Active Response-Version | GA (General Availability) | Versionsinformationen |
2.4.0 Hotfix 1 | 27. November 2018 | PD28083 |
2.4.0 | 25. September 2018 | PD27895 |
2.3.0 Hotfix 4 | 13. November 2018 | PD28082 |
2.3.0 Hotfix 3 | 04. September 2018 | PD27964 |
2.3.0 Hotfix 2 | 14. August 2018 | Zurückgezogen |
2.3.0 Hotfix 1 | 10. Juli 2018 | PD27862 |
2.3.0 | 12. Juni 2018 | PD27435 |
2.2.0 | 11. November 2017 | PD27282 |
2.1.0.270 Hotfix 2-Paket | 18. Oktober 2017 | PD27297 |
2.1.0 | 28. August 2017 | PD27182 |
Hotfix 2.0.1.139.1 | 14. Juli 2017 | PD27115 |
2.0.1 | 31. März 2017 | PD26885 |
2.0 | 20. Dezember 2016 | PD26819 |
Bekannte Probleme bei McAfee Active Response 2.x
Technische Artikel ID:
KB88196
Zuletzt geändert am: 01.04.2019
Zuletzt geändert am: 01.04.2019
Umgebung
McAfee Active Response (MAR) 2.x
Zusammenfassung
Letzte Aktualisierungen an diesem Artikel
Inhalt
Klicken Sie auf diese Option, um den Abschnitt zu erweitern, den Sie anzeigen möchten:
Zurück zum Anfang
Zurück zum Anfang
Datum | Aktualisierung |
27. November 2018 | 2.4.0 Hotfix 1 veröffentlicht (General Availability). |
13. November 2018 | Versionshinweise zu 2.3.0 Hotfix 4 sowie 2.4.0 Hotfix 1 Build 2.4.0.176 (RTS) hinzugefügt. 1241963 aktualisiert. |
06. November 2018 | 1257901 und 1257901 hinzugefügt. |
25. September 2018 | Versionshinweise zu Version 2.4 in "Informationen zu Produktversion" hinzugefügt. Ein neues kritisches Problem hinsichtlich der Durchführung eines Upgrades auf 2.4 oder höher hinzugefügt. |
04. September 2018 | Versionshinweise zu 2.3.0 Hotfix 3 hinzugefügt. 2.3.0 Hotfix 2 als zurückgezogen aktualisiert. |
Sie können sich per E-Mail benachrichtigen lassen, sobald dieser Artikel aktualisiert wird, indem Sie rechts auf der Seite auf Abonnieren klicken. Zum Abonnieren müssen Sie angemeldet sein.
Inhalt
Klicken Sie auf diese Option, um den Abschnitt zu erweitern, den Sie anzeigen möchten:
Referenznummer | Themenbezogener Artikel | Gefunden in MAR-Version | Behoben in MAR-Version | Problembeschreibung |
n. z. | 2.4 | Problem: aktiviert Active Response registrierten Server nicht mit 'Fehler beim Aktivieren der Lizenz, versuchen Sie es später erneut'. Lösung: Vergewissern Sie sich, dass der konfigurierte Serverspeicherort gültig ist, und erzwingen Sie manuell eine McAfee Agent-Synchronsierung für DXL- und TIE-Komponenten mithilfe des cmdagent-Dienstprogramms auf der Appliance, damit der MAR-Server die Anfrage beantworten kann. WICHTIG: Der registrierte Active Response-Server wird nicht automatisch aktualisiert, wenn er manuell bearbeitet und gespeichert wurde. Wenn der registrierte Active Response-Server manuell bearbeitet wurde, muss er entfernt und während des Upgrades neu erstellt werden. |
||
1257901 | 2.4 | Problem: Bei zu vielen komplexen Suchvorgängen auf einmal entsteht möglicherweise ein JVM-Heap-Überlauf, sodass der ES-Service (ElasticSearch) zum Speichern von Suchergebnissen angehalten wird. Die Protokolle enthalten dann Fehler mit dem Hinweis, dass keine der konfigurierten Knoten verfügbar sind. Lösung: Erweitern Sie die JVM-Heap-Grenzwerte, indem Sie "ES_HEAP_SIZE=2g " oben in /usr/share/elasticsearch/bin/elasticsearch hinzufügen. Beschränken Sie die ES-Heap-Größe, indem Sie /etc/init.d/elasticsearch in Zeile 8 in "export ES_HEAP_SIZE=2g" ändern. Starten Sie den Service neu, indem Sie "service elasticsearch restart" ausführen. |
