参考编号 |
相关文章 |
存在问题的 MAR 版本 |
已修复的 MAR 版本 |
问题描述 |
暂缺 |
|
2.4 |
|
问题:Active Response 已注册的服务器无法激活,且显示“激活许可证时出错,稍后重试”。
解决方案:请确保已配置的服务器位置有效,然后使用装置上的 cmdagent 实用工具为 DXL 和 TIE 组件手动强制 McAfee Agent 同步,以便 MAR 服务器可以应答请求。
重要说明:如果已经过手动编辑和保存,Active Response 已注册的服务器不会自动更新。 如果 Active Response 已注册的服务器已经过手动编辑,则在升级过程中必须将其删除并重新创建。 |
1257901 |
|
2.4 |
|
问题:一次进行太多复杂搜索可能会导致 JVM 堆溢出,从而阻止 ElasticSearch (ES) 服务存储搜索结果,并在日志中留下“None of the configured nodes are available”错误。
解决方案: 通过在/usr/share/elasticsearch/bin/elasticsearch 顶部添加“ES_HEAP_SIZE=2g”来扩展 JVM 堆限制。 通过将第 8 行中的/etc/init.d/elasticsearch 更改为“export ES_HEAP_SIZE=2g”来限制 ES 堆大小。 通过运行“service elasticsearch restart”重新启动服务。 |
1256879 |
|
2.4 |
|
问题:在推送到旧的 Active Response 2.3 装置时,Active Response Server 2.4 升级失败,使该服务处于卸载状态。
解决方案:查看在 MAR 2.4 安装手册中详细介绍的所需一次性迁移过程。 重新部署 Active Response Server 2.3 以恢复功能和自定义内容。 |
|
KB90915 |
2.4 |
|
问题:当从多服务器安装(2.3 及更早版本)升级到单服务器设置(2.4 及更高版本)时,您必须迁移已配置的内容以防其丢失。 解决方案:请参阅相关文章。 |
1244782 |
KB90784 |
2.2 |
2.3 |
问题:当安装了 Endpoint Security 10.6 时,通过 ePolicy Orchestrator 安装 MAR 2.2.x 失败
解决方案:已在客户端 2.3 中修复 |
1241963 |
|
2.3 |
2.3 HF4 2.4 HF1 |
问题:在具有启用了 Endpoint Security 漏洞利用防护或 Host Intrusion Prevention 漏洞利用防护的 SysCore 的系统上安装或升级 McAfee 产品。 然后,您看到显示蓝屏或系统停止响应(挂起)。 解决方法:在安装或升级软件之前,请禁用漏洞利用防护功能。
解决方案:已在 2.3 修补程序 4 和 2.4 修补程序 1 (RTS) 中修复。 |
1176118 |
|
2.3 |
2.3 HF1 |
问题:工作区无法自动接收 Mac 端点的补救事件。 您必须手动解除该事件。 解决方法:请应用补救,然后在每个主机的跟踪图表中检查是否正确关闭了进程。 然后手动解除威胁。 或者,在威胁事件日志中查看相关事件,并手动解除事件。 |
|
|
2.3 |
|
问题:当您仅在 macOS 上升级到 MAR 2.3 时,默认情况下已禁用跟踪插件。
解决方案:导航到策略,然后使用为 macOS 端点启用插件选项启用它。
- 依次单击菜单、策略、策略目录。
- 选择跟踪选项卡。
- 选中为 macOS 端点启用插件(测试版)。
|
1214069 |
|
2.2 |
2.3 |
问题:在潜在威胁列表中发现威胁。 然后,从系统树中删除一个或多个受影响的主机,然后再采取补救措施。 但是,您会看到威胁未从“潜在威胁”列表中删除。 解决方案:使用工作区中的解除操作删除您知道其不再存在问题的受影响主机。 |
1208348 |
|
2.2 |
|
问题:MAR 工作区在已知受信任文件上禁用停止并删除操作。 但是,如果文件受 McAfee 证书或 McAfee 验证和信任保护 (VTP) 服务信任,则工作区中的文件信誉将显示为未设置。 此外,会启用“停止并删除”操作。
解决方案:从工作区中执行停止并删除操作时,会对端点执行 Active Response 目录中的 RemoveFileSafe 反应。 此反应仅停止并删除不受 McAfee 证书或 McAfee VTP 信任的文件。 |
1210099 |
|
2.2 |
|
问题:Active Response 服务器存储空间用尽时,目录、高级搜索和工作区中的功能会停止工作,且健康状态中不报告该问题。
解决方案:确保符合 Active Response 服务器的最低要求。 当目录上的高级搜索出现问题,但健康状态中无错误消息时,请检查服务器是否存储容量不足。 |
1214051 |
|
2.2 |
|
问题:当连接了虚拟 USB 驱动器时,USBConnectedStorageDevices 收集器为 Mac 端点显示不正确的数据。 它仅显示 USBMSC 标识符(非唯一)作为供应商 ID 字段。
解决方案:尚无。 但是,此信息存在可能表示存在虚拟 USB 设备。 |
1207202 |
|
2.0.1 |
2.1 |
问题:您在 MAR 客户端 2.0.1 上启用跟踪并打开 Outlook。 Outlook 需要较长的时间才会打开,然后,您看到端点速度变慢,并且出现性能问题。 解决方案:升级到 MAR 2.1。 |
|
|
2.0 |
|
问题:MAR 2.x 是使用 ePO 5.3 部署的;但是,如果您升级到 ePO 5.9,则会看到 MAR 服务器证书不再有效,且必须重新生成。 解决方案:
- 导航到服务器设置、Active Response。
- 单击编辑。
- 单击重新生成存储。
此步骤会更新 Active Response 证书。
- 单击保存。
|
1209426 |
|
2.1.2 |
2.2.0 |
问题:在 MAR 2.1.0 包中发布的 Active Response Aggregator 安装程序存在缺陷。 解决方法:执行适用的解决方法:
- 如果要从 MAR 2.0 或更低版本升级,请使用 Aggregator 版本 2.0.1。
- 如果要从 MAR 2.0.1 升级,则无需升级 Aggregator, 保留 2.0.1 版本即可。
- 如果要执行 MAR 2.1.0 的新部署,请使用 Aggregator 版本 2.0.1。
所有其他组件必须为 MAR 版本 2.1.0。 Aggregator 版本 2.0.1 可从 McAfee 下载站点 (www.mcafee.com/us/downloads/downloads.aspx) 和 ePO 软件管理器获取。 |
1205281 |
|
2.1.0 |
2.2.0 |
问题:当 Threat Intelligence Exchange (TIE) 和 Data Exchange Layer (DXL) 扩展已安装在 ePO 中时,MAR 2.1.0 扩展捆绑包的安装会失败。 解决方法:为避免 ePO 中安装了 DXL 和 TIE 扩展时安装失败,请执行下列步骤安装 MAR 2.1.0 扩展捆绑包:
- 将所有 DXL 扩展(下列所示)升级到 MAR 2.1.0 扩展捆绑包中包含的版本:
- 将 TIE 扩展(下列所示)升级到 MAR 2.1.0 扩展捆绑包中包含的版本:
- 安装 MAR 2.1.0 扩展捆绑包。
|
1193660 |
|
2.0 |
2.1.0 |
问题: ePO 5.9.0 显示的 MAR 2.0 健康检查状态不正确。 |
1198057 |
|
2.0 |
2.1.0 |
问题:您正在至少存在 50 条潜在威胁记录的环境中工作。 当您将时间过滤器转为 90 天后,您会看到以下错误: HTTP 404 Not Found 解决方法:此问题在 MAR 2.1.0 中已得到解决。
|
1148152 |
|
2.0 |
2.1 |
问题:由于 AAC Control 管理资源的方式存在问题,在已安装其他 McAfee 产品的 Windows 端点上安装 MAR 2.0 客户端失败。 解决方案:重新启动端点,重新安装。 |
|
|
2.0 |
|
问题:在 Microsoft Windows 版本 7、8.1 和 10 上,如未安装最新的 ENS 10.2.1 包,端点可能会在启动和关闭过程中遇到性能下降的问题。 解决方案:在安装前确保端点已更新到 ENS 10.2.1。 |
|
|
2.0 |
|
问题:与 MAR 2.0 部署有关的 Threat Intelligence Exchange (TIE) 和 Data Exchange Layer (DXL) 的帮助扩展未包含在 MAR 2.0 扩展捆绑包中。 (保含 MAR 帮助扩展。) 解决方案:从 ePolicy Orchestrator (ePO) 软件管理器手动安装 DXL 和 TIE 帮助扩展。 |
1163497 |
|
2.0 |
2.0.1 |
问题:对于与生成进程以及由于正常操作发生的网络、文件系统或 Windows 注册表事件的进程有关的问题,MAR 客户端误报威胁。 原因:Active Response 工作区上的潜在威胁列表中填充了在端点上发现并引起 MAR 客户端注意的进程。 该 MAR 客户端主要监控进程事件、网络事件、文件系统事件和 Windows 注册表事件。 例如,如果 explorer.exe 进程生成进程、网络、文件系统或 Windows 注册表事件,它可能在工作区上显示为潜在威胁。 虽然 explorer.exe 可合法执行这些操作,但 MAR 无法确定该活动是否合法。 解决方案:在某些情况下,看似可信的进程可能会表现出恶意行为。 检查以下各项:
- 该可信进程是否像其声明的那样? 恶意软件可能会模拟进程。
- 该进程是否具有有效的哈希?
- 文件是否是从正确的路径执行的?
- 其他进程中是否存在可能影响可信进程的代码注入事件?
|
|
|
2.0 |
|
问题:在对威胁执行已知可信操作以后,威胁未从潜在威胁列表中消失。 原因:通过将 TIE 信誉设置为已知可信进行补救的威胁可能仍会在端点上生成事件。 虽然用户可能想认定这些正在运行的进程是安全的,但进程仍会生成 MAR 事件,因为其他进程可能会以恶意方式利用可信进程。
解决方案:使用工作区的时间选择器专注于近期活动,将潜在威胁列表中标记为已知可信的事件隐藏起来。 另外,在首次发现可信进程 90 天以后,它将从工作区移除。
注意:如果可信进程作为威胁重新出现在工作区,这意味着存在事件响应器必须检测的新活动。 |
|
|
2.0 |
|
问题:当您通过 Active Response 工作区使用“停止并删除”操作时,通过运行远程文件创建的进程将被关闭。 但是,远程文件会从网络共享驱动器或文件夹中删除。 包括的文件是未在端点本地存储,但逻辑上链接到端点的文件,作为驱动器连接到端点的 Windows 共享文件夹也是如此。
原因:出于安全考虑,有意将 Active Response 设计为无法访问网络共享文件。 解决方法:如果 MAR 安装在链接到或被检测到威胁的端点访问的文件服务器上,则使用 Active Response 搜索查找文件并将其删除。 |