So testen Sie die Installation:

1. Melden Sie sich bei einer Weboberfläche von Sentinel Rapid Deployment an.

   Weitere Informationen finden Sie in Accessing the Novell Sentinel Web Interface (Zugriff auf die Weboberfläche von Novell Sentinel) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).

2. Wählen Sie die Seite „Suche“ aus und suchen Sie nach einem internen Ereignis. Ein oder mehrere Ereignisse sollten zurückgegeben werden.

   Wenn Sie beispielsweise nach internen Ereignissen mit dem Schweregradbereich 3 bis 5 suchen möchten, wählen Sie Systemereignisse einbeziehen aus und geben Sie anschließend im Feld Suchen > sev:[3 TO 5] ein.

   Weitere Informationen zur Suche finden Sie unter Running an Event Search (Ausführen einer Ereignissuche) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).

   Die Suchfunktion ist in SP2 nicht standardmäßig aktiviert. Wenn Sie diese Funktion aktivieren möchten, lesen Sie Enabling the Search Option in Web User Interface (Aktivieren der Suchoption in der Weboberfläche) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).

3. Wählen Sie die Seite „Berichte“ aus, geben Sie die Parameter an und führen Sie anschließend einen Bericht aus.

   Klicken Sie beispielsweise auf die Schaltfläche Ausführen neben „Sentinel Core Event Configuration“, geben Sie die gewünschten Parameter an und klicken Sie anschließend auf Ausführen.

   Weitere Informationen finden Sie unter Running Reports (Ausführen von Berichten) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).

4. Klicken Sie auf der Seite „Anwendungen“ auf Control Center starten.

5. Melden Sie sich als der verwaltungsbefugte Sentinel-Benutzer beim System an, der während der Installation angegeben wurde (Standard: „admin“).

   Das Sentinel Control Center wird geöffnet und die Registerkarte Active Views wird mit Ereignissen angezeigt, die mit den öffentlichen Filtern Internal_Events und High_Severity gefiltert wurden.

   

6. Rufen Sie das Menü Ereignisquellenverwaltung auf und wählen Sie die Option Live-Ansicht.

7. Klicken Sie in der grafischen Ansicht mit der rechten Maustaste auf Ereignisquelle mit 5 EPS und wählen Sie die Option Starten.

8. Schließen Sie das Fenster „Ereignisquellenverwaltung [Live-Ansicht]“.

9. Klicken Sie auf die Registerkarte Active Views.

   Sie können das aktive Fenster mit dem Titel „PUBLIC: High_Severity, Severity“ anzeigen. Es kann einige Zeit dauern, bis der Collector gestartet wird und die Daten in diesem Fenster angezeigt werden.

10. Klicken Sie in der Symbolleiste auf die Schaltfläche Ereignisabfrage. Das Fenster „Alte Ereignisabfrage“ wird angezeigt.

11. Klicken Sie im Fenster „Alte Ereignisabfrage“ auf den Abwärtspfeil neben Filter, um den Filter auszuwählen. Wählen Sie den Filter Öffentlich: Alle aus.

12. Wählen Sie einen Zeitraum aus, der die Zeit abdeckt, in der der Collector aktiv war. Wählen Sie mithilfe der Dropdown-Listen Von und Bis den Datumsbereich aus.

13. Wählen Sie die Stapelgröße aus.

14. Klicken Sie auf die Lupe, um die Abfrage auszuführen.

    

15. Wählen Sie bei gedrückter Strg- oder Umschalttaste im Fenster „Alte Ereignisabfrage“ mehrere Ereignisse aus.

16. Klicken Sie mit der rechten Maustaste in das Fenster und wählen Sie anschließend Vorfall erstellen aus, um das Fenster „Neuer Vorfall“ anzuzeigen.

    

17. Nennen Sie den Vorfall „Testvorfall1“ und klicken Sie auf Erstellen. Wenn die Erfolgsmeldung angezeigt wird, klicken Sie auf Speichern.

18. Klicken Sie auf die Registerkarte Vorfall, um den gerade erstellten Vorfall im Vorfallansichts-Manager zu sehen.

    

19. Doppelklicken Sie auf den Vorfall, um die Ereignisse anzuzeigen.

    

20. Schließen Sie das Fenster „Vorfall“.

21. Klicken Sie auf die Registerkarte Analyse.

22. Klicken Sie vom Menü Analyse oder vom Navigator aus auf Offline-Abfragen.

23. Klicken Sie im Fenster „Offline-Abfrage“ auf Hinzufügen.

24. Geben Sie einen Namen an, wählen Sie einen Filter aus, wählen Sie eine Zeitspanne aus und klicken Sie anschließend auf OK.