||
1256879 | 2.4 | Problem: Das Active Response Server 2.4-Upgrade schlägt bei Push-Übertragung an eine ältere Active Response 2.3-Appliance fehl, und der Service wird nicht installiert. Lösung: Sehen Sie sich das erforderliche Vorgehen zur einmaligen Migration im Installationshandbuch zu MAR 2.4 an. Stellen Sie Active Response Server 2.3 erneut bereit, um die Funktionalität und benutzerdefinierte Inhalte wiederherzustellen. |
||
KB90915 | 2.4 | Problem: Beim Upgrade von einer Installation mit mehreren Servern (2.3 und früher) auf ein Setup mit nur einem Server (2.4 und höher) müssen Sie Ihre konfigurierten Inhalte migrieren, um sie nicht zu verlieren. Lösung: Wird im themenbezogenen Artikel beschrieben. |
||
1244782 | KB90784 | 2.2 | 2.3 | Problem: Die Installation von MAR 2.2.x per ePolicy Orchestrator schlägt fehl, wenn Endpoint Security 10.6 installiert ist. Lösung: Behoben in MAR-Client 2.3 |
1241963 | 2.3 | 2.3 HF4 2.4 HF1 |
Problem: Sie installieren ein McAfee-Produkt auf einem System, auf dem SysCore mit Endpoint Security-Exploit-Schutz oder Host-Eindringungsschutz-Exploit-Schutz aktiviert ist, oder führen dort ein Produkt-Upgrade durch. Entweder wird ein Bluescreen angezeigt, oder das System reagiert nicht mehr (hängt). Problemumgehung: Deaktivieren Sie die Exploit-Schutz-Funktion, bevor Sie die Software installieren oder ein Upgrade durchführen. Lösung: In 2.3 Hotfix 4 und 2.4 Hotfix 1 (RTS) behoben. |
|
1176118 | 2.3 | 2.3 HF1 | Problem: Der Arbeitsbereich empfängt Behebungsereignisse für Mac-Endpunkte nicht automatisch. Sie müssen das Ereignis manuell schließen. Problemumgehung: Wenden Sie eine Behebung an, und vergewissern Sie sich dann, dass die Prozesse im Verfolgungsdiagramm für die einzelnen Hosts ordnungsgemäß abgeschlossen werden. Schließen Sie die Bedrohung dann manuell. Sie können auch das Bedrohungsereignisprotokoll anzeigen und die Ereignisse manuell schließen. |
|
2.3 | Problem: das Verfolgungs-Plug-in wird standardmäßig deaktiviert, wenn Sie ein Upgrade auf MAR 2.3 (nur unter macOS) durchführen. Lösung: Navigieren Sie zu Ihrer Richtlinie, und aktivieren Sie sie mit den Optionen zum Aktivieren des Plug-ins für macOS-Endpunkte.
|
|||
1214069 | 2.2 | 2.3 | Problem: Sie erkennen in der Liste Potential Threats (Potenzielle Bedrohungen) eine Bedrohung. Sie entfernen dann einen oder mehrere der betroffenen Hosts aus der Systemstruktur, bevor Sie Maßnahmen zur Behebung treffen. Sie stellen jedoch fest, dass die Bedrohung nicht aus der Liste der potenziellen Bedrohungen entfernt wird. Lösung: Verwenden Sie die Aktion Dismiss (Schließen) im Arbeitsbereich, um betroffene Hosts zu entfernen, bei denen bekanntermaßen kein Problem mehr vorliegt. |
|
1208348 | 2.2 | Problem: Der MAR-Arbeitsbereich deaktiviert die Aktion Stop and Remove (Stoppen und entfernen) für bekanntermaßen vertrauenswürdige Dateien. Wenn die Datei jedoch laut McAfee-Zertifikaten oder McAfee Validation and Trust Protection-Service (VTP) vertrauenswürdig ist, wird die Reputation der Datei im Arbeitsbereich als Not Set (Nicht festgelegt) angezeigt. Außerdem ist die Aktion zum Stoppen und Entfernen aktiviert. Lösung: Wenn die Aktion Stop and Remove (Stoppen und entfernen) über den Arbeitsbereich eingeleitet wird, wird die RemoveFileSafe-Reaktion aus dem Active Response-Katalog auf dem Endpunkt ausgeführt. Diese Reaktion beendet und entfernt nur Dateien, die laut McAfee-Zertifikaten oder McAfee VTP nicht vertrauenswürdig sind. |
||
1210099 | 2.2 | Problem: Wenn der Active Response-Server nicht mehr über genügend Speicherplatz verfügt, funktionieren Funktionen im Katalog, in der erweiterten Suche und im Arbeitsbereich nicht mehr. Das Problem wird nicht im Zustand angegeben. Lösung: Stellen Sie sicher, dass die Mindestanforderungen für Active Response-Server erfüllt sind. Wenn Probleme mit der erweiterten Suche oder dem Katalog auftreten, jedoch im Zustand keine Fehlermeldungen enthalten sind, überprüfen Sie die verbleibende Speicherkapazität des Servers. |
||
1214051 | 2.2 | Problem: Der Kollektor USBConnectedStorageDevices zeigt für Mac-Endpunkte falsche Daten an, wenn ein virtuelles USB-Laufwerk verbunden wird. Als Anbieter-ID-Feld wird nur USBMSC Identifier (non-unique) (USBMSC-Kennung (nicht eindeutig)) angezeigt. Lösung: Nicht verfügbar. Das Vorhandensein dieser Informationen kann jedoch ein Zeichen für das Vorhandensein eines virtuellen USB-Geräts sein. |
||
1207202 | 2.0.1 | 2.1 | Problem: Sie aktivieren die Verfolgung auf dem MAR-Client 2.0.1 und öffnen Outlook. Es dauert sehr lange, bis Outlook geöffnet wird. Sie stellen fest, dass der Endpunkt langsamer wird und Leistungsprobleme aufweist. Lösung: Führen Sie ein Upgrade auf MAR 2.1 durch. |
|
2.0 | Problem: MAR 2.x wird mithilfe von ePO 5.3 bereitgestellt. Wenn Sie dann jedoch ein Upgrade auf ePO 5.9 durchführen, stellen Sie fest, dass die MAR-Serverzertifikate nicht mehr gültig sind und neu generiert werden müssen. Lösung:
|
|||
1209426 | 2.1.2 | 2.2.0 | Problem: Das mit dem Paket für MAR 2.1.0 veröffentlichte Installationsprogramm für Active Response Aggregator ist beschädigt. Problemumgehung: Wenden Sie die entsprechende Problemumgehung an:
Die Aggregator-Version 2.0.1 ist auf der McAfee-Download-Webseite (www.mcafee.com/us/downloads/downloads.aspx) und über den ePO-Software-Manager verfügbar. |
|
1205281 | 2.1.0 | 2.2.0 | Problem: Die Installation des MAR 2.1.0-Erweiterungspakets schlägt fehl, wenn die Erweiterungen für Threat Intelligence Exchange (TIE) und Data Exchange Layer (DXL) bereits in ePO installiert wurden. Problemumgehung: Führen Sie die folgenden Schritte durch, um das MAR 2.1.0-Erweiterungspaket zu installieren, um Fehler bei der Installation zu vermeiden, wenn die DXL- und TIE-Erweiterungen bereits in ePO installiert wurden:
|
|
1193660 | 2.0 | 2.1.0 | Problem: Der MAR 2.0-Zustandsprüfungsstatus wird in ePO 5.9.0 nicht korrekt angezeigt. | |
1198057 | 2.0 | 2.1.0 | Problem: Sie arbeiten in einer Umgebung mit mindestens 50 erfassten potenziellen Bedrohungen. Wenn Sie den Zeifilter auf 90 Tage festlegen, wird Ihnen der folgende Fehler angezeigt: HTTP 404 Not Found (HTTP 404 Nicht gefunden). Lösung: Dieses Problem wurde in MAR 2.1.0 behoben.
|
|
1148152 | 2.0 | 2.1 | Problem: Aufgrund eines Problems mit der Ressourcenverwaltung von AAC Control kann die Installation von MAR 2.0-Clients auf Windows-Endpunkten, auf denen andere McAfee-Produkte installiert sind, fehlschlagen. Lösung: Starten Sie den Endpunkt neu, und beginnen Sie erneut mit der Installation. |
|
2.0 | Problem: Bei den Microsoft Windows-Versionen 7, 8.1 und 10 kann auf dem Endpunkt beim Starten und Herunterfahren eine Leistungsbeeinträchtigung auftreten, wenn das aktuelle ENS 10.2.1-Paket nicht installiert ist. Lösung: Stellen Sie sicher, dass auf den Endpunkten vor der Installation ein Upgrade auf ENS 10.2.1 durchgeführt wird. |
|||
2.0 | Problem: Die für eine MAR 2.0-Bereitstellung relevanten Hilfe-Erweiterungen für Threat Intelligence Exchange (TIE) und Data Exchange Layer (DXL) sind nicht im MAR 2.0-Erweiterungspaket enthalten. (Die MAR-Hilfe-Erweiterung ist enthalten.) Löcung: Installieren Sie die DXL- und TIE-Hilfe-Erweiterungen manuell über den ePolicy Orchestrator (ePO)-Software-Manager. |
|||
1163497 | 2.0 | 2.0.1 | Problem: Der MAR-Client meldet False-Positive-Bedrohungen für Probleme, die sich auf Prozesse beziehen, die Prozess- und Netzwerk-, Dateisystem- oder Windows-Registrierungsereignisse generieren, die im normalen Betrieb auftreten. Ursache: Die Liste mit den potenziellen Bedrohungen im Active Response-Arbeitsbereich wird mit Prozessen erstellt, die auf Endpunkten gefunden wurden, durch die die Aufmerksamkeit des MAR-Client geweckt worden ist. Der MAR-Client überwacht primär Prozess-, Netzwerk-, Dateisystem- und Windows-Registrierungsereignisse. Beispielsweise kann der Prozess "explorer.exe" als potenzielle Bedrohung im Arbeitsbereich angezeigt werden, wenn er Prozess-, Netzwerk-, Dateisystem- oder Windows-Registrierungsereignisse erzeugt hat. Auch wenn davon ausgegangen wird, dass der Prozess "explorer.exe" diese Vorgänge legitim durchführt, kann MAR nicht feststellen, ob die Aktivität legitim ist. Lösung: Es kann Fälle geben, in denen ein scheinbar vertrauenswürdiger Prozess schädliches Verhalten aufweist. Überprüfen Sie Folgendes:
|
|
2.0 | Problem: Wenn Sie die Aktion Als vertrauenswürdig bekannt machen bei einer Bedrohung ausführen, verschwindet die Bedrohung nicht von der Liste mit potenziellen Bedrohungen. Ursache: Bedrohungen, die durch das Einstellen der TIE-Reputation auf "Als vertrauenswürdig bekannt" behoben werden, können trotzdem Ereignisse auf Endpunkten hervorrufen. Auch wenn der Benutzer möglicherweise annimmt, dass diese ausgeführten Prozesse sicher sind, erzeugen diese Prozesse trotzdem MAR-Ereignisse, da der als vertrauenswürdig eingestufte Prozess von anderen Prozessen auf schädliche Art und Weise verwendet werden kann. Lösung: Verwenden Sie die Zeitauswahl im Arbeitsbereich, um den Fokus auf aktuelle Aktivitäten zu setzen und blenden Sie auf der Liste mit potenziellen Bedrohungen die Bedrohungen aus, die als "Als vertrauenswürdig bekannt" markiert worden sind. Außerdem wird der als vertrauenswürdig eingestufte Prozess 90 Tage nach dem ersten Auftreten aus dem Arbeitsbereich entfernt. HINWEIS: Wenn der als vertrauenswürdig eingestufte Prozess wieder im Arbeitsbereich als Bedrohung angezeigt wird, bedeutet dies, dass eine neue Aktivität vorliegt, die von den Sicherheitsverantwortlichen untersucht werden sollte. |
|||
2.0 | Problem: bei Verwendung der Aktion "beenden und entfernen" über den Active Response-Workspace, wid der Prozess durch Ausführen von einer Remote erstellten Datei geschlossen. die remote-Datei wid aus dem freigegebene Netzwerklaufwerke oder Ordner entfernt. Dies schließt Dateien ein, die nicht lokal auf dem Endpunkt gespeichert sind, sondern logisch mit dem Endpunkt verbunden sind. Ein Beispiel hierfür sind freigegebene Windows-Ordner, die als Laufwerke mit dem Endpunkt verbunden sind. Ursache: Active Response kann aufgrund von Sicherheitsbeschränkungen standardmäßig nicht auf Dateien mit Netzwerkfreigabe zugreifen. Behelfslösung: Wenn MAR auf dem Datei-Server installiert ist, der mit dem Endpunkt, auf dem die Bedrohung erkannt wird, verbunden ist oder auf den von diesem Endpunkt aus zugegriffen wird, können Sie eine Active Response-Suche verwenden, um die Datei zu finden und zu entfernen. |
Zurück zum Anfang
Referenznummer | Themenbezogener Artikel | Gefunden in MAR-Version | Behoben in MAR-Version | Problembeschreibung |
1163125 | 2.0 | Problem: Wenn eine ausführbare Datei (.exe) von mehreren Zertifikaten signiert wird, werden Informationen für ein einzelnes Zertifikat im Ereignis angezeigt. Behelfslösung: Sie können die Option "In Datei speichern" in der Verfolgen-Zeitleiste verwenden, um Informationen über das Zertifikat anzuzeigen, das, falls verfügbar, übergeordnete Ketten signiert. |
||
1167621 | 2.0 | Problem: Die Aktion, bei der eine Bedrohung vom EDR-Manager "als bösartig bekannt" oder "als vertrauenswürdig bekannt" gemacht wird, schlägt bei einer Bedrohung fehl, die auf einem mit Global Threat Intelligence (GTI) verbundenen Client ausgeführt wird. Wenn ein Endpunkt vom lokalen TIE-Server getrennt wird, der zur MAR 2.0-Bereitstellung zählt, können vom Benutzer trotzdem Aktionen vom Typ "Als vertrauenswürdig bekannt machen" oder "Als bösartig bekannt machen" im Arbeitsbereich vorgenommen werden. Wenn der TIE-Server einsatzbereit ist, wird versucht, diese Reputationsänderung auf allen Endpunkten zu replizieren. Allerdings wird auf allen Endpunkten, die vom lokalen TIE-Server getrennt worden sind, keine Reputationsaktualisierung durchgeführt und es werden keine TIE-Säuberungsaktionen ausgeführt. Problemumgehung Endpunkte können vom lokalen TIE getrennt weden, müssen jedoch mit der GTI-Reputationsdienst verbunden werden. In diesem Fall ist die lokale Reputationsänderung auf dem Endpunkt unwirksam, bis dieser wieder mit dem lokalen TIE-Server verbunden wird. |
||
2.0 | Problem: Auf der rechten Seite des Arbeitsbereichs werden keine Reputationsdetails angezeigt. Der Bereich "Threat Details" (Bedrohungsdetails) wird vom TIE-Server im Arbeitsbereich erstellt. Wenn der TIE-Server den Arbeitsbereich keine Informationen bereitzustellen kann, versucht Arbeitsbereich die Bedrohungs-Hashes in Bedrohungsdetails mit Informationen aus TMP auffüllen. (Ein Beispiel für der TIE-Server schlägt,fehl Informationen bereitzustellen, ist ein Kommunikationsproblem zwischen TIE und ePO.) Andere Felder in den Bedrohungsdetails sind leer. | |||
2.0 | Problem: Der NetworkFlow Collector kann keine Loopback-Verbindungen vom Typ "Verbindung geöffnet" oder "Verbindung geschlossen" erkennen. Diese Beschränkung hat zwei Auswirkungen. Einerseits werden die konfigurierten Auslöser zur Erkennung von Netzwerkereignissen durch Loopback-Datenverkehr nicht ausgelöst. Andererseits zeigt die Active Response-Suche diese Verbindungstypen nicht an, wenn der NetworkFlow Collector verwendet wird. Lösung: Diese Beschränkung wird durch die Art und Weise verursacht, in der der Windows TPC-/IP-Stack implementiert wurde sowie durch Designentscheidungen von Active Response. |
|||
1235857 |
2.2 | 2.3 | Problem: Wenn Sie Ihr Mac ein Upgrade auf 10.13.4 durchführen, sehen Sie den Fehler: Active Response: funktioniert nicht , im McAfee Shield-ProduktStatus. Dieser Fehler gibt eine Inkompatibilität mit AAC aufgrund doppelter Symbole für sha256-Berechnung an. Solution:
|
Zurück zum Anfang
Themenbezogene Informationen
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
Betroffene Produkte
Sprachen:
Dieser Artikel ist in folgenden Sprachen verfügbar: