auf Seite 12 Abschnitt 1 4 Sentinel Serverkomponenten auf Seite 14 Abschnitt 1 5 Sentinel Plugins auf Seite 16 Abschnitt 1 6 Sprachunterst tzung auf Seite 18 1 1 Sentinel 6 1 Rapid Deployment berblick Sentinel ist eine L
111. root InstallShield 6 Entfernen Sie den InstallShield Abschnitt von etc profile 7 F hren Sie einen Neustart Ihres Computers durch Windows 1 L schen Sie den Ordner CommonProgramFiles InstallShield Universal und seinen gesamten Inhalt 2 L schen Sie den Ordner lt Installationsverzeichnis gt standardm ig C Programme Novell Sentinel6 3 Klicken Sie mit der rechten Maustaste auf Arbeitsplatz gt Eigenschaften gt Registerkarte Erweitert 4 Klicken Sie auf die Schaltfl che Umgebungsvariablen 5 L schen Sie die folgenden Variablen sofern vorhanden ESEC_HOME ESEC_VERSION ESEC_JAVA_ HOME Deinstallation von Sentinel Rapid Deployment 87 ESEC_CONF_FILE WORKBENCH_HOME 6 Entfernen Sie alle Eintr ge in der Umgebungsvariablen PATH die auf die Sentinel Installation verweisen 7 L schen Sie s mtliche Sentinel Verkn pfungen vom Desktop 8 L schen Sie den Verkn pfungsordner Start gt Programme gt Sentinel aus dem Startmen 9 F hren Sie einen Neustart Ihres Computers durch 88 Sentinel Rapid Deployment Installationshandbuch Aktualisieren des Hostnamens von Sentinel Rapid Deployment Abschnitt A 1 Server auf Seite 89 Abschnitt A 2 Client Anwendungen auf Seite 89 A 1 Server Auf dem Sentinel Server werden Hostnamen nderungen w hrend der Laufzeit oder w hrend der Installation automatisch aktualisiert Wenn der Server nach einer Hostnamen Aktualisierung nicht o
112. rstellen f hrt Sentinel Rapid Deployment keine eindeutige Identifizierung dieser neuen Collector Manager Instanzen durch Dies liegt an mehrfach verwendeten UUIDs Sie m ssen die UUID generieren indem Sie auf den neu installierten Collector Manager Systemen folgende Schritte durchf hren 1 L schen Sie die Datei host id bzw sentinel id im Ordner lt Installationsverzeichnis gt data 2 Starten Sie den Collector Manager neu Der Collector Manager generiert automatisch die UUID Tipps zur Fehlersuche 93 94 Sentinel Rapid Deployment Installationshandbuch Bewahrte Verfahren fur die Pflege der PostgreSQL Datenbank Sie k nnen eine Feinabstimmung der Datenbank vornehmen um die Leistung des Datenbankservers zu verbessern Die in diesem Abschnitt angegebenen Begrenzungen sind N herungswerte Es handelt sich nicht um harte Begrenzungen In sehr dynamischen Systemen hat es sich jedoch bew hrt Puffer zu bilden und Wachstum zu erm glichen Abschnitt C 1 Modifizieren der Konfigurationsparameter f r den Arbeitsspeicher auf Seite 95 Abschnitt C 2 Verringern der E A Auswirkung von Bereinigungs Analyse Prozessen auf Seite 96 C 1 Modifizieren der Konfigurationsparameter f r den Arbeitsspeicher F r die Feinabstimmung des PostgreSQL Datenbankservers k nnen in der Datei lt install_dir gt 3rd party postgresgl data postgresgl conf folgende Parameter f r die Arbeitsspeicherkonfiguration angepasst werden
113. rt die Benutzeranmeldung im LDAP Verzeichnis unter Verwendung des DN Nicht anonyme Suche Wenn Sie LDAP Benutzerkonten f r Sentinel Rapid Deployment erstellen m ssen Sie den Verzeichnisbenutzernamen und den eindeutigen Benutzernamen DN angeben Wenn sich der LDAP Benutzer bei Sentinel Rapid Deployment anmeldet authentifiziert der Sentinel Rapid Deployment Server die Benutzeranmeldung im LDAP Verzeichnis unter Verwendung des angegebenen Benutzer DN und f hrt keine anonyme Suche im LDAP Verzeichnis durch F r Active Directory steht eine weitere Methode zur Verf gung Weitere Informationen finden Sie unter Nicht anonyme LDAP Authentifizierung unter Verwendung des UserPrincipalName Attributs in Active Directory 3 7 2 Voraussetzungen Exportieren des LDAP Server CA Zertifikats auf Seite 46 Aktivieren der anonymen Suche im LDAP Verzeichnis auf Seite 46 Exportieren des LDAP Server CA Zertifikats Die sichere SSL Verbindung zum LDAP Server erfordert das LDAP Server CA Zertifikat das Sie in eine Base64 kodierte Datei exportieren m ssen eDirectory Weitere Informationen hierzu finden Sie unter Exporting an Organizational CA s Self Signed Certificate http www novell com documentation edir88 edir88 page documentation edir88 edir88 data a7elxuq html Exportieren eines von einer Zertifizierungsstelle der Organisation selbst signierten Zertifikats Um ein eDirectory CA Zertifikat in Manager exportieren zu k
114. s Klicken Sie auf Weiter bernehmen Sie das Standardinstallationsverzeichnis oder klicken Sie auf Durchsuchen um den Speicherort f r die Installation anzugeben Klicken Sie auf Weiter Wichtig Die Installation kann nicht in einem Verzeichnis erfolgen dessen Name Sonderzeichen oder Nicht ASCII Zeichen enth lt Beispielsweise lautet der Standardpfad bei einer Installation von Sentinel Rapid Deployment unter Windows x86 64 C Programme x86 Sie m ssen diesen Standardpfad ndern um Sonderzeichen wie die Klammern in x86 zu vermeiden wenn Sie mit der Installation fortfahren m chten Installation 37 8 W hlen Sie die zu installierenden Sentinel Anwendungen aus Folgende Optionen stehen zur Verf gung Komponente Beschreibung Sentinel Control Center Die Hauptkonsole f r Sicherheits oder Konformit tsanalysten Sentinel Data Manager SDM Wird f r Aktivit ten zur Datenbankverwaltung verwendet Solution Designer Hilft Ihnen beim Erstellen von L sungspaketen 9 Wenn Sie ausw hlen dass Sentinel Control Center installiert werden soll fordert Sie das Installationsprogramm auf die maximale Menge an Arbeitsspeicher einzugeben die Sentinel Control Center zugeordnet werden soll Geben Sie die maximale JVM Heap Gr e MB an die ausschlie lich von Sentinel Control Center verwendet werden soll Zul ssig sind Werte im Bereich von 64 bis 1024 MB Diese Option ist nicht verf gbar wenn bereits eine der Sentinel
115. s SCC entweder als Client Anwendung oder ber Java Webstart starten Zu den wichtigsten Funktionen von SCC geh ren Active Views Analysefunktionen und Visualisierung in Echtzeit Analyse Ausf hren und Speichern von Offline Abfragen Vorf lle Erstellung und Verwaltung von Vorf llen Korrelation Definition und Verwaltung von Korrelationsregeln iTRAC Prozessverwaltung f r die Dokumentation Erzwingung und Verfolgung von Prozessen zur Vorfallsaufl sung Berichterstellung Verlaufsberichte und Metriken Ereignisquellenverwaltung berwachung und Bereitstellung von Collectors Solution Manager Installiert implementiert und testet die Inhalte von L sungspaketen Weitere Informationen finden Sie unter Sentinel Control Center im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 3 3 Sentinel Data Manager Mit dem Sentinel Data Manager k nnen Sie die Sentinel Datenbank verwalten Folgende Vorg nge k nnen im Sentinel Data Manager ausgef hrt werden Nutzung des Datenbankspeichers berwachen Datenbankpartitionen anzeigen und verwalten Datenbankarchive verwalten Archivierte Daten zur ck in die Datenbank importieren Weitere Informationen finden Sie unter Sentinel Data Manager im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch Produkt bersicht 13 1 3 4 Sentinel Solution Designer Der Sentinel Solution Designer dient der
116. setzen Sie lt install_filename gt durch den tats chlichen Namen der Installationsdatei 7 Wechseln Sie in das Verzeichnis in das Sie die Dateien des Installationsprogramms extrahiert haben cd lt directory_name gt Ersetzen Sie lt directory_name gt durch den Namen des Verzeichnisses in das Sie die Dateien extrahiert haben 8 Geben Sie den folgenden Befehl zur Installation des Patches auf dem Server an und befolgen Sie anschlie end die Bildschirmanweisungen service_pack sh Nach der Installation starten die Sentinel Dienste automatisch 9 Wenden Sie den Patch auf allen Computern an auf denen Collector Manager und oder Client Anwendungen laufen 4 3 Aktualisieren des Collector Managers und der Client Anwendungen Abschnitt 4 3 1 Aktualisieren des Collector Managers auf Seite 56 Abschnitt 4 3 2 Aktualisieren der Client Anwendungen auf Seite 57 4 3 1 Aktualisieren des Collector Managers Linux auf Seite 56 Windows auf Seite 57 Linux 1 Melden Sie sich bei dem Computer mit dem Sentinel Rapid Deployment Collector Manager als root Benutzer an 2 Laden Sie das Patch Installationsprogramm f r Sentinel Rapid Deployment von der Webseite Novell Patch Finder http download novell com patch finder herunter 3 Kopieren Sie die heruntergeladene Datei in ein tempor res Verzeichnis 4 Geben Sie den folgenden Befehl ein um die Dateien im Installationspaket zu extrahieren unzip lt install
117. sse des Servers unter dem Sentinel ausgef hrt wird Bei der URL wird zwischen Gro und Kleinschreibung unterschieden 2 Wenn Sie zur berpr fung der Zertifikate aufgefordert werden gehen Sie die Zertifikatsdaten durch und klicken Sie dann auf Ja wenn sie g ltig sind 3 Geben Sie den Benutzernamen und das Passwort zum Zugriff auf das Sentinel Konto ein 4 W hlen Sie mit der Dropdown Liste Sprachen die Sprache aus Installation 35 Normalerweise sollte diese Sprache dem Sprachcode entsprechen der f r den Sentinel Rapid Deployment Server und den lokalen Computer verwendet wird Stellen Sie sicher dass die Spracheneinstellung Ihres Browsers f r die Unterst tzung der gew nschten Sprache konfiguriert ist 5 Klicken Sie auf Anmelden 6 W hlen Sie Anwendungen aus Sie k nnen folgende Installationsprogramme herunterladen Optionen Aktion Beschreibung Installationsprogramm f r Collector Manager Client Installationsprogramm Das Collector Manager Installationsprogramm erm glicht es Ihnen den Sentinel Collector Manager auf den unterst tzten Windows und Linux Plattformen zu installieren Mit dem Client Installationsprogramm k nnen Sie Sentinel Control Center Sentinel Solution Designer und Sentinel Data Manager auf den Klicken Sie auf Download Collector Manager Installer Installationsprogramm f r Collector Manager herunterladen und befolgen Sie die Anweisungen auf dem Bildschirm Klicken
118. starten Doppelklicken Sie auf die Datei service pack bat und befolgen Sie die Anweisungen auf dem Bildschirm Starten Sie die Datei service pack bart von einer Eingabeaufforderung aus und befolgen Sie die Anweisungen auf dem Bildschirm Nach der Installation starten die Collector Manager Dienste automatisch 4 3 2 Aktualisieren der Client Anwendungen Linux auf Seite 57 Windows auf Seite 58 Linux 1 Melden Sie sich bei dem Computer auf dem die Client Anwendungen von Novell Sentinel Rapid Deployment laufen als root Benutzer an 2 Laden Sie das Patch Installationsprogramm f r Sentinel Rapid Deployment von der Webseite Novell Patch Finder http download novell com patch finder herunter 3 Kopieren Sie das heruntergeladene Installationspaket in ein tempor res Verzeichnis 4 Geben Sie den folgenden Befehl ein um die Dateien im Installationspaket zu extrahieren Aktualisierung von Sentinel Rapid Deployment 57 unzip lt install filename gt Ersetzen Sie lt install_filename gt durch den tats chlichen Namen der Installationsdatei 5 Wechseln Sie in das Verzeichnis in das Sie die Dateien des Installationsprogramms extrahiert haben cd lt directory_name gt Ersetzen Sie lt directory_name gt durch den Namen des Verzeichnisses in das Sie die Dateien extrahiert haben 6 F hren Sie das Installationsprogramm aus und befolgen Sie die Anweisungen auf dem Bildschirm service_pack sh Windows 1
119. stgreSQL ist auf dem Sentinel _ Server Computer auf dem Sentinel Server Computer installiert NZ Webserver Webstart Sentinel Chent Anwendungen Berichterstellung und Suchvorg nge Web Browsers Mozilla Firefox 3 x Intemet Explorer 8 x Sentinel enth lt folgende einfach bedienbare Benutzeroberfl chen Weboberfl che von Sentinel 6 1 Rapid Deployment Sentinel Control Center Sentinel Data Manager Sentinel Solution Designer Sentinel Plugin SDK 12 Sentinel Rapid Deployment Installationshandbuch 1 3 1 Weboberfl che von Sentinel 6 1 Rapid Deployment ber die Weboberfl che von Novell Sentinel 6 1 Rapid Development k nnen Sie Berichte verwalten sowie Sentinel Control Center SCC Sentinel Data Manager und Solution Designer starten Au erdem k nnen Sie ber die Seite Anwendungen der Sentinel Rapid 6 1 Deployment Weboberfl che die Installationsprogramme f r den Collector Manager und den Client herunterladen Weitere Informationen finden Sie unter Verwalten von Managing Sentinel Rapid Deployment ber die Weboberfl che im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 1 3 2 Sentinel Control Center Das SCC bietet eine integrierte Sicherheitsverwaltungskonsole mit der Analysten schnell neue Trends oder Angriffe erkennen grafische Informationen in Echtzeit bearbeiten damit interagieren sowie auf Vorf lle reagieren k nnen Sie k nnen da
120. sung f r die Verwaltung von Sicherheitsinformationen und Ereignissen die Informationen von zahlreichen Quellen im gesamten Unternehmen empf ngt standardisiert und priorisiert Diese aufbereiteten Informationen unterst tzen die Entscheidungsfindung in Bezug auf Bedrohungen Risiken und Richtlinien Sentinel protokolliert automatisch Erfassungs Analyse und Berichtsprozesse um zu gew hrleisten dass die Bedrohungserkennung und Audit Anforderungen durch IT Steuerelemente effektiv unterst tzt werden Mit Sentinel werden arbeitsaufw ndige manuelle Prozesse durch die automatisierte Dauer berwachung von Sicherheits und Konformit tsereignissen sowie IT Steuerelementen ersetzt Dar ber hinaus sammelt Sentinel in der gesamten Netzwerkinfrastruktur des Unternehmens sowie von Drittanbieter Systemen Ger ten und Anwendungen sicherheitsbezogene und nicht sicherheitsbezogene Informationen und korreliert sie Sentinel zeigt die gesammelten Daten in einer grafischen Benutzeroberfl che Graphical User Interface GUI an identifiziert Sicherheits bzw Konformit tsprobleme und verfolgt die Behebungsma nahmen Auf diese Weise werden ehemals fehleranf llige Prozesse optimiert und es entsteht ein strikteres und sichereres Verwaltungsprogramm Mithilfe der automatisierten Vorfallsreaktions Verwaltung k nnen Sie den Prozess der Verfolgung Eskalation und Reaktion auf Vorf lle und Richtlinienverst e dokumentieren und formalisieren Au erdem wird d
121. t 61616 wireFormat maxInactivityDuration 30000 randomize false interceptors compression keystore config activemgclientkeystore jks keystorePassword password password 374d9f338b4dc4b50e45b3822fc6bel2 username system gt lt strategy gt das_binary xml lt class gt esecurity base ccs comp dataobject ConnectionManager lt class gt lt property name username gt appuser lt property gt lt property name password gt 7fA ogBMeK7cRbJ S6xJ InLBUi sRVGK5qYycDxfIqGDHVX9FApWg lt property gt das_core xml lt class gt esecurity base ccs comp dataobject ConnectionManager lt class gt lt property name username gt appuser lt property gt lt property name password gt 7fA ogBMeK7cRbJ S6xJ InLBUi sRVGK5gYycDxfIqGDHVX9FApWg lt property gt In einigen Datenbanktabellen werden Passw rter und Zertifikate gespeichert Diese vertraulichen Daten sind verschl sselt und werden in den unten aufgef hrten Tabellen gespeichert Sie m ssen den Zugriff auf diese Tabellen einschr nken evt_src evt_src_config Spaltendaten evt_src_collector Spalten evt_src_collector_props evt_src_grp ungewiss Spalten evt_src_default_config md config Spalte data integrator_config Spalte integrator_properties md_view_config Spalte view data esec_content Spalte content_context content_hash esec_content_grp_content Spalten content_hash sentinel_ plugin Spalten content_pkg file_hash 66 Sentinel R
122. t demselben Benutzerberechtigungsnachweis an In der Datei collector manager0 0 log werden Ausnahmen protokolliert die sich auf die folgenden Collector Manager Funktionen auswirken Die Zuordnungen werden nicht initialisiert Sie k nnen mit dem File Connector keine Ereignisquellendatei im Dateisystem des Collector Manager Computers Win2008 ausw hlen H ufige Ursache Sie haben den Collector Manager auf einem Computer mit Windows 2008 SP1 Standardedition 64 Bit installiert Standardm ig ist auf dem Computer die Benutzerzugriffssteuerung aktiviert Aktion ndern Sie f r die Sentinel Rapid Deployment Dienste den unter Anmelden als angegebenen Benutzer in den aktuellen Benutzer Standardm ig ist unter Anmelden als die Option Lokales Systemkonto ausgew hlt So ndern Sie die Standardeinstellung 1 F hren Sie services msc aus um das Fenster Dienste zu ffnen 2 Klicken Sie mit der rechten Maustaste auf Sentinel und w hlen Sie dann Eigenschaften aus 4 Dienste i 10 x Datei Aktion Ansicht e HM rfaBRgea an ka Dienste Lokal 4 Dienste Lokal Server Name Beschreibuni Status ky Routing und RAS Bietet Routin Den Dienst beenden a RPC Locator Den Dienst anhalten n Din Deir a sekund re Anmeld Eigenschaften von Sentinel Lok 2jxj Allgemein Anmelden Wiederherstellen Abh ngigkeiten aShelhardwareerke Zei SS Beschreibung Unterst tzt
123. t diesen Port um die Verbindung zum Sentinel Server herzustellen Die Standardportnummer ist 10013 Hostname des Kommunikationsservers Die IP Adresse oder der Hostname des Computers auf dem der Sentinel Rapid Deployment Server installiert ist Stellen Sie sicher dass die Portnummern denen in der Datei lt Installationsverzeichnis gt config configuration xml auf dem Sentinel Rapid Deployment Server entsprechen damit die Kommunikation m glich ist Notieren Sie sich diese Ports f r sp tere Installationen auf anderen Computern Weitere Informationen zu Portnummern finden Sie in Abschnitt 3 3 2 Portnummern f r Sentinel Rapid Deployment Client Komponenten auf Seite 36 14 Klicken Sie auf Weiter 38 Sentinel Rapid Deployment Installationshandbuch Eine Zusammenfassung der Installation wird angezeigt 15 Klicken Sie auf Installieren 16 Schlie en Sie die Installation mit Fertig stellen ab Hinweis Verwenden Sie bei der erneuten Anmeldung den Benutzernamen den Sie in Schritt 10 angegeben haben Sollten Sie den selbst festgelegten Benutzernamen vergessen haben ffnen Sie eine Terminal Konsole und geben Sie als root Benutzer folgenden Befehl ein env grep ESEC_USER Mit diesem Befehl wird der Benutzername zur ckgegeben wenn der Benutzer bereits erstellt wurde und die Umgebungsvariablen bereits festgelegt worden sind 3 3 4 Installieren des Sentinel Collector Managers auf SLES oder Windows Das Installationspr
124. te Betriebssysteme 222mm seen nern ernennen nen 2 2 Hardwareanforderungen 2 3 Unterst tzte Webbrowser 2 4 Virtuelle Umgebung 2 5 Empfohlene Begrenzungen 222m neer een een 2 5 1 Begrenzungen f r den Collector Manager 2 5 2 Begrenzungen f r Berichte L nennen nennen ernennen 2 6 Testergebnisse nn ee ma Herr an 3 Installation SET eekleg en tree EE EE 3 1 1 Serverkomponenten anne en een een en 3 1 2 Client Anwendungen enenene nennen een nennen nenn 3 2 Installation auf SUSE Linux Enterprise Server asnsa uaaa a aaaea 3 2 1 Voraussetzungent ii e ei i 3 2 2 Installation von Sentinel Rapid Deployment LL 19 19 19 21 23 23 23 23 24 24 27 27 27 28 29 29 30 Inhalt 3 4 3 3 Installieren des Collector Managers und der Sentinel Client Anwendungen 35 3 3 1 Herunterladen der Installationsprogramme 2 22 22 n rennen rennen 35 3 3 2 Portnummern f r Sentinel Rapid Deployment Client Komponenten 36 3 3 3 Installieren der Sentinel Client Anwendungen LL 37 3 3 4 Installieren des Sentinel Collector Managers auf SLES oder Windows 39 3 4 Manuelles Starten und Anhalten der Sentinel Dienste 42 3 5 Manuelle Aufr stung von Java 42 3 6 Konfiguration im Anschluss an die Installation 43 3 6 1 ndern der Datums und Zeiteinstellungen 0 nun nen rnrn nnnn 43 3 6 2 Konfigurieren des SMTP Integrators
125. tei f r jeden Failover LDAP Server mit den notwendigen Einstellungen f r Eigent merschaft und Berechtigungen versehen ist chown novell novell lt Installationsverzeichnis gt config lt cert file gt 50 Sentinel Rapid Deployment Installationshandbuch 10 11 chmod 700 lt Installationsverzeichnis gt config lt cert file gt F gen Sie jedes Failover LDAP Server Zertifikat dem Keystore Idap_server keystore zu der in Schritt 8 im Abschnitt Konfigurieren des Sentinel Servers f r die LDAP Authentifizierung auf Seite 47 erstellt wird lt Installationsverzeichnis gt jre64 bin keytool importcert noprompt trustcacerts file lt certificate file gt alias lt alias_name gt keystore ldap_server keystore storepass sentinel Ersetzen Sie lt certificate file gt durch den Namen der Datei mit dem LDAP Zertifikat im Base64 verschl sselten Format und lt alias_name gt durch den Aliasnamen f r das zu importierende Zertifikat Wichtig Die Angabe des Aliasnamens ist erforderlich Wird kein Aliasname angegeben verwendet das Keytool standardm ig mykey als Aliasnamen Wenn Sie mehrere Zertifikate in den Keystore importieren ohne einen Aliasnamen anzugeben meldet das Keytool als Fehler dass der Aliasname bereits vorhanden ist Starten Sie den Sentinel Dienst etc init d sentinel start Der Dienst stellt m glicherweise keine Verbindung zu dem Failover LDAP Server her wenn auf dem Sentinel Server eine Zeit berschreitun
126. ter Wichtig Die Installation kann nicht in einem Verzeichnis erfolgen dessen Name Sonderzeichen oder Nicht ASCII Zeichen enth lt Beispielsweise lautet der Standardpfad bei einer Installation von Sentinel unter Windows x86 64 C Programme x86 Sie m ssen den Standardpfad ndern um Sonderzeichen wie die Klammern in x86 zu vermeiden wenn Sie mit der Installation fortfahren m chten 8 Geben Sie den Sentinel Administrator Benutzernamen und den Pfad zum entsprechenden Basisverzeichnis an Diese Option ist nicht verf gbar wenn bereits irgendwelche Sentinel Anwendungen installiert wurden Benutzername des Betriebssystem Sentinel Administrators Die Standardeinstellung ist esecadn Dies ist der Benutzername des Eigent mers des installierten Sentinel Produkts Wenn der Benutzer noch nicht existiert wird er gemeinsam mit einem entsprechenden Basisverzeichnis im angegebenen Verzeichnis erstellt Basisverzeichnis des Betriebssystem Sentinel Administrators Die Standardvorgabe lautet export home Lautet der Benutzername esecadm dann hei t das entsprechende Basisverzeichnis export home esecadm Um sich als Benutzer esecadm anmelden zu k nnen m ssen Sie zun chst dessen Passwort festlegen 9 Legen Sie die folgenden Werte fest Nachrichtenbus Port Der Port den der Kommunikationsserver berwacht Die Komponenten die eine direkte Verbindung mit dem Kommunikationsserver herstellen verwenden diesen Port D
127. tion sentinel61rd s61rd_reference data bookinfo html Novell Sentinel Rapid Deployment Referenzhandbuch Novell Sentinel Installationshandbuch http www novell com documentation sentinel61 s61_install page documentation sentinel61 s61_install data Novell Sentinel User Guide http www novell com documentation sentinel61 s61_user page documentation sentinel61 s61_user data Novell Sentinel 6 1 Benutzerhandbuch Informationen zu diesem Handbuch 7 8 Novell Sentinel Referenzhandbuch http www novell com documentation sentinel61 s61_reference page documentation sentinel61 s61_reference data Sentinel SDK http www novell com developer develop_to_sentinel html Auf der Sentinel SDK Website finden Sie Details zur Entwicklung von Collectors propriet r oder JavaScript und JavaScript Korrelationsaktionen Anfragen an Novell Novell Website http www novell com Technischer Support von Novell http support novell com phone html sourceidint suplnav4_phonesup Novell Self Support http support novell com support_options html sourceidint suplnav_supportprog Patch Download Site http download novell com index jsp Novell 24x7 Support http www novell com company contact html Sentinel TIDS http support novell com products sentinel Sentinel Community Support Forum http forums novell com novell product support forums sentinel Sentinel Plugin Website http support novell com p
128. tor Manager und der Webserver Sie kommunizieren untereinander ber ActiveMQ Die Kommunikation zwischen diesen Serverprozessen erfolgt standardm ig per SSL ber den ActiveMQ Nachrichtenbus F r die Konfiguration von SSL geben Sie in der Datei lt Installationsverzeichnis gt configuration xml folgende Informationen an lt jms brokerURL failover ssl localhost 61616 wireFormat maxInactivityDuration 30000 randomize false interceptors compression keystore config activemgclientkeystore jks keystorePassword password password 37449f338b4dc4b50e45b3822fc6bel2 username system gt Weitere Informationen zum Einrichten benutzerdefinierter Server und Client Zertifikate finden Sie unter Processes Prozesse im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 5 2 2 Kommunikation zwischen dem Sentinel Server und den Sentinel Client Anwendungen Die Sentinel Client Anwendungen wie das Sentinel Control Center SCC der Sentinel Data Manager SDM und der Solution Designer nutzen standardm ig die SSL Kommunikation ber den SSL Proxyserver 60 Sentinel Rapid Deployment Installationshandbuch Geben Sie zur Aktivierung der Kommunikation zwischen dem Sentinel Server und SCC dem SDM und dem Solution Designer wenn diese auf dem Server alle als Client Anwendungen ausgef hrt werden in der Datei lt Installationsverzeichnis gt configuration xml folgende Informationen an lt strat
129. tzername ist novell Wenn der angegebene Benutzer bereits vorhanden ist informiert Sie das Installationsprogramm und listet die Gruppe der Benutzer auf Fahren Sie mit Schritt 9 fort Wenn der angegebene Benutzername nicht vorhanden ist erstellt das Installationsprogramm den Benutzer Fahren Sie mit Schritt 8 fort Geben Sie den Gruppennamen ein oder dr cken Sie die Eingabetaste um den Standardgruppennamen zu verwenden Der Standardgruppenname ist novell Wenn der angegebene Gruppenname vorhanden ist f hrt das Installationsprogramm mit der Installation fort Anderenfalls erstellt das Installationsprogramm die Gruppe und meldet dass der angegebene Benutzername in der angegebenen Gruppe erstellt wird Der angegebene Benutzer und die angegebene Gruppe sind Eigent mer der Installation und der Ausf hrungsvorg nge von Sentinel Geben Sie den Installationspfad ein oder dr cken Sie die Eingabetaste um den standardm igen Installationspfad zu verwenden Der Standardpfad ist opt novell Der angegebene Installationspfad sollte kein Leerzeichen enthalten Kommen Leerzeichen darin vor fordert das Installationsskript Sie auf einen Installationspfad ohne Leerzeichen anzugeben Melden Sie sich als der Nicht root Benutzer an Beispiel su novell F hren Sie das Installationsskript mit der Option install aus install sh install Installation 33 Das Installationsskript pr ft zun chst ob gen gend Arbeitsspeicher und Plattenspe
130. uppe Standard novel1 erstellt Anschlie end wird der Sentinel Rapid Deployment Server installiert Die Option sorgt daf r dass die Sentinel Rapid Deployment Dienste beim Systemstart automatisch gestartet werden install Diese Option installiert den Sentinel Rapid Deployment Server createuser Diese Option k nnen Sie nur als root Benutzer verwenden Es werden nur der Benutzer Standard novell und die Benutzergruppe Standard novell erstellt createservice Diese Option k nnen Sie nur als root Benutzer verwenden Diese Option sogt daf r dass die Sentinel Rapid Deployment Dienste beim Systemstart automatisch ausgef hrt werden help Diese Option zeigt die Hilfe f r die Installationsoptionen an Einzelskriptinstallation mit root Rechten 1 Melden Sie sich als root Benutzer an 30 Sentinel Rapid Deployment Installationshandbuch Der Benutzer der die Installation durchf hrt ben tigt Schreibzugriff auf das tempor re Verzeichnis in das die Installationsdateien heruntergeladen werden Laden Sie das Installationsprogramm sentinel6 rd linux x86 64 tar gz von der Website Novell Downloads http download novell com in ein tempor res Verzeichnis herunter Extrahieren Sie das Installationsprogramm tar zxvf sentinel6 rd linux x86 64 tar gz Wechseln Sie in das Verzeichnis in das Sie das Installationsprogramm extrahiert haben cd sentinel6 rd linux x86 64 F hren Sie das Skript install sh mit der Option
131. ur Fehlersuche die Ihnen die L sung einiger Installationsprobleme die bei Sentinel Rapid Deployment auftreten k nnen erleichtern sollen Abschnitt B 1 Fehlschlagen der Datenbankauthentifizierung nach der Eingabe eines ung ltigen Berechtigungsnachweises auf Seite 91 Abschnitt B 2 Sentinel Weboberfl che l sst sich nicht starten auf Seite 91 Abschnitt B 3 Der Remote Collector Manager erzeugt eine Ausnahme in Windows 2008 wenn UAC aktiviert wird auf Seite 92 Abschnitt B 4 F r Collector Manager Images wird keine UUID erstellt auf Seite 93 B 1 Fehlschlagen der Datenbankauthentifizierung nach der Eingabe eines ung ltigen Berechtigungsnachweises H ufige Ursache Die Datenbankauthentifizierung schl gt fehl falls bei der Konfiguration des Sentinel Rapid Deployment Servers f r die LDAP Authentifizierung ein ung ltiger LDAP Server Hostname oder eine ung ltige IP Adresse eingegeben wird Aktion Stellen Sie sicher dass ein g ltiger LDAP Server Hostname bzw eine g ltige IP Adresse definiert sind B 2 Sentinel Weboberfl che l sst sich nicht starten H ufige Ursache Sie haben Sentinel Rapid Deployment auf einem Computer installiert auf dem ein Identity Audit Prozess entweder ausgef hrt wird oder unvollst ndig deinstalliert ist Aktion Sentinel Rapid Deployment und Novell Identity Audit k nnen nicht auf demselben Computer installiert werden Bevor Sie Sentinel Rapid Deployment auf ein
132. us um den Sentinel Rapid Deployment Server zu deinstallieren uninstall sh Das Skript informiert Sie dar ber dass Sentinel Rapid Deployment vollst ndig entfernt wird 4 Geben Sie an ob der Benutzer bei der Deinstallation des Sentinel Rapid Deployment Servers entfernt werden soll Dr cken Sie y wenn der Benutzer entfernt bzw n wenn er nicht entfernt werden soll 5 Geben Sie an ob die Gruppe bei der Deinstallation des Sentinel Rapid Deployment Servers entfernt werden soll Dr cken Sie y wenn die Gruppe entfernt bzw n wenn sie nicht entfernt werden soll 6 Dr cken Sie y wenn die Gruppe entfernt bzw n wenn sie nicht entfernt werden soll 7 2 Deinstallieren des Remote Collector Managers und der Sentinel Client Anwendungen e Abschnitt 7 2 1 Linux auf Seite 85 Abschnitt 7 2 2 Windows auf Seite 86 Abschnitt 7 2 3 Vorgehensweisen im Anschluss an die Deinstallation auf Seite 87 7 2 1 Linux 1 Melden Sie sich als root Benutzer an 2 Beenden Sie vor der Deinstallation des Collector Managers ggf die Sentinel Rapid Deployment Dienste lt Installationsverzeichnis gt bin sentinel sh stop 3 Gehen Sie zu folgender Position lt Installationsverzeichnis gt uninst Deinstallation von Sentinel Rapid Deployment 85 4 Fiihren Sie eine der folgenden Aktionen durch Modus Befehl GUI uninstall bin Fahren Sie mit Schritt 5 auf Seite 86 fort Konsole uninstall bin console Fahren Sie e
133. utzer von Sentinel Rapid Deployment sind native Datenbankbenutzer und ihre Passw rter sind durch Verfahren gesch tzt die sich nach der nativen Datenbankplattform richten Diese Benutzer haben lediglich Lesezugriff auf bestimmte Tabellen in der Datenbank sodass sie Abfragen der Datenbank durchf hren k nnen Das Installationsprogramm erstellt und konfiguriert eine PostgreSQL Datenbank mit folgenden Benutzern admin Bei dem Benutzer admin handelt es sich um den Administrator Benutzer der sich bei allen Sentinel Anwendungen anmelden kann Sicherheits berlegungen f r Sentinel Rapid Deployment 63 dbauser Der Benutzer dbauser wird als Superuser erstellt der die Datenbank verwalten kann Das Passwort f r den Benutzer dbauser wird w hrend der Installation des Sentinel Rapid Deployment Servers festgelegt Dieses Passwort ist in lt user home directory gt pgpass gespeichert Das System befolgt die Passwortrichtlinien f r PostgreSQL Datenbanken Weitere Informationen finden Sie unter Abschnitt 5 3 3 Erzwingen der Einhaltung einer Passwortrichtlinie f r Benutzer auf Seite 64 appuser Bei dem Benutzer appuser handelt es sich um einen Nicht Superuser der von den Sentinel Anwendungen f r die Verbindungen zur Datenbank verwendet wird Standardm ig verwendet der Benutzer appuser ein Passwort das w hrend der Installation per Zufallsgenerator erstellt und verschl sselt in den XML Dateien das_
134. verzeichnis gt bin control_center sh als der oben in Schritt 6 erstellte Benutzer ausf hren 32 Sentinel Rapid Deployment Installationshandbuch Nicht root Installation Falls Richtlinien Ihrer Organisation die Ausf hrung des gesamten Installationsvorgangs als root verbieten kann die Installation auch in zwei Schritten durchgef hrt werden F r die Durchf hrung des ersten Teils des Installationsvorgangs sind root Rechte erforderlich Der zweite Teil wird vom verwaltungsbefugten Benutzer der im ersten Schritt erstellt wurde durchgef hrt 1 10 11 Melden Sie sich bei dem Server an auf dem Sie Sentinel Rapid Deployment installieren m chten Der Benutzer der die Installation durchf hrt ben tigt Schreibzugriff auf das tempor re Verzeichnis in das die Installationsdateien heruntergeladen werden Laden Sie das Installationsprogramm sentinel6_rd linux x86 64 tar gz von der Website Novell Downloads http download novell com in ein tempor res Verzeichnis herunter Extrahieren Sie das Installationsprogramm tar zxvf sentinel6_rd linux x86 64 tar gz Melden Sie sich als root Benutzer an Wechseln Sie in das Verzeichnis in das Sie das Installationsprogramm extrahiert haben cd sentinel6_ rd linux x86 64 F hren Sie das Skript install sh mit der Option createuser aus install sh createuser Geben Sie den Benutzernamen ein oder driicken Sie die Eingabetaste um den Standardbenutzernamen zu verwenden Der Standardbenu
135. weise die Installation eines Collector Manager Knotens auf Microsoft Windows um die Datensammlung unter Verwendung des WMI Protokolls zu erm glichen Sie erm glichen das Datei Caching mit dessen Hilfe Remote Collector Manager gro e Datenmengen im Cache speichern k nnen wenn der Server vor bergehend durch das Archivieren oder Verarbeiten eines hohen Ereignisaufkommens belegt ist Dies ist ein Vorteil bei Protokollen wie Syslog die nicht von vornherein ein Ereignis Caching unterst tzen Au erdem kann f r die Collector Manager Komponenten ein Lastausgleich durchgef hrt werden indem Instanzen dieser Komponenten auf zus tzlichen Computern installiert werden Sie k nnen weitere Collector Manager installieren indem Sie das Installationsprogramm auf einem neuen Computer ausf hren Weitere Informationen zur Installation von Collector Managern finden Sie in Abschnitt 3 3 4 Installieren des Sentinel Collector Managers auf SLES oder Windows auf Seite 39 44 Sentinel Rapid Deployment Installationshandbuch Arbeiten mit dem Generic Collector W hrend der Installation des Sentinel Rapid Deployment Servers wird ein Collector mit der Bezeichnung Generic Collector konfiguriert Standardm ig erstellt er 5 Ereignisse pro Sekunde eps Weitere Collectors die Sie f r Ihr System ben tigen k nnen Sie von der Novell Website http support novell com products sentinel collectors html herunterladen 3 6 4 Zeitverwaltung Sie
136. zer an Sichern Sie vor der Installation des Patches mittels folgender Befehle die Sentinel Datenbank den Konfigurations und den Datenordner Sentinel Datenbank tar cf backup tar lt Installationsverzeichnis gt 3rdparty postgresql database_files tar cf backupdata tar lt Installationsverzeichnis gt 3rdparty postgresql data Konfigurationsordner tar cf backupconfig tar lt Installationsverzeichnis gt config Datenordner tar cf backupdata tar lt Installationsverzeichnis gt data Weitere Informationen zu diesen Befehlen finden Sie unter File system level back up http www postgresql org docs 8 1 static backup file html Sicherung auf Dateisystemebene auf der PostgreSQL Website 2 Sichern Sie die ESM Konfiguration und erstellen Sie einen ESM Export Aktualisierung von Sentinel Rapid Deployment 55 Weitere Informationen finden Sie unter Exporting a Configuration Exportieren einer Konfiguration im Sentinel Rapid Deployment User Guide Sentinel Rapid Deployment Benutzerhandbuch 3 Laden Sie das Patch Installationsprogramm f r Sentinel Rapid Deployment von der Webseite Novell Patch Finder http download novell com patch finder herunter 4 Kopieren Sie das heruntergeladene Installationspaket in ein tempor res Verzeichnis 5 Beenden Sie die Sentinel Dienste sentinel sh stop 6 Geben Sie den folgenden Befehl ein um die Dateien im Installationspaket zu extrahieren unzip lt install_filename gt Er
Download Pdf Manuals
Related Search