25. Klicken Sie auf Durchsuchen, um die Liste der Ereignisse und der zugeordneten Details im Fenster „Aktiver Browser“ anzuzeigen.

    

    Sie können Details wie „Collector“, „TargetIP“, „Schweregrad“, „Service-Port des Ziels“ und „Ressource“ anzeigen.

26. Wählen Sie die Registerkarte Korrelation. Das Fenster „Manager für Korrelationsregeln“ wird angezeigt.

    

27. Klicken Sie auf Hinzufügen. Das Fenster „Assistent für Korrelationsregeln“ wird angezeigt.

    

28. Klicken Sie auf Einfach. Das Fenster „Einfache Regel“ wird angezeigt.

    

29. Verwenden Sie die Dropdown-Menüs, um „Schweregrad = 4“ als Kriterium festzulegen und klicken Sie anschließend auf Weiter. Das Fenster „Kriterien aktualisieren“ wird angezeigt.

    

30. Wählen Sie Kein Durchführen von Aktionen, wenn diese Regel für die nächste ausgelöst wird aus, stellen Sie die Zeitspanne mithilfe des Dropdown-Menüs auf 1 Minute ein und klicken Sie anschließend auf Weiter. Das Fenster „Allgemeine Beschreibung“ wird angezeigt.

    

31. Nennen Sie die Regel Testregel1, geben Sie eine Beschreibung ein und klicken Sie auf Weiter.

32. Wählen Sie Nein, erstellen Sie keine andere Regel und klicken Sie auf Weiter.

33. Erstellen Sie eine Aktion, um sie mit der erstellten Regel zu verknüpfen:

    1. Führen Sie einen der folgenden Schritte durch:

       • Wählen Sie Werkzeuge > Aktionsmanager > Hinzufügen.

       • Klicken Sie im Fenster „Regel bereitstellen“ auf Aktion hinzufügen. Weitere Informationen finden Sie in den Schritten Schritt 34 bis Schritt 35.

       Das Fenster „Aktion konfigurieren“ wird angezeigt.

       

    2. Geben Sie im Fenster „Aktion konfigurieren“ Folgendes an:

       • Geben Sie den Aktionsnamen an, beispielsweise „CorrelatedEvent Action“.

       • Wählen Sie in der Dropdown-Liste Aktion die Option Korreliertes Ereignis konfigurieren aus.

       • Definieren Sie die Ereignisoptionen.

       • Stellen Sie den Schweregrad auf 5 ein.

       • Geben Sie den Ereignisnamen an, beispielsweise „CorrelatedEvent“.

       • Geben Sie bei Bedarf eine Nachricht ein.

       Weitere Informationen finden Sie unter Creating Actions (Erstellen von Aktionen) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).

    3. Klicken Sie auf Speichern.

34. Öffnen Sie das Fenster „Manager für Korrelationsregeln“.

35. Wählen Sie eine Regel aus und klicken Sie anschließend auf den Link Bereitstellungsregeln. Das Fenster „Regel bereitstellen“ wird angezeigt.

36. Wählen Sie im Fenster „Regel bereitstellen“ die Engine aus, mit der die Regel bereitgestellt werden soll.

37. Wählen Sie die Aktion aus, die Sie in Schritt 33 für die Verknüpfung mit der Regel erstellt haben, und klicken Sie anschließend auf OK.

    

38. Wählen Sie Correlation Engine-Manager aus.

    Sie können unterhalb der Correlation Engine sehen, dass die Regel bereitgestellt und aktiviert wurde.

    

39. Generieren Sie ein Ereignis mit dem Schweregrad 4, beispielsweise eine fehlgeschlagene Authentifizierung, um die bereitgestellte Korrelationsregel auszulösen.

    Öffnen Sie beispielsweise ein Fenster für die Anmeldung beim Sentinel Control Center und geben Sie einen falschen Benutzerberechtigungsnachweis ein, um ein solches Ereignis zu generieren.

40. Klicken Sie auf die Registerkarte Active Views und überprüfen Sie, ob das korrelierte Ereignis generiert wurde.

    

41. Schließen Sie Sentinel Control Center.

42. Klicken Sie auf der Seite „Anwendungen“ auf Sentinel Data Manager starten.

43. Melden Sie sich als der für die Verwaltung der Datenbank befugte Benutzer bei Sentinel Data Manager an, der während der Installation angegeben wurde (Standard: „dbauser“).

    

44. Klicken Sie auf jede Registerkarte, um zu überprüfen, ob Sie darauf zugreifen können.

45. Schließen Sie Sentinel Data Manager.