Cómo solucionar problemas de conexión de detección de endpoints y respuesta
Artículos técnicos ID:
KB93645
Última modificación: 2021-09-27 12:08:44 Etc/GMT
Última modificación: 2021-09-27 12:08:44 Etc/GMT
Entorno
McAfee MVISION Endpoint detección y respuesta (EDR) 3.x
Problema
Puede ver uno o varios de los siguientes problemas:
/var/McAfee/dxlbroker/logs/IPE.log :
En el cliente de Windows,\%programdata%\mcafee\Mar\data\Mar.log , o bien el cliente de Linux o MAC, /var/McAfee/Mar/data/mar.log , verá el error:
\Server\logs\orion log :
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log bien /var/McAfee/dxl/DXL_service. log Enumere uno o varios de los errores siguientes:
- El contenido no se muestra en la página área de trabajo de supervisión de EDR.
- Las búsquedas en tiempo real no responden.
- Una amenaza activada no rellenará el panel.
- No hay servidores en la lista:
https://ui.soc.mcafee.com/support (or your geo logon)
SEÑALAR Recuerde quehttps://ui.soc.mcafee.com no es consciente de multigeo. Debe iniciar sesión en el administrador geográfico para ver los servidores conectados.
403 Forbidden Below minimum threshold 502 Bad Gateway
En el cliente de Windows,
Could not send traces to cloud.
vpc URL from DXL cloud databus is empty Expected URL scheme 'http' Error trying to connect with vpc Failed to provision with IAM
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log bien /var/McAfee/dxl/DXL_service. log Enumere uno o varios de los errores siguientes:
DxlMQTTConnection: waitForConnection: error = 10060 : A connection attempt failed An existing connection was forcibly closed by the remote host
Solución
- Compruebe que tiene las extensiones correctas instaladas y que están actualizadas:
- Abra el administrador de ePO y haga clic en Menú, Software, Prórroga.
- Debe tener instaladas las versiones más recientes de las siguientes extensiones. Instale y actualice las extensiones según sea necesario:
- Extensión de cliente de MVISION EDR
- MVISION EDR herramienta instantánea de endpoints
- Extensión de MVISION EDR
- Verifique que el tejido de DXL muestre Está:
- Pulsar Menú. Rúbrica Integrado pulsar Tejido de Data Exchange Layer.
- Ver la Fábrica carácter.
- Si el estado del tejido muestra Está, continúe con el paso siguiente.
- Si el estado del tejido muestra no hay ningún Broker conectado u otros problemas de conexión, consulte la sección "solución de problemas de instalación" en la guía de instalación de DXL.
- Los clientes de EDR se comunican a través de su intermediario de DXL con EDR. Los agentes de DXL deben conectarse correctamente al back-end IAM/EDR para que la comunicación funcione.
- Para cada uno de sus agentes DXL, confirme el tejido de DXL en busca de errores:
- Haga clic en el intermediario en el centro de la pantalla.
- Seleccione la opción Extensiones en la parte derecha de la pantalla.
- Compruebe si hay algún mensaje de error.
Los mensajes de error recientes muestran problemas con las alertas o las comunicaciones del cliente:- Resuelva los problemas de conectividad y, a continuación, prosiga con el siguiente paso.
- Si ve
"error while sending http request: UnknownHostException "- Compruebe que su DNS de DXL Broker puede resolver la URL de la API a la dirección IP (URL de la API desde el paso 4c):
- Para cada uno de sus agentes DXL, confirme el tejido de DXL en busca de errores:
Ejemplo: "nslookup api.soc.mcafee.com "
- Si experimenta problemas con la solución del problema, abra una solicitud de servicio.
- Compruebe la conectividad de Endpoint, en concreto, el estado de la conexión de DXL:
- Pulsar Árbol de sistemas, Seleccionar cliente, Realizar, DXL, Buscar en DXL.
- Ver el mensaje emergente.
El estado correcto es Estado de conexión = conectado.- Si ve el estado de Estado de conexión = conectado:
Vaya al paso 6-comprobación del puente de MVISION Cloud (configuración del servidor).
- Si ve el estado de Estado de conexión = no conectado
- Compruebe los registros de DXL para detectar errores:
Consulte la sección "solución de problemas de instalación" de la guía de instalación de Data Exchange Layer. - Si no puede resolver el error en los registros de DXL, debe recopilar datos antes de abrir una solicitud de servicio. Para obtener detalles, consulte: KB92052-datos necesarios para problemas de Data Exchange Layer (del cliente).
- Compruebe los registros de DXL para detectar errores:
- Si ve el estado de Estado de conexión = conectado:
- Compruebe la conectividad de Endpoint, en concreto, el estado de la conexión de DXL:
- Compruebe y establezca su DXL Cloud Databus (configuración del servidor), la URL y el proxy en su centro de datos adecuado.
- Abra el administrador de ePO.
- Pulsar Menú, Configuración del servidor, DXL Cloud Databus.
- Verifique que su centro de datos se llene con la información de ubicación correcta, tal y como se indica a continuación, corrija los errores que sean necesarios:
- EE.UU. Centro de datos de oeste: https://api.soc.mcafee.com/cloudproxy/databus/produce
- Centro de datos de Estados Unidos: https://api.soc.us-east-1.mcafee.com/cloudproxy/databus/produce
- Data Center de Frankfurt: https://api.soc.eu-central-1.mcafee.com/cloudproxy/databus/produce
- Centro de datos de Sydney: https://api.soc.ap-southeast-2.mcafee.com/cloudproxy/databus/produce
- Centro de datos de Canadá: https://api.soc.ca-central-1.mcafee.com/cloudproxy/databus/produce
- Confirme que sus firewalls y proxy Server permitan el acceso a las direcciones URL y los puertos indicados en la guía de instalación de EDR.
Configure los firewalls y los proxies para permitir que todo el tráfico que aparece en esta guía pase a través de.
- Verifique que el puente de MVISION Cloud (configuración del servidor) esté vinculado mediante el nombre de usuario y la contraseña correctos:
- Pulsar Menú, Configuración del servidor, Puente de MVISION Cloud.
- El estado esperado es:
Este servidor está vinculado
Si no ve lo anterior con el estado, debe volver a vincular la cuenta:- Elimine las siguientes extensiones:
- Extensión de MVISION EDR
- Puente de MVISION Cloud
- Vuelva a instalar la extensión de MVISION EDR.
SEÑALAR Esta acción instala el puente de MVISION Cloud.
- Vincule la cuenta con el usuario y la contraseña correctos.
- Elimine las siguientes extensiones:
- Vea la cuenta vinculada y asegúrese de que utiliza el nombre de usuario correcto para su cuenta.
Si la cuenta es incorrecta, edite la actual MVISION Cloud configuración de puente e inserte el nombre de usuario y la contraseña nuevos o correctos.
- Verifique la MVSION EDR (configuración del servidor) muestra el estado de Conexión correcta.
- Pulsar Menú, Configuración del servidor, Configuración de MVISION EDR.
- Vea los servicios de MVISION EDR Cloud.
El estado esperado es:
Estado de la conexión = Conexión correcta
Estado de supervisión = ocurre
Si no ve esta configuración, consulte laorion.log para obtener errores y buscar soluciones para estos errores en el base de conocimiento. De lo contrario, continúe con la solución de problemas.
- Verifique que la configuración de NTP entre EPO y DXL Broker esté establecida y que no haya un retraso entre el reloj de tiempo actual.
Configure los relojes de cada servidor de forma que coincidan sin diferencia entre ellos.
- Compruebe que al menos uno o varios clientes de EDR estén desplegados con el complemento de rastreo activado:
- Seleccione el árbol de sistemas con EDR instalado.
- Consulte Detalles del sistema, Productos para MVISION EDR.
- En la Productos , haga clic en MVISION EDR.
- Rúbrica Complementos, confirme que el TraceScanner está notificando como Permiti.
- Rúbrica Propiedades de EDR, verifique que la última comunicación de rastreo sea actual (menos de una hora).
- Si ve errores o no hay ningún informe de trazas:
Active el registro de depuración (consulte la información relacionada), reproduzca los problemas y compruebe los clientes.mar.log archivo en busca de problemas.
- Si no aparecen errores y el estado es Ecológico
Continúe con el paso 10.
- Si no aparece ningún error y el estado es Componentes
Asegúrese de que la configuración esté activada para el rastreo.
Para obtener información, consulte la sección "configuración de directiva de rastreo" en la guía del producto de EDR.
- Si ve errores o no hay ningún informe de trazas:
- Compruebe que el servidor de ePO aparezca en la página compatibilidad con el administrador de EDR:
- EE.UU. Centro de datos de oeste
- Centro de datos de EE.
- Centro de datos de Frankfurt
- Centro de datos de Sydney
- Centro de datos de Canadá
- Si aparecen errores o si el servidor no aparece en la lista:
Compruebe elorion.log asíIPE.log para obtener errores y buscar soluciones para estos errores en el base de conocimiento.
- Si ve ePO conectado a la página de soporte, pero las trazas siguen sin llegar a la nube:
- Abra una sesión de línea de comandos en el agente que ejecuta IPE.
- Verifique que todas las comunicaciones con la API se abran correctamente desde DXL Broker:
- Si está detrás de un proxy:
Escribacurl -x proxy:port -v -X POST -H "Content-Type:application/json; charset=utf-8" (paso 4c)> y pulse Intro. - Si no está detrás de un servidor de proxy:
Escribacurl -v -X POST -H "Content-Type:application/json; charset=utf-8" y pulse Intro.
- Si está detrás de un proxy:
- Vea el resultado del comando anterior. Una búsqueda correcta contiene lo siguiente:
CONNECT api.soc.eu-central-1.mcafee.com:443 HTTP/1.1
Host: api.soc.eu-central-1.mcafee.com:443
User-Agent: curl/7.29.0
Proxy-Connection: Keep-Alive
Content-Type:application/json; charset=utf-8
HTTP/1.0 200 Connection established
Proxy replied OK to CONNECT request
Successfully set certificate verify locations:
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
* subject: C=US; postalCode=97006; ST=OR; L=BEAVERTON; street=SUITE 100; street=20460 NW VON NEUMANN DRIVE; O=McAfee, Inc.; OU=Engineering; OU=Hosted by McAfee Inc.; OU=Multi-Domain SSL; CN=ui.soc.mcafee.com
* start date: 2019-05-22 00:00:00 GMT
* expire date: 2021-05-21 23:59:59 GMT
* subjectAltName: api.soc.eu-central-1.mcafee.com matched
* issuer: C=US; ST=CA; L=Santa Clara; O=McAfee, Inc.; CN=McAfee OV SSL CA 2
* SSL certificate verify ok.
POST /cloudproxy/databus/produce HTTP/1.1
User-Agent: curl/7.29.0
Host: api.soc.eu-central-1.mcafee.com
Accept: */*
Content-Type:application/json; charset=utf-8
- Si aparecen errores o si el servidor no aparece en la lista:
- Si ve una respuesta diferente o Conexión no válida :
Compruebe si está activada la inspección de SSL (es posible que deba recurrir al equipo de la red para que la verifique).
SEÑALAR La inspección de SSL no es compatible con EDR. - Si observa la salida anterior, el problema se ha resuelto.
- Si aún tiene problemas, abra una solicitud de servicio.
Información relacionada
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Ubicaciones de registro predeterminadas:
- Registro de MAR (cliente de EDR)
C:\ProgramData\McAfee\MAR\data\Mar.log
- Registro de Orion (servidor de EPO):
\server\logs\orion.log
- Registros de DXL Broker (DXL Broker):
/var/McAfee/dxlbroker/logs/dxlbroker.log
- Registros de servicio de DXL (agente de DXL):
var/McAfee/dxl/DXL_service.log
- Registros de IPE (agente DXL):
/var/McAfee/dxlbroker/logs/ipe.logs
Cómo activar registro de depuración de EDR:
- Abra la Directiva de MVISION EDR.
- Haga clic en la Obtener ficha y anule la selección de la casilla de verificación Active la protección de carpetas de datos.
- Haga clic en la Oligoelemento ficha y establecer Nivel de registro Para Depuración.
- Haga clic en la Logger pestaña
- Definición Nivela Para Depuración.
- Definición Tamaño del búfer Para 1
- Definición Tamaño máximo del archivo de registro Para 50 (MB)
- Aplique la Directiva a su cliente y verifique en la
mar.log que aparece D (por Debug) generación de informes en el registro. - Reproduzca el problema o lleve a cabo la solución de problemas.
- Establezca la Directiva de nuevo a los valores predeterminados cuando se complete la depuración.
- Abra la Directiva de MVISION EDR.
- Haga clic en la Obtener y seleccione la casilla de verificación correspondiente Activar protección de carpetas de datos
- Haga clic en la Oligoelemento ficha y establecer Nivel de registro Para Informaciones.
- Haga clic en la Logger pestaña
- Definición Nivela Para Informaciones
- Definición Tamaño del búfer Para 20
- Definición Tamaño máximo del archivo de registro Para 10 (MB)
- Aplique la Directiva a su cliente.
- Recopile los registros según lo indicado en Soporte técnico.
Para recopilar el servidor de ePO, el agente de DXL y el cliente de EDR que está solucionando, consulte los siguientes recursos:
- servidor de ePO: KB92065-ePO-guía de tutoriales MER.
- DXL Broker: KB82851-cómo utilizar la herramienta MER del servidor de Data Exchange Layer para Linux o UNIX.
- Cliente de EDR: EL artículo KB59385-cómo utilizar herramientas de MER con productos de McAfee compatibles.
Para obtener los documentos del producto, vaya al portal de documentación del producto.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: