MVISION バージョン | 一般公開 (GA) | リリースノート |
Trellix EDR Cloud Endpoint Extension January 17, 2023 | 2023年1月17日 | リリース ノート |
Trellix EDR Cloud January 17, 2023 | 2023年1月17日 | リリース ノート |
Trellix EDR 4.10 Hotfix 1 | 2022年12月6日 | リリース ノート |
Trellix EDR 4.10 | 2022年10月25日 | リリース ノート |
Trellix EDR Cloud Endpoint Extension - On-premises (22.10.352.4) |
2022年10月25日 | リリース ノート |
Trellix EDR Cloud October 25, 2022 release |
2022年10月25日 | リリース ノート |
Trellix EDR Cloud October 3, 2022 release |
2022年10月3日 | リリース ノート |
MVISION EDR Cloud August 29, 2022 release |
2022年8月29日 | リリース ノート |
MVISION EDR Cloud July 25, 2022 release |
2022年7月25日 | リリース ノート |
MVISION EDR 4.0.0 | 2022年3月15日 | リリース ノート |
MVISION EDR Cloud November 29, 2021 release |
2021年11月29日 | リリース ノート |
MVISION EDR 3.5.2 | 2021年11月9日 | リリース ノート |
MVISION EDR July Update |
2021年7月26日 | リリース ノート |
MVISION EDR 3.5 | 2021年7月13日 | リリース ノート |
MVISION XDR | 2021年5月17日 | リリース ノート |
MVISION EDR 3.4 | 2021年4月27日 | リリース ノート |
MVISION EDR Cloud December release |
2020年12月5日 | リリース ノート |
EDR Client 3.3.0.625 | 2020年12月1日 | リリース ノート |
MVISION EDR Cloud November release |
2020年11月6日 | リリース ノート |
MVISION EDR 3.2 Hotfix 1 | 2020年9月22日 | リリース ノート |
MVISION EDR 3.2 | 2020年8月12日 | リリース ノート (Client and Extension 3.2.0.567.2) |
MVISION EDR 3.1 | 2020年4月21日 | リリース ノート 注: MVISION EDR はクラウド製品です。GA の日付は最新リリースです。クラウドリリースノートは累積的なものです。 |
MVISION EDR 3.0 Hotfix 1 | 2019年12月20日 | |
MVISION EDR | 2019年10月22日 |
Trellix EDR の既知の問題
技術的な記事 ID:
KB91275
最終更新: 2023-03-07 09:30:45 Etc/GMT
最終更新: 2023-03-07 09:30:45 Etc/GMT
環境
Trellix EDR
Trellix XDR
注: Knowledge Base に記載されている将来の製品機能やリリースは、当社の製品の一般的な方向性を概説することを目的としており、また、購入を決定する場合にも使用する必要があります。
Trellix XDR
注: Knowledge Base に記載されている将来の製品機能やリリースは、当社の製品の一般的な方向性を概説することを目的としており、また、購入を決定する場合にも使用する必要があります。
概要
この記事の最新更新情報
目次
ご覧になりたい項目をクリックして展開してください:
このページのトップへ戻る
D日付 | 更新内容 |
2023年2月8日 | "重要でない既知の問題のセクション" に SEC-172425 を追加しました。 |
2023年1月18日 | 2023年1月17日の EDR Cloud および EDR Cloud Endpoint Extension リリース の情報を追加しました。 |
2022年12月29日 | "致命的でない既知の問題セクション" の SEC-28420 を更新しました。 |
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
目次
ご覧になりたい項目をクリックして展開してください:
参照番号 | 関連記事 | MV-EDR のバージョン で発見 |
解決済み MV-EDR バージョン |
問題点 説明 |
SEC-141106 | KB96246 | 4.1.0 | 問題: Linux および macOS のエンドポイントで、ePO SaaS 製品の展開ページから EDR 4.1.0 の展開に失敗します。 回避策: 関連記事を参照してください。 |
|
SEC-106105 | 4.0.0 | 問題: IPV4/IPV6 値を含む列は、読み取り可能な値に変換されません。 この列には、S3 バケットにエクスポートされたデータが含まれています。 ソースは、MDR ワークフローからの ePO 監査ログと脅威イベントのソース タイプです。 回避策: 当社のデータ ソースから設定された外部 S3 バケットにエクスポートされたデータでは、IP アドレスが符号付き整数 (負の数) として表示されます。S3 バケットにエクスポートされたデータを消費する場合、適切な変換ロジックを適用して、数値を IP アドレスに戻してください。 S3 バケットからのデータを処理する際には、以下の変換ロジックを用いて、数値を IP アドレスに変換してください。 { //add 2^31 to put the integer representation in the range [0,2^32-1] because of MAX_INT being 2^31-1 long ip1 = ((ip + 2147483647) + 1); return ((ip1 >> 24) & 0xFF) + "." + ((ip1 >> 16) & 0xFF) + "." + ((ip1 >> 8) & 0xFF) + "." + (ip1 & 0xFF); } これらの Base64 でエンコードされた文字列を IVP6 形式(java)に変換するには、以下の変換ロジックを使用します: { String encoded = "AAAAAAAAAAAAAP//Cmjguw=="; <- Base 64 encoded string of IPV6. byte[] decoded = Base64.getDecoder().decode(encoded); <- Decoded byte array Inet6Address ip1 = Inet6Address.getByAddress(null, decoded,0); <- Converting byte array to IPV6. System.out.println(ip1.getHostAddress()); <- Stdout host address. 0:0:0:0:0:ffff:a68:e0bb%0 (IPV6 of above encoded string, remove the last %0) } |
||
SEC-104788 | 4.0.0 | Planned for 4.1.0 | 問題: サードパーティーの DLL がロードできないため、一部の仮想環境でトレース機能が動作しません。 解決方法: 現在、4.1.0 を予定しています。 サードパーティーの DLL の更新版により、この問題は解決されます。現在、この更新された DLL を 4.1.0 に含めることを計画しています。 |
|
KB95371 | 問題: 2022年3月15日にリリースされたMVISION EDR 4.0には、Windowsクライアントパッケージのみが含まれています。Linux と macOS のパッケージは、3 月 15 日のパッケージに含まれていません。 解決方法: 関連記事を参照してください。 |
|||
SEC-48028 | KB94656 | 3.5 | - | 注: この問題は、EDR 3.5 クライアントおよび S3 機能を使用するお客様に適用されます。 問題: EDR が EDR Cloud と顧客自身の S3 サービスの両方にトレースを送信するように構成されている場合、トレースが EDR Cloud に送信されないという問題があります。この問題は、S3 のアクセス認証が誤って設定されている場合にのみ発生します(たとえば、無効なアクセスキーなど)。この問題が発生した場合は、 AWS の資格情報が有効であること、 AWS のサービスおよび設定が正しく構成されていることを確認してください。 注: お客様には、ターゲット S3 バケットへのオブジェクトの書き込みを許可するために、任意の IAM 資格情報をテストし、 S3 バケットのアクセスおよび使用状況を監視することをお勧めします。 |
参照番号 | 関連記事 | MV-EDR の バージョンで 発見 |
MV-EDR 版で 解決済み |
問題 説明 |
SEC-172425 | 4.1.0 | 問題: EDR 4.1.0 では、パフォーマンスを向上させるために、ファイル削除時のハードリンクが導入されています。このため、元のファイルが別のプロセスによってロックされている場合、ハードリンクが これらのファイルは、元のファイルの浅いコピーであるため、ディスク上の追加のスペースを占有することはありません。しかし、これらのファイルは、ファイルのロックが解除されるまで残るか、 EDR をアンインストールした後も無期限に残ります。 解決方法: この問題は、EDR 4.1.1 で修正される予定です。 EDR 4.1.0 では、これらのファイルはロックが解除されるまで削除することができません。 しかし、再起動後にロックが解除され、10分以内にクリーンアップされるはずです。ロックされたファイルが何であるかは、以下を実行することで確認することができます: |
||
SEC-107063 | 4.0.0 | 問題: 高度に埋め込まれたマクロファイルを読み込んで処理すると、 Microsoft Office アプリケーションが応答しなくなることがあります。 回避策: 影響を受けるホストの EDR ポリシーで Windows API 呼び出しの詳細な検査を有効にする の選択を解除します。 解決方法: EDR 4.1.1 で修正が予定されています。 |
||
SEC-109132 | 4.0.0 | 問題: Microsoft Office アプリケーションでWebコンテンツに接続したりレンダリングしたりすると、アプリケーションが応答しなくなる(クラッシュする)。これは、アクティベーション、認証、Webからのコンテンツ挿入などの際に発生する可能性があります。 回避策: 影響を受けるホストに対して、 Windows API 呼び出しの詳細な検査を有効にする EDR ポリシーの選択を解除します。 解決方法: EDR 4.1.1 で修正が予定されています。 |
||
SEC-120032 | Trellix EDR Cloud Endpoint Extension 22.10.352.4 | 問題: Trellix EDR Cloud Endpoint extension の手動インストール時に、拡張機能の名称が MVISION-EDR と表示されます。 原因: 拡張機能名を更新すると、 ePO が同じ拡張機能としてではなく、別の拡張機能として認識するため、これは ePO の設計通りです。 |
||
SEC-110902 | KB96049 | Trellix MPT versions 22.2 and 22.4 | 問題: Trellix Endpoint または EDR 4.1 をアップグレードする場合、インストールまたはアップグレードのプロセスの一部として再起動が必要です。 | |
SEC-110563 | 4.0.0 | 4.1.0 HF1 | 問題: トレース プラグインが有効な場合、Microsoft SQL Server 2019 Express および Microsoft SQL Server 2014 Express のインストールに失敗します。 回避策: ポリシーのトレース除外に 解決方法: EDR 4.1.0 HF1 で修正されました。 |
|
UCFL-1472 | 4.1.0 | 問題: Linux 環境において、 File Event traces の md5 パラメータが、 /dev/shm filepath を除いて空白になることがあります。 | ||
UCFL-1868 | 4.1.0 | 問題: Ubuntu 20/22 で root ユーザーで scp を実行すると、ユーザーログインのトレースが表示されません。 | ||
SEC-109160 | 4.1.0 | 問題: SUSE および Ubuntu で、 ScheduledTasks Collector がユーザスケジュールタスクを返さないという問題がありました。 | ||
SEC-108260 | 4.1.0 | 問題: Python 3.9 および Python 3.10 で Python Custom Collector が失敗します。 | ||
SEC-110216 | 4.1.0 | 問題: Linux インストールの場合、LoggedInUsers コレクターで User ID と Domain が返されません。 | ||
SEC-110462 | 4.1.0 | 問題: Linux および Mac 環境では、touch で作成されたファイルの SHA 値が返されません。 | ||
SEC-110639 | 4.1.0 | 問題: Linux インストールでは、Processes Collector が mfemvedr プロセスのスレッドを返します。 | ||
SEC-18283 | 3.0.0.355 | Planned for 4.1.0 | 問題: ファイルの移動、削除、変更を集中的に行う一部のアプリケーションのインストールで、エラーが表示され、インストールが完了できません。 原因: EDR クライアントが、インストール中にこれらのファイルをロックしています。 回避策 1: インストール中に Trace プラグインを無効にします。 回避策 2: インストーラまたはそれを実行するプロセスを、Trace ポリシーの 無視するファイル に追加します。 |
|
SEC-106523 | Planned for 4.1.0 | 問題: MA 5.7.6 をインストールし、 EDR クライアントバージョンが 4.00 以前の場合、 ePO に製品バージョンが 0.0.0 と表示されます。 回避策: フルウェイクアップ エージェント呼び出しを実行します: クライアントタスク、 McAfee Agent、 McAfee Agent Wakeup の順にクリックしてください。 |
||
SEC-108907 | 問題: 履歴検索およびリアルタイム検索ダッシュボードですべてエクスポート操作をトリガした後、ダウンロードを一時停止またはキャンセルすることができません。 回避策: ダウンロード操作をキャンセルするには、すべてエクスポート操作がトリガーされた現在のタブを閉じるか、アプリケーションからログアウトします。 この問題は、エクスポートの失敗に対処するために、すべてをエクスポート操作のワークフローを変更したことによる副作用として発生します。このワークフローは、この問題を解決し、お客様のフィードバックを取り入れながら、引き続き進化していく予定です。 |
|||
SEC-106523 | 4.00 and earlier | 問題: MA 5.7.6 をインストールし、 EDR クライアントバージョン 4.00 またはそれ以前の場合、 ePO に製品バージョンが 0.0.0 と表示されます。 回避策: フル ウェイクアップ エージェント呼び出しを実行します。 クライアントタスク、McAfee Agent、McAfee Agent Wakeup の順にクリックします。 |
||
問題: MVISION EDR Manager にカスタム反応が表示されない、またはリストが古くなっています。 回避策: EDR カスタム リアクションを表示するには、ブラウザのキャッシュと Cookie をクリアします。再度アクションを実行します。 |
||||
SEC-86489 | 問題: RTS result API が 404 (Not found category) エラーを表示し、次のメッセージが表示されます: エラーの説明: レコードが見つからないか、エンドポイントが応答するのに時間がかかりすぎています。 注: このエラーは、接続されたエンドポイントが返すべきデータを持っているが、レコードが見つからない場合のみ有効です。 このエラーは、接続されたエンドポイントにレンダリングするデータがない場合は無効です。 解決方法: 負荷の増大は、リソースをスケールアップすることで内部的に処理されます。 回避策: 1~2 分後に API 呼び出しを再試行してください。 |
|||
SEC-50492 | - | 問題: SIEM アクションオプションは、EDR UI のデバイスアクションの EDR ドロップダウンで利用できません。 | ||
SEC-49207 | - | 問題: プログラムまたはスクリプトのパフォーマンステスト中に、UI から AR-1104 で履歴検索に断続的に失敗します。 | ||
SEC-46277 | - | 問題: CommandLine の複合クエリで、Auto Suggestion 演算子が機能しません。 | ||
SEC-48803 | - |
問題: ユーザが次のいずれかの操作を実行します:
上記のシナリオでは、脅威の除外の監視セクションの Filepath と CommandLine フィールドは入力されず、空白になります。
|
||
SEC-46777 | - | 問題: 粒度の細かい除外。エスケープ文字または特殊文字を含む除外は、マッチング前にクリーンアップする必要があります。 | ||
SEC-45793 | - | - | 問題: 履歴検索ダッシュボードで、commandLine クエリを入力しても、サジェスチョンが表示されません。 | |
SEC-43301 | - | 3.2.0 | - |
問題: MVISION EDR API を使用すると、API イベントが定義されたイベント制限を超えることが確認されます。 API に付属する Case Management のランブックには、制限について言及されているが、実際の数値で制限を設定する方法は明示されてません。
レート制限のためのAPIは レートリミットは、以下のアクションに適用することができます:
デフォルトのレートリミットは以下の通りです:
{// Rate Limits default values. // Use API to change rate limits. // new case by tenant new-case = [ { max = 10 duration = "1 hour"} { max = 20 duration = "1 day"} ] // new evidence by case by tenant new-evidence-to-case = [{max = 10 duration = "1 hour"} ] // new evidence by tenant new-evidence = [{max = 10 duration = "1 hour"} ] } |
SEC-41123 | - | 2.4.0.723 | - | 問題: 一部の Linux プラットフォーム(RHEL および SUSE)で、 Scheduled Reboot Reaction が、 Action History で success を返しても動作しないことがあります。 原因: Scheduled Reboot Reaction は、 Linux の "at" スケジューリングサービスを使用して、再起動をスケジュールします。このサービスは、すべての Linux プラットフォームでデフォルトで実行されていない可能性があります。 回避策: "at" サービスをインストールし、 |
SEC-37830 | - | 3.3.0 | 問題: "スケジュールされた再起動" アクションの後、アクション履歴がエラーメッセージとともに完了と表示されます。 | |
SEC-42307 | - | 3.4.0 | 問題: EDR UI に BigSur オペレーティングシステムが表示されません。 | |
SEC-28420 | Pre December 2020 MVISION EDR Cloud |
December 2020 MVISION EDR Cloud release (EKS+2) |
問題: 3日分以上の情報を含む履歴検索クエリを実行し、包含または除外フィルタを使用すると、以下のエラーが表示されます:
解決方法: クエリーを絞り込みます。3 日未満の情報を含めるか、インクルードまたは除外フィルタを削除してください。 |
|
SEC-35377 SEC-35378 |
EDR Client 3.3.0.625 | 問題: 一部の検索で実行される 原因: SUSE Linux Enterprise 15 では、 この非推奨は、もはやデフォルトでnet-toolsパッケージを含まない他のLinuxディストリビューションにも適用される可能性があります。 解決方法: |
||
STLS- 916 |
問題: MVISION EDR が設定された DXL ブローカーに接続できない。DXL ブローカーの IPE ログを見ると、以下のようなエラーが表示されます:
原因: 原因は2つ考えられます:
解決方法:
|
|||
SEC-33805 | 問題: 設定ページのデータソースの設定で、 ePO サーバのリストが重複して表示されます。 原因: 接続の問題 解決方法: UI をリフレッシュしてください。 この問題は無視してもかまいません。この問題は外観上のもので、製品の機能には影響しません。 |
|||
3.0.0.404 | 3.2.0.567 |
問題: VPN を使用しているエンドポイントで検疫を終了することはできません。
解決方法:
|
||
3.1.0.478 | 3.2.0.567 | 問題: 32 ビット Windows クライアントで、高い CPU 使用率とスローダウンが表示されます。 回避策: 影響を受けるエンドポイントに対してトレースを無効にします。または、特定のプロセスで問題が発生している場合、そのプロセスを除外します。 これらの変更に関する詳細な情報は、製品ガイドを参照してください。 解決方法: この問題は、3.2.0.567 で解決されます。 |
||
3.1.0.478 | 問題: Windows 7 で EDR クライアントをアップグレードするときに、タイトルのポップアップメッセージが数秒間表示されます: このメッセージはインストールに影響しません。製品は正常にインストールされます。 原因: Windows のサービス Interactive Services Detections が有効になっています。このサービスはデフォルトで無効になっており、 Windows 7 でのみ利用可能です。 回避策: EDR クライアントのアップグレード時に、一時的に Windows サービス Interactive Services Detections を無効にしてください。 |
|||
KB92292 | MACC extensions 8.2.6 and 8.3. | 問題: ACC が有効な場合、 原因: ACC 8.xの実行制御は、デフォルトの実行制御ルールとルールグループを追加しました。これらのルールグループは、新しいバージョンの実行を許可するように更新する必要があります。 回避策: 関連記事を参照してください。 解決方法: この問題は、ACC エクステンション 8.2.6 および 8.3 のリリースで修正されます。 |
||
3.0.0.355 | 問題: ファイルの移動、削除、または変更を集中的に行う一部のアプリケーションのインストールで、エラーが表示され、完了できません。 原因: EDR クライアントが、インストール中にこれらのファイルをロックしています。 回避策 1: インストール中に Trace プラグインを無効にします。 回避策 2: インストーラまたはそれを実行するプロセスを無視するファイルに追加して、Trace Policy に追加します。 |
|||
問題: MVISION ePO では、Mac および Linux EDR クライアントはまだサポートされていません。 解決方法: 利用できません。環境情報については、 KB91345 - Supported platforms for MVISION EDR.を参照してください。 |
||||
3.1.0.478 | 問題: Windows システムに MVISION Endpoint クライアントをインストールした後に、MVISION EDR クライアント サービスをインストールまたはアップグレードすると、MVISION EDR クライアント サービスが動作しなくなることがあります。 解決方法: オペレーティング システムを再起動することで、サービスを再始動します。 |
|||
3.0.0.404 | 問題: EDR クライアントのインストール中に、Visual C++ 再頒布可能パッケージによって非ターゲットアーキテクチャ用のバイナリが削除されることがあります。具体的には、 この問題は、Visual C++ Redistributable Package の Microsoft ランタイムの問題です。 解決方法: Microsoft site から入手可能な更新された配布物を適用してください。 |
|||
問題: 履歴検索ダッシュボードの含めるおよび除外フィルタが、アラートおよび検出とDetections |
||||
問題: プロセスアクティビティウィジェットのプロセスツリーの階層が壊れます。 原因: 親プロセスが存在しません。その結果、プロセス アクティビティの順次表示およびタイムライン表示で、プロセス ツリーが正しく表示されません。 回避策: 監視ダッシュボードの [デバイス] セクションから、同じ脅威の別の検出インスタンスを選択します。 |
||||
問題: テレメトリ フィードバック オプションを無効にすると、フィードバック オプションでテレメトリ データの共有に同意することが要求されます。承諾しない場合、フィードバックセクションの送信ボタンは有効になりません。
解決方法: テレメトリー設定を有効にします:
|
||||
問題: 重複したアラートが表示されます。 監視ダッシュボードでプロセスインジェクションが脅威として検出されると、インジェクタプロセスとインジェクトプロセスが潜在的な脅威として表示されます。そのため、それらが重複した脅威として認識されることがあります。 | ||||
問題: インストール後、EDR 拡張サーバーの設定に Host Timeout Error が表示されます。 ePO のサーバー設定で利用できる MVISION EDR 設定の SIEM connection は、次のように接続を表示します: 解決方法: SIEM が正しく設定されると、この設定は期待どおりに Connection Successful に変わります。 |
このページのトップへ戻る
関連情報
テクニカルサポートに問い合わせるには、[ サービスリクエストの作成] ページに移動 して、ServicePortal にログオンします。
- 登録済みのユーザーの場合は、ユーザー ID とパスワードを入力して、[ ログイン] をクリックします。
- 登録済みのユーザーでない場合は、 登録 をクリックして各項目を入力すると、パスワードと手順がメールで送信されます。
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:
この記事は、次の言語で表示可能です: