Active Response のバージョン | 一般提供 (GA) | リリース ノート |
2.4.0 Hotfix 1 | 2018 年 11 月 27 日 | PD28083 |
2.4.0 | 2018 年 9 月 25 日 | PD27895 |
2.3.0 Hotfix 4 | 2018 年 11 月 13 日 | PD28082 |
2.3.0 Hotfix 3 | 2018 年 9 月 4 日 | PD27964 |
2.3.0 Hotfix 2 | 2018 年 8 月 14 日 | 撤回 |
2.3.0 Hotfix 1 | 2018 年 7 月 10 日 | PD27862 |
2.3.0 | 2018 年 6 月 12 日 | PD27435 |
2.2.0 | 2017 年 11 月 11 日 | PD27282 |
2.1.0.270 Hotfix 2 バンドル | 2017 年 10 月 18 日 | PD27297 |
2.1.0 | 2017 年 8 月 28 日 | PD27182 |
Hotfix 2.0.1.139.1 | 2017 年 7 月 14 日 | PD27115 |
2.0.1 | 2017 年 3 月 31 日 | PD26885 |
2.0 | 2016 年 12 月 20 日 | PD26819 |
McAfee Active Response 2.x の既知の問題
技術的な記事 ID:
KB88196
最終更新: 2019-04-01 19:28:07 Etc/GMT
最終更新: 2019-04-01 19:28:07 Etc/GMT
環境
McAfee Active Response (MAR) 2.x
概要
この記事の最近の更新
内容
表示したいセクションをクリックして展開します:
トップに戻る
トップに戻る
日付 | 更新 |
2018 年 11 月 27 日 | 2.4.0 Hotfix 1 を一般提供。 |
2018 年 11 月 13 日 | 2.3.0 Hotfix 4 リリース ノートおよび 2.4.0 Hotfix 1 ビルド 2.4.0.176 (RTS) を追加しました。 1241963 を更新。 |
2018 年 11 月 6 日 | 1257901 および 1257901 を追加しました。 |
2018 年 9 月 25 日 | 「製品のリリース情報」にバージョン 2.4 のリリース ノートを追加しました。 2.4 以降へのアップグレードに関する新しい重大な問題を追加しました。 |
2018 年 9 月 4 日 | 2.3.0 Hotfix 3 のリリース ノートを追加しました。 2.3.0 Hotfix 2 を撤回するかたちで更新しました。 |
この記事が更新されたときに電子メール通知を受信するには、 契約を更新 ページの右側にあります。購読するには、ログインする必要があります。
内容
表示したいセクションをクリックして展開します:
参照番号 | 関連記事 | MAR バージョンで見つかったもの | MAR バージョンで解決されたもの | 問題の説明 |
該当なし | 2.4 | 問題: Active Response の登録済みサーバーがアクティブ化されず、「ライセンスの有効化でエラーが発生しました。後でもう一度やり直してください。」と表示されます。 解決策: 設定済みのサーバーの場所が有効であることを確認し、アプライアンスで cmdagent ユーティリティを使用して DXL と TIE のコンポーネントの McAfee Agent の同期を手動で実行して、MAR サーバーが要求に応答できるようにします。 重要: Active Response の登録サーバーは、手動で編集して保存した場合は自動的に更新されません。 Active Response の登録済みのサーバーが手動で編集された場合、削除して、アップグレード時に再作成する必要があります。 |
||
1257901 | 2.4 | 問題: 複雑な検索を一度にたくさん実行すると JVM ヒープがオーバーランし、ElasticSearch (ES) サービスが検索結果を保存する操作を停止して、「None of the configured nodes are available」(設定済みのノードがありません)というエラーをログに記録します。 解決策: 'ES_HEAP_SIZE=2g ' を /usr/share/elasticsearch/bin/elasticsearch の上部に追加して、JVM ヒープ上限を増大します。 行 8 の /etc/init.d/elasticsearch を ‘export ES_HEAP_SIZE=2g’ に変更することで、ES ヒープ サイズを制限します。 ‘service elasticsearch restart‘ を実行して、サービスを再起動します。 |
||
1256879 | 2.4 | 問題: Active Response サーバー 2.4 アップグレードがレガシーの Active Response 2.3 アプライアンスにプッシュされるときに、サービスをアンインストールしたままにできません。 解決策: MAR 2.4 インストール ガイドに記載されている、実行する必要のある 1 回限りの移行手順を確認します。 Active Response Server 2.3 を再配備して、機能とカスタムのコンテンツをリカバリします。 |
||
KB90915 | 2.4 | 問題: 複数サーバーのインストール (2.3 以前) からシングル サーバーのセットアップ (2.4 以降) にアップグレードする場合、設定済みのコンテンツが失われないように移行する必要があります。 解決策: 関連記事を参照してください。 |
||
1244782 | KB90784 | 2.2 | 2.3 | 問題: ePolicy Orchestrator を使用して MAR 2.2.x をインストールする際、Endpoint Security 10.6 がインストールされている場合に失敗します。 解決策: MAR クライアント 2.3 で修正されました。 |
1241963 | 2.3 | 2.3 HF4 2.4 HF1 |
問題: Endpoint Security エクスプロイト防止またはホスト侵入検知が有効になっている SysCore を持つシステムにマカフィー製品をインストールします。 その後、ブルー スクリーンが表示されるか、システム応答が停止 (ハング) します。 回避策: ソフトウェアをインストールまたはアップグレードする前に、エクスプロイト防止機能を無効にします。 解決策: 2.3 Hotfix 4 と 2.4 Hotfix 1 (RTS) で修正されました。 |
|
1176118 | 2.3 | 2.3 HF1 | 問題: Mac エンドポイントで、ワークスペースが自動的に修復イベントを受信しません。 イベントを手動で解除する必要があります。 回避策: 修復を適用し、各ホストのトレース グラフで、プロセスが正しく閉じているか確認します。 その後、脅威を手動で解除します。 または、関連するイベントの脅威イベント ログを表示し、イベントを手動で解除します。 |
|
2.3 | 問題: macOS でのみ、MAR 2.3 にアップグレードすると、トレース プラグインがデフォルトで無効になります。 解決策: ポリシーに移動して、Enable Plug-in for macOS Endpoints オプションを使用して有効にします。
|
|||
1214069 | 2.2 | 2.3 | 問題: 潜在的な脅威 リストで脅威を識別します。 その後、影響を受けるホストを 1 つ以上削除してから、修復アクションを実行します。 しかし、潜在的な脅威のリストから脅威が削除されません。 解決策: ワークスペースの 解除 アクションを使用して、影響を受けるホストのうち、問題のなくなったものを削除します。 |
|
1208348 | 2.2 | 問題: MAR ワークスペースで、信頼できることが確認されているファイルでの 停止して削除 アクションが無効になっています。 しかし、McAfee Certificates または McAfee Validation および Trust Protection (VTP) サービスによってファイルが信頼されている場合、ワークスペース上でのそのファイルの信頼は未設定 として表示されます。 また、停止して削除 アクションが有効になっています。 解決策: 停止して削除 アクションがワークスペースから実行された場合、Active Response カタログからの RemoveFileSafe リアクションがエンドポイントで実行されます。 このリアクションが停止し、McAfee Certificates または McAfee VTP で信頼されていないファイルのみが削除されます。 |
||
1210099 | 2.2 | 問題: Active Response サーバーのストレージ容量が不足すると、カタログ、高度な検索、およびワークスペースの機能が停止し、正常性ステータスで、この問題が報告されません。 解決策: Active Response サーバーの最小要件を満たしていることを確認します。 カタログでの高度な検索に問題が発生し、正常性ステータスでエラー メッセージが記録されていない場合、サーバーのストレージ容量が不足していないか確認します。 |
||
1214051 | 2.2 | 問題: 仮想 USB ドライブが接続されている場合、USBConnectedStorageDevices コレクターに不正確な Mac エンドポイントのデータが表示されます。 ベンダー ID フィールドに USBMSC ID (固有ではない) のみが表示されます。 解決策: 該当なし。 ただし、この情報が存在するということは、仮想 USB デバイスの存在を示す指標となる場合があります。 |
||
1207202 | 2.0.1 | 2.1 | 問題: MAR クライアント 2.0.1 で追跡を有効にして、Outlook を開きます。 Outlook が開くまでに時間がかかり、その後、エンドポイントが低下し、パフォーマンスの問題が発生します。 解決策: MAR 2.1 にアップグレードします。 |
|
2.0 | 問題: ePO 5.3 を使用して MAR 2.x を配備した後に、ePO 5.9 にアップグレードすると、MAR サーバー認証が有効ではなくなったために再生成する必要があるというメッセージが表示されます。 解決策:
|
|||
1209426 | 2.1.2 | 2.2.0 | 問題: MAR 2.1.0 用のパッケージに入れられてリリースされた Active Response Aggregator のインストーラーに欠陥があります。 回避策: 以下のうち該当する回避策を実行します。
Aggregator バージョン2.0.1 は、マカフィー ダウンロード サイト (www.mcafee.com/us/downloads/downloads.aspx) および ePO ソフトウェア マネージャーから入手できます。 |
|
1205281 | 2.1.0 | 2.2.0 | 問題: Threat Intelligence Exchange (TIE) および Data Exchange Layer (DXL) 拡張ファイルがすでに ePO にインストールされている場合、MAR 2.1.0 拡張バンドルのインストールが失敗します。 回避策: DXL および TIE 拡張ファイルがすでに ePO にインストールされている場合にインストールが失敗しないようにするには、以下の手順を実行して MAR 2.1.0 拡張バンドルをインストールします。
|
|
1193660 | 2.0 | 2.1.0 | 問題: ePO 5.9.0 で MAR 2.0 正常性チェック状況が正しく表示されません。 | |
1198057 | 2.0 | 2.1.0 | 問題: 使用環境の潜在的な脅威として 50 以上の脅威が記録されています。 タイマー フィルターを 90 日に移動すると、次のようなエラーが表示されます。 HTTP 404 Not Found 解決策: この問題は MAR 2.1.0 で解決されています。
|
|
1148152 | 2.0 | 2.1 | 問題: AAC Control によるリソースの管理方法に問題があるために、Windows エンドポイントに他のマカフィー製品がインストールされていると、MAR 2.0 クライアントをインストールできないことがあります。 解決策: エンドポイントを再始動し、インストールをもう一度開始します。 |
|
2.0 | 問題: Microsoft Windows バージョン 7、8.1、および 10 で、最新の ENS 10.2.1 パッケージがインストールされていない場合、ブートおよびシャットダウン時にエンドポイントのパフォーマンスが低下することがあります。 解決策: インストール前にエンドポイントが ENS 10.2.1 に更新されていることを確認します。 |
|||
2.0 | 問題: MAR 2.0 配備に関連した Threat Intelligence Exchange (TIE) および Data Exchange Layer (DXL) のヘルプ拡張ファイルが、MAR 2.0 拡張バンドルに含まれていません。 (MAR ヘルプ拡張ファイルは含まれます。) 解決策: DXL および TIE のヘルプ拡張ファイルを、ePolicy Orchestrator (ePO) のソフトウェア マネージャーから手動でインストールします。 |
|||
1163497 | 2.0 | 2.0.1 | 問題: MAR クライアントが、誤検知の脅威を報告します。それらは、通常の動作で生じるイベント (プロセス、ネットワーク、ファイルシステム、Windows レジストリのイベント) を生成するプロセスに関連する問題についての脅威です。 原因: Active Response のワークスペースの潜在的な脅威リストには、これまで MAR クライアントが注目していたエンドポイントで検出されたプロセスが取り込まれます。 MAR クライアントは、主に、プロセス、ネットワーク、ファイルシステム、および Windows レジストリのイベントを監視します。 たとえば、explorer.exe プロセスがプロセス、ネットワーク、ファイルシステム、Windows レジストリのイベントを生成した場合には、explorer.exe プロセスがワークスペースに潜在的な脅威として表示されます。 これらの操作を explorer.exe が正当な理由で実行することは明らかですが、MAR は、そのアクティビティが正当なものかどうかを判別できません。 解決策: 見かけは信頼できるプロセスであっても、不審な動作が見られる場合があります。 次を確認します。
|
|
2.0 | 問題: ある脅威に対して Make Known Trusted (信頼できることが確認されているに変更) アクションを実行しても、その脅威が潜在的な脅威リストに表示され続けます。 原因: TIE レピュテーションを「信頼できることが確認されている」に設定して対処した脅威について、エンドポイントでまだイベントが生成されることがあります。 ユーザーはそれらの実行中のプロセスを安全なものと見なしたいかもしれませんが、信頼できるプロセスを他のプロセスが不正な方法で使用する可能性もあるため、それらのプロセスについてはまだ MAR イベントが生成されます。 解決策: ワークスペースで時間セレクターを使用して最近のアクティビティに絞り込み、「信頼できることが確認されている」というマークの付いた脅威を潜在的な脅威リストから非表示にします。 信頼できるプロセスが最初に表示されてから 90 日が経過した場合にも、脅威はワークスペースから削除されます。 注: 信頼できるプロセスが再びワークスペースに脅威として表示された場合は、インシデント対応者による検査が必要な新しいアクティビティが存在することを意味します。 |
|||
2.0 | 問題: Active Response ワークスペースから 停止して削除 アクションを使用すると、リモート ファイルを実行することで作成されたプロセスが終了します。 しかし、リモート ファイルはネットワーク共有ドライブまたはフォルダーから削除されます。 これには、エンドポイントのローカルに保存されたのではなく、エンドポイントに論理的にリンクされたファイルも含まれます。エンドポイントにドライブとして接続されている Windows 共有フォルダーにも当てはまります。 原因: Active Response は、セキュリティ上の制約により、ネットワーク共有ファイルにアクセスできない設計になっています。 回避策: 脅威が検出されたエンドポイントからリンクまたはアクセスされるファイル サーバーに MAR がインストールされている場合は、Active Response 検索を使用してファイルを検出し、削除することができます。 |
トップに戻る
参照番号 | 関連記事 | 見つかった MAR バージョン | 解決された MAR バージョン | 問題の説明 |
1163125 | 2.0 | 問題: 実行可能ファイル (.exe) が複数の証明書によって署名されていても、イベントには 1 つの証明書の情報が表示されます。 回避策: トレース タイムラインで「Save to File (ファイルに保存)」機能を使用して、証明書の署名の親チェーンに関する情報 (ある場合) を表示できます。 |
||
1167621 | 2.0 | 問題: Global Threat Intelligence (GTI) に接続されているクライアントで実行された脅威に対して、EDR マネージャーから「不正なことが確認されている」または「信頼できることが確認されている」に変更するアクションを実行すると失敗します。 MAR 2.0 配備の一部であるオンプレミス TIE サーバーからエンドポイントを切断すると、ユーザーはワークスペースから「不正なことが確認されている」または「信頼できることが確認されている」アクションを実行できるようになります。 TIE サーバーが稼働している場合は、TIE サーバーがこのレピュテーションの変更をすべてのエンドポイントに複製しようとします。 しかし、オンプレミス TIE サーバーから切断されたエンドポイントは、このレピュテーションの更新を受け取らないため、TIE クリーンアップ アクションは実行されません。 回避策: エンドポイントをオンプレミス TIE から切断し、GTI レピュテーション サービスに接続しておくことができます。 この場合、エンドポイントでのオンプレミス レピュテーションの変更は、エンドポイントがオンプレミス TIE サーバーに再接続するまで有効になりません。 |
||
2.0 | 問題: レピュテーションの詳細がワークスペースの右側に表示されません。 ワークスペースの [脅威の詳細] ペインの情報は、TIE サーバーによって取り込まれます。 TIE サーバーがワークスペースへの情報の提供に失敗すると、ワークスペースは [脅威の詳細] に脅威のハッシュを TMP からの情報と共に記録しようとします。 (TIE サーバーが情報の提供に失敗する理由の例として、TIE と ePO 間の通信の問題があります。) [脅威の詳細] の他のフィールドは空になります。 | |||
2.0 | 問題: NetworkFlow Collector は、ループバック接続の接続オープンまたは接続クローズを検出できません。 この制限による影響が 2 つあります。 まず、ループバック トラフィックからネットワーク イベントを検出するように設定されているトリガーが、トリガーされなくなります。 また、NetworkFlow Collector を使用している場合、Active Response 検索にそれらのタイプの接続が表示されません。 解決策: この制限は、Windows の TPC/IP スタックの実装方法および Active Response の設計時の決定によるものです。 |
|||
1235857 |
2.2 | 2.3 | 問題: Mac を 10.13.4 にアップグレードすると、エラー Active Response: 動作していません がマカフィー シールドの製品ステータスに表示されます。 このエラーは、sha256 計算の記号が重複するために AAC との互換性がないことを示します。解決策:
|
トップに戻る
関連情報
テクニカルサポートに問い合わせるには、[ サービスリクエストの作成] ページに移動 して、ServicePortal にログオンします。
- 登録済みのユーザーの場合は、ユーザー ID とパスワードを入力して、[ ログイン] をクリックします。
- 登録済みのユーザーでない場合は、 登録 をクリックして各項目を入力すると、パスワードと手順がメールで送信されます。
免責事項
この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。
言語:
この記事は、次の言語で表示可能です: