Como solucionar problemas de conexão Endpoint Detection and Response
Artigos técnicos ID:
KB93645
Última modificação: 2021-09-23 20:36:12 Etc/GMT
Última modificação: 2021-09-23 20:36:12 Etc/GMT
Ambiente
McAfee MVISION Endpoint Detection and Response (EDR) 3.x
Problema
Você verá um ou mais dos seguintes problemas:
/var/McAfee/dxlbroker/logs/IPE.log :
No cliente do Windows,\%programdata%\mcafee\Mar\data\Mar.log ou o cliente Linux ou MAC, /var/McAfee/Mar/data/mar.log , você verá o erro:
\Server\logs\orion log :
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log Quanto /var/McAfee/dxl/DXL_service. log listar um ou mais dos erros:
- O conteúdo não é exibido na página espaço de trabalho de monitoramento do EDR.
- As pesquisas em tempo real não respondem.
- Uma ameaça disparada não preenche o dashboard.
- Não há servidores listados em:
https://ui.soc.mcafee.com/support (or your geo logon)
INDICADO Lembre-se de quehttps://ui.soc.mcafee.com Não está ciente do multigeo. Você deve efetuar logon no Gerenciador de localização geográfica para ver os servidores conectados.
403 Forbidden Below minimum threshold 502 Bad Gateway
No cliente do Windows,
Could not send traces to cloud.
vpc URL from DXL cloud databus is empty Expected URL scheme 'http' Error trying to connect with vpc Failed to provision with IAM
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log Quanto /var/McAfee/dxl/DXL_service. log listar um ou mais dos erros:
DxlMQTTConnection: waitForConnection: error = 10060 : A connection attempt failed An existing connection was forcibly closed by the remote host
Solução
- Verifique se você tem as extensões corretas instaladas e se elas estão atualizadas:
- Abra o Gerenciador do ePO e clique em AdicionarMenu, Antivírus, Às.
- Você deve ter as versões mais recentes das seguintes extensões instaladas. Instale e atualização as extensões conforme o necessário:
- MVISION EDR extensão do cliente
- MVISION EDR ferramenta de instantâneo de ponto de extremidade
- Extensão de MVISION EDR
- Verifique se a malha do do DXL mostra Conectou:
- Clique AdicionarMenu. Inferior Sistema Clique Malha do Data Exchange Layer.
- Exibir o Monitor status.
- Se o status da malha mostrar Conectou, continue para a próxima etapa.
- Se o status da malha mostrar nenhum corretor conectado ou outros problemas de conexão, consulte a seção "solução de problemas de instalação" no guia de instalação do do DXL.
- Os clientes EDR se comunicam através do seu do DXL agente para EDR. Os agentes do DXL devem se conectar ao back-end IAM/EDR corretamente para que a comunicação funcione.
- Para cada um de seus agentes do DXL, confirme se há erros na malha do do DXL:
- Clique no agente no meio da tela.
- Selecione o Prorroga no lado direito da tela.
- Verifique se há mensagens de erro.
Mensagens de erro recentes mostram problemas com comunicação ou alertas de cliente:- Resolva quaisquer problemas de conectividade e, em seguida, continue para a próxima etapa.
- Se você vir
"error while sending http request: UnknownHostException "- Verifique se o seu DNS do do DXL Broker é possível resolver o URL da API para o endereço IP (URL da API da etapa 4C):
- Para cada um de seus agentes do DXL, confirme se há erros na malha do do DXL:
Exemplo: "nslookup api.soc.mcafee.com "
- Se você tiver problemas para a solução de problemas, abra uma solicitação de serviço.
- Verifique a conectividade do ponto de extremidade, especificamente o status da conexão do do DXL:
- Clique Árvore de sistemas, Selecionar cliente, Action, DO DXL, Pesquisar em do DXL.
- Exiba a mensagem de pop-up.
O status correto é Estado da conexão = conectado.- Se você vir um status de Estado da conexão = conectado:
Vá para a etapa 6-Verifique a MVISION Cloud ponte (configurações do servidor).
- Se você vir um status de Estado da conexão = não conectado
- Verifique se há erros nos registros do do DXL:
Consulte a seção "solução de problemas da instalação" do guia de instalação do Data Exchange Layer. - Se não for possível resolver o erro nos logs do do DXL, você deverá coletar dados antes de abrir uma solicitação de serviço. Para obter detalhes, consulte: KB92052-dados necessários para os problemas do Data Exchange Layer (lado do cliente).
- Verifique se há erros nos registros do do DXL:
- Se você vir um status de Estado da conexão = conectado:
- Verifique a conectividade do ponto de extremidade, especificamente o status da conexão do do DXL:
- Verifique e defina suas dado DXL Cloud DataBus (configurações do servidor), URL e proxy para o Data Center apropriado.
- Abra o Gerenciador do ePO.
- Clique AdicionarMenu, Configurações do servidor, Dado DXL Cloud DataBus.
- Verifique se o seu Data Center está preenchido com as informações corretas de local, conforme listado abaixo, corrija os erros conforme necessário:
- brasileiros Data Center West — https://api.soc.mcafee.com/cloudproxy/databus/produce
- Centro de dados do leste dos EUA — https://api.soc.us-east-1.mcafee.com/cloudproxy/databus/produce
- Data Center de Frankfurt — https://api.soc.eu-central-1.mcafee.com/cloudproxy/databus/produce
- Data Center de Sydney — https://api.soc.ap-southeast-2.mcafee.com/cloudproxy/databus/produce
- Centro de dados do Canadá — https://api.soc.ca-central-1.mcafee.com/cloudproxy/databus/produce
- Confirme se os firewalls e o servidor proxy permitem acesso aos URLs e às portas listados no guia de instalação do EDR.
Configure seus firewalls e proxies para permitir todo o tráfego listado neste guia por meio do.
- Verifique se a MVISION Cloud ponte (configurações do servidor) está vinculada usando o nome de usuário e a senha apropriados:
- Clique AdicionarMenu, Configurações do servidor, MVISION Cloud ponte.
- O status esperado é:
Este servidor está vinculado
Se você não vir o acima como o status, Revincule a conta:- Remova as seguintes extensões:
- Extensão de MVISION EDR
- MVISION Cloud ponte
- Reinstale a extensão do MVISION EDR.
INDICADO Essa ação instala o MVISION Cloud ponte.
- Vincule a conta ao usuário e à senha corretos.
- Remova as seguintes extensões:
- Exiba a conta vinculada e certifique-se de que ela esteja usando o nome de usuário correto para sua conta.
Se a conta estiver incorreta, edite a atual MVISION Cloud configurações de ponte e insira o nome do usuário e a senha do novo ou correto.
- Verifique se o MVSION EDR (configurações do servidor) mostra o status de Conexão bem-sucedida.
- Clique AdicionarMenu, Configurações do servidor, Configurações de MVISION EDR.
- Exiba os serviços de nuvem do MVISION EDR.
O status esperado é:
Status da conexão = Conexão bem-sucedida
Status do monitoramento = acontecer
Se essas configurações não forem exibidas, exiba oorion.log para obter erros e pesquise na Base de conhecimentos para obter soluções para esses erros. Caso contrário, continue a solução de problemas.
- Verifique se as configurações de NTP entre o EPO e o do DXL agente estão definidas e se não há atraso entre o relógio de tempo atual.
Configurar os relógios em cada servidor correspondem ao mesmo tempo sem nenhuma diferença entre eles.
- Verifique se pelo menos um ou mais clientes EDR estão distribuídos com o plug-in de rastreamento ativado:
- Selecione a árvore de sistemas com o EDR instalado.
- Visor Detalhes do sistema, Produtos para MVISION EDR.
- Na guia Atendimento , clique em MVISION EDR.
- Inferior plug-ins, confirme se o TraceScanner está relatando como Disponível.
- Inferior Propriedades do EDR, verifique se a última comunicação de rastreamento é atual (menos de uma hora).
- Se você encontrar erros ou se não houver um relatório de rastreamentos:
Ativar log de depuração (consulte informações relacionadas), reproduza os problemas e verifique os clientesmar.log arquivo para problemas.
- Se você não vir erros e o status é Amarela
Continue para a etapa 10.
- Se você não vir erros e o status for Vermelha
Verifique se suas configurações estão ativadas para rastreamento.
Para obter informações, consulte a seção "configuração de política de rastreamento" no guia de produto do EDR.
- Se você encontrar erros ou se não houver um relatório de rastreamentos:
- Verifique se o seu servidor ePO está listado na página de suporte do EDR Manager:
- brasileiros Data Center West
- Centro de dados do leste dos EUA
- Data Center de Frankfurt
- Data Center de Sydney
- Centro de dados do Canadá
- Se você vir erros ou se o servidor não estiver na lista:
Verifique aorion.log emIPE.log para obter erros e pesquise na Base de conhecimentos para obter soluções para esses erros.
- Se você vir o ePO conectado à página de suporte, mas os rastreamentos ainda não atingirem a nuvem:
- Abra uma sessão de linha de comando no agente que executa o IPE.
- Verifique se toda a comunicação com a API está aberta corretamente a partir do do DXL agente:
- Se você estiver por trás de um proxy:
Ferênciacurl -x proxy:port -v -X POST -H "Content-Type:application/json; charset=utf-8" (etapa 4C)> e pressione Enter. - Se você não estiver atrás de um servidor proxy:
Ferênciacurl -v -X POST -H "Content-Type:application/json; charset=utf-8" e pressione Enter.
- Se você estiver por trás de um proxy:
- Exiba a saída do comando acima. Uma pesquisa correta contém o seguinte:
CONNECT api.soc.eu-central-1.mcafee.com:443 HTTP/1.1
Host: api.soc.eu-central-1.mcafee.com:443
User-Agent: curl/7.29.0
Proxy-Connection: Keep-Alive
Content-Type:application/json; charset=utf-8
HTTP/1.0 200 Connection established
Proxy replied OK to CONNECT request
Successfully set certificate verify locations:
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
* subject: C=US; postalCode=97006; ST=OR; L=BEAVERTON; street=SUITE 100; street=20460 NW VON NEUMANN DRIVE; O=McAfee, Inc.; OU=Engineering; OU=Hosted by McAfee Inc.; OU=Multi-Domain SSL; CN=ui.soc.mcafee.com
* start date: 2019-05-22 00:00:00 GMT
* expire date: 2021-05-21 23:59:59 GMT
* subjectAltName: api.soc.eu-central-1.mcafee.com matched
* issuer: C=US; ST=CA; L=Santa Clara; O=McAfee, Inc.; CN=McAfee OV SSL CA 2
* SSL certificate verify ok.
POST /cloudproxy/databus/produce HTTP/1.1
User-Agent: curl/7.29.0
Host: api.soc.eu-central-1.mcafee.com
Accept: */*
Content-Type:application/json; charset=utf-8
- Se você vir erros ou se o servidor não estiver na lista:
- Se for exibida uma resposta diferente ou Conexão inválida erro
Verifique se a inspeção SSL está ativada (talvez seja necessário envolver a equipe de rede para verificar).
INDICADO A inspeção SSL não é suportada para EDR. - Se você vir a saída acima, o problema será resolvido.
- Se ainda tiver problemas, abra uma solicitação de serviço.
Informações relacionadas
Para entrar em contato com o Suporte técnico, vá para a página criar uma solicitação de serviço e entre no ServicePortal.
- Se você for um usuário registrado, digite sua ID de usuário e senha e, em seguida, clique em efetuar login.
- Se você não for um usuário registrado, clique em registrar e preencha os campos para ter sua senha e suas instruções enviadas por e-mail para você.
Locais de registro padrão:
- Registro de MAR (cliente do EDR)
C:\ProgramData\McAfee\MAR\data\Mar.log
- Orion log (servidor EPO):
\server\logs\orion.log
- Logs do do DXL Broker (do DXL Broker):
/var/McAfee/dxlbroker/logs/dxlbroker.log
- Logs de serviços do do DXL (do DXL Broker):
var/McAfee/dxl/DXL_service.log
- Logs do IPE (do DXL Broker):
/var/McAfee/dxlbroker/logs/ipe.logs
Como ativar o registro em log de depuração do EDR:
- Abra a política do MVISION EDR.
- Clique no botão Ti e desmarque a caixa de seleção Ativar proteção de pasta de dados.
- Clique no botão Efetua guia e defina Nível de registro Para Depurar.
- Clique no botão Logger na
- Definir Nível Para Depurar.
- Definir Tamanho do buffer Para 1
- Definir Tamanho máximo do arquivo de log Para 50 (MB)
- Aplique a política ao cliente e verifique o
mar.log que você vê Exibir (por Exibirebug) relatando no registro. - Reproduza o problema ou execute a solução de problemas.
- Defina sua política de volta aos padrões quando a depuração for concluída.
- Abra a política do MVISION EDR.
- Clique no botão Ti e marque a caixa de seleção Ativar proteção de pasta de dados
- Clique no botão Efetua guia e defina Nível de registro Para INF.
- Clique no botão Logger na
- Definir Nível Para INF
- Definir Tamanho do buffer Para 20
- Definir Tamanho máximo do arquivo de log Para 10 (MB)
- Aplique a política ao seu cliente.
- Colete os registros conforme instruído pelo Suporte técnico.
Para coletar MERs do servidor ePO, do DXL agente e EDR cliente para o qual você está Solucionando problemas, consulte os seguintes recursos:
- servidor ePO: Guia de instruções do KB92065-ePO-MER.
- DO DXL agente: KB82851-como usar a ferramenta MER do Data Exchange Layer Server para Linux ou UNIX.
- Cliente EDR: ARTIGO KB59385-como usar as ferramentas do MER com produtos McAfee compatíveis.
Para obter documentos do produto, vá para o portal de documentação do produto.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: