Come risolvere i problemi di rilevamento endpoint e connessione di risposta
Articoli tecnici ID:
KB93645
Ultima modifica: 2021-09-23 20:36:16 Etc/GMT
Ultima modifica: 2021-09-23 20:36:16 Etc/GMT
Ambiente
Rilevamento e risposta di McAfee MVISION Endpoint (EDR) 3.x
Problema
Viene visualizzato uno o più dei seguenti problemi:
/var/McAfee/dxlbroker/logs/IPE.log :
Nel client Windows,\%programdata%\mcafee\Mar\data\Mar.log o il client Linux o MAC, /var/McAfee/Mar/data/mar.log , viene visualizzato l'errore:
\Server\logs\orion log :
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log o /var/McAfee/dxl/DXL_service. log elencare uno o più errori:
- Il contenuto non viene visualizzato nella pagina area di lavoro di monitoraggio EDR.
- Le ricerche in tempo reale non rispondono.
- Una minaccia attivata non popola il dashboard.
- Nessun server elencato in:
https://ui.soc.mcafee.com/support (or your geo logon)
Nota Ricorda chehttps://ui.soc.mcafee.com non è multigeo a saperlo. Per consultare i server connessi, è necessario accedere a Geo Manager.
403 Forbidden Below minimum threshold 502 Bad Gateway
Nel client Windows,
Could not send traces to cloud.
vpc URL from DXL cloud databus is empty Expected URL scheme 'http' Error trying to connect with vpc Failed to provision with IAM
\ProgramData\McAfee\ Data_Exchange_Layer \ dxl_service. log o /var/McAfee/dxl/DXL_service. log elencare uno o più errori:
DxlMQTTConnection: waitForConnection: error = 10060 : A connection attempt failed An existing connection was forcibly closed by the remote host
Soluzione
- Verificare che siano installate le estensioni corrette e che siano aggiornate:
- Aprire il gestore di ePO e fare clic su Menu, Software, Estensioni.
- È necessario che siano installate le versioni più recenti delle seguenti estensioni. Installare e aggiornare le estensioni in base alle esigenze:
- MVISION EDR estensione client
- MVISION EDR strumento snapshot endpoint
- Estensione MVISION EDR
- Verifica che il tuo tessuto DXL mostri Collegato:
- Fare clic su Menu. In Sistema fare clic su Infrastruttura Data Exchange Layer.
- Visualizza il Infrastruttura stato.
- Se lo stato del tessuto Mostra Collegato, passare al passaggio successivo.
- Se lo stato del tessuto Mostra Nessun broker collegato o altri problemi di connessione, consultare la sezione "risoluzione dei problemi di installazione" nella Guida all'installazione di DXL.
- I client EDR comunicano tramite il vostro broker DXL a EDR. I broker DXL devono collegarsi al back-end IAM/EDR in modo che le comunicazioni funzionino correttamente.
- Per ciascuno dei vostri broker DXL, confermate la presenza di errori nel tessuto DXL:
- Fare clic sul broker nella parte centrale della schermata.
- Selezionare il Estensione nella parte destra della schermata.
- Verificare se sono presenti messaggi di errore.
I messaggi di errore recenti mostrano problemi con la comunicazione client o gli avvisi:- Risolvere eventuali problemi di connettività, quindi passare al passaggio successivo.
- Se viene visualizzato
"error while sending http request: UnknownHostException "- Verificare che il DNS broker DXL può risolvere l'URL dell'API in indirizzo IP (URL API dal passaggio 4c):
- Per ciascuno dei vostri broker DXL, confermate la presenza di errori nel tessuto DXL:
Esempio: "nslookup api.soc.mcafee.com "
- Se si verificano problemi relativi alla risoluzione delle problematiche, aprire una richiesta di assistenza.
- Verificare la connettività degli endpoint, in particolare lo stato della connessione DXL:
- Fare clic su Struttura dei sistemi, Seleziona client, Azioni, DXL, Cerca in DXL.
- Visualizzare il messaggio popup.
Lo stato corretto è Stato connessione = connesso.- Se viene visualizzato lo stato di Stato connessione = connesso:
Andare al passaggio 6-verificare il MVISION Cloud bridge (impostazioni del server).
- Se viene visualizzato lo stato di Stato connessione = non connesso
- Verificare la presenza di errori nei registri di DXL:
Per ulteriori informazioni, consultare la sezione "risoluzione dei problemi di installazione" della Guida all'installazione di Data Exchange Layer. - Se non è possibile risolvere l'errore nei registri di DXL, è necessario raccogliere i dati prima di aprire una richiesta di assistenza. Per informazioni dettagliate, consultare: KB92052-dati necessari per i problemi di Data Exchange Layer (lato client).
- Verificare la presenza di errori nei registri di DXL:
- Se viene visualizzato lo stato di Stato connessione = connesso:
- Verificare la connettività degli endpoint, in particolare lo stato della connessione DXL:
- Verificare e impostare il DXL cloud DataBus (impostazioni del server), l'URL e il proxy nel centro dati appropriato.
- Aprire il gestore ePO.
- Fare clic su Menu, Impostazioni del server, DXL cloud DataBus.
- Verificare che il Data Center sia popolato con le informazioni corrette sulla posizione elencate di seguito, correggere eventuali errori in base alle esigenze:
- degli Stati Uniti West Data Center — https://api.soc.mcafee.com/cloudproxy/databus/produce
- Centro dati di U. S East: https://api.soc.us-east-1.mcafee.com/cloudproxy/databus/produce
- Centro dati di Francoforte: https://api.soc.eu-central-1.mcafee.com/cloudproxy/databus/produce
- Centro dati di Sydney: https://api.soc.ap-southeast-2.mcafee.com/cloudproxy/databus/produce
- Canada Data Center: https://api.soc.ca-central-1.mcafee.com/cloudproxy/databus/produce
- Verificare che il firewall e il server di proxy consentano l'accesso agli URL e alle porte elencati nella Guida all'installazione di EDR.
Configurare i firewall e i proxy per consentire tutto il traffico elencato nella Guida in corso.
- Verificare che il MVISION Cloud bridge (impostazioni del server) sia collegato utilizzando il nome utente e il password appropriati:
- Fare clic su Menu, Impostazioni del server, Ponte MVISION Cloud.
- Lo stato previsto è:
Il server è collegato
Se non si vede quanto sopra come stato, ricollegare l'account:- Rimuovere le seguenti estensioni:
- Estensione MVISION EDR
- Ponte MVISION Cloud
- Reinstallare l'estensione MVISION EDR.
Nota Questa azione consente di installare il bridge di MVISION Cloud.
- Collegare l'account con l'utente e il password corretti.
- Rimuovere le seguenti estensioni:
- Visualizzare l'account collegato e assicurarsi che utilizzi il nome utente corretto per l'account.
Se l'account non è corretto, modificare l'attuale Impostazioni di MVISION Cloud Bridge e inserire il nome utente e il password nuovi o corretti.
- Verificare la MVSION EDR (impostazioni del server) Mostra lo stato di Connessione riuscita.
- Fare clic su Menu, Impostazioni del server, Impostazioni MVISION EDR.
- Visualizzare i servizi di MVISION EDR cloud.
Lo stato previsto è:
Stato connessione = Connessione riuscita
Stato monitoraggio = true
Se non vengono visualizzate queste impostazioni, visualizzare ilorion.log per gli errori e cercare le soluzioni per tali errori nella Knowledge base. In caso contrario, continuare la risoluzione dei problemi.
- Verificare che le impostazioni NTP tra EPO e broker DXL siano impostate e che non vi sia alcun ritardo tra l'ora corrente.
Configurare gli orologi in ogni server corrispondono allo stesso tempo senza alcuna differenza tra di essi.
- Verificare che almeno uno o più client EDR siano distribuiti con la plug-in di traccia attivata:
- Selezionare la struttura dei sistemi con EDR installato.
- Mostra Dettagli sistema, Prodotti per MVISION EDR.
- Nella pagina Prodotto , fare clic su MVISION EDR.
- In plug-in, confermare che TraceScanner segnala come Abilitato.
- In Proprietà EDR, verificare che l'ultima comunicazione di traccia sia aggiornata (meno di un'ora).
- Se vengono visualizzati errori o non sono presenti segnalazioni di tracce:
Attivare la registrazione di debug (vedere informazioni correlate), riprodurre i problemi e controllare i clientmar.log file per problemi.
- Se non vengono visualizzati errori e lo stato è Verde
Procedere al passaggio 10.
- Se non si riscontrano errori e lo stato è Rosso
Assicurarsi che le impostazioni siano attivate per la tracciatura.
Per informazioni, consultare la sezione "Trace Policy Configuration" nella guida del prodotto EDR.
- Se vengono visualizzati errori o non sono presenti segnalazioni di tracce:
- Verificare che il server ePO sia elencato nella pagina assistenza di EDR Manager:
- degli Stati Uniti Centro dati ovest
- Centro dati di U. S East
- Centro dati di Francoforte
- Centro dati di Sydney
- Canada Data Center
- Se si verificano errori o se il server non è elencato:
Controllare laorion.log eIPE.log per gli errori e cercare le soluzioni per tali errori nella Knowledge base.
- Se si vede ePO connesso alla pagina di assistenza, ma le tracce ancora non raggiungono il cloud:
- Aprire una sessione della riga di comando sul broker che esegue IPE.
- Verificare che tutte le comunicazioni all'API siano state aperte correttamente dal broker DXL:
- Se si è dietro un proxy:
Tipocurl -x proxy:port -v -X POST -H "Content-Type:application/json; charset=utf-8" (passaggio 4c)> e premere INVIO. - Se non si è dietro un server proxy:
Tipocurl -v -X POST -H "Content-Type:application/json; charset=utf-8" e premere INVIO.
- Se si è dietro un proxy:
- Visualizzare l'output del comando precedente. Una ricerca corretta contiene quanto segue:
CONNECT api.soc.eu-central-1.mcafee.com:443 HTTP/1.1
Host: api.soc.eu-central-1.mcafee.com:443
User-Agent: curl/7.29.0
Proxy-Connection: Keep-Alive
Content-Type:application/json; charset=utf-8
HTTP/1.0 200 Connection established
Proxy replied OK to CONNECT request
Successfully set certificate verify locations:
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
* SSLv3, TLS handshake, Finished (20):
* SSL connection using ECDHE-RSA-AES128-GCM-SHA256
* Server certificate:
* subject: C=US; postalCode=97006; ST=OR; L=BEAVERTON; street=SUITE 100; street=20460 NW VON NEUMANN DRIVE; O=McAfee, Inc.; OU=Engineering; OU=Hosted by McAfee Inc.; OU=Multi-Domain SSL; CN=ui.soc.mcafee.com
* start date: 2019-05-22 00:00:00 GMT
* expire date: 2021-05-21 23:59:59 GMT
* subjectAltName: api.soc.eu-central-1.mcafee.com matched
* issuer: C=US; ST=CA; L=Santa Clara; O=McAfee, Inc.; CN=McAfee OV SSL CA 2
* SSL certificate verify ok.
POST /cloudproxy/databus/produce HTTP/1.1
User-Agent: curl/7.29.0
Host: api.soc.eu-central-1.mcafee.com
Accept: */*
Content-Type:application/json; charset=utf-8
- Se si verificano errori o se il server non è elencato:
- Se viene visualizzata una risposta diversa o Connessione non valida errore
Verificare se l'ispezione SSL è attivata (potrebbe essere necessario coinvolgere il team di rete per verificare).
Nota L'ispezione SSL non è supportata per EDR. - Se viene visualizzato l'output di cui sopra, il problema viene risolto.
- Se si verificano ancora problemi, aprire una richiesta di assistenza.
Informazioni correlate
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Posizioni di registro predefinite:
- MAR log (client EDR)
C:\ProgramData\McAfee\MAR\data\Mar.log
- Registro Orion (server EPO):
\server\logs\orion.log
- Registri broker DXL (broker DXL):
/var/McAfee/dxlbroker/logs/dxlbroker.log
- Registri dei servizi DXL (broker DXL):
var/McAfee/dxl/DXL_service.log
- Registri IPE (broker DXL):
/var/McAfee/dxlbroker/logs/ipe.logs
Come attivare la registrazione di debug EDR:
- Aprire la policy di MVISION EDR.
- Fare clic sul pulsante Generale nella scheda e deselezionare la casella di controllo Attiva protezione cartelle dati.
- Fare clic sul pulsante Traccia scheda e imposta Livello di registro A Debug.
- Fare clic sul pulsante Logger scheda
- Impostare Livello A Debug.
- Impostare Dimensione del buffer A 1
- Impostare Dimensione massima del file di registro A 50 (MB)
- Applicare la policy al client e verificare nella
mar.log che si vede D (per Debug) che segnala nel registro. - Riprodurre il problema o eseguire la risoluzione dei problemi.
- Quando viene completato il debug, impostare il policy di nuovo su impostazioni predefinite.
- Aprire la policy di MVISION EDR.
- Fare clic sul pulsante Generale e selezionare la casella di controllo per Attiva protezione cartelle dati
- Fare clic sul pulsante Traccia scheda e imposta Livello di registro A Informazioni.
- Fare clic sul pulsante Logger scheda
- Impostare Livello A Informazioni
- Impostare Dimensione del buffer A 20
- Impostare Dimensione massima del file di registro A 10 (MB)
- Applicare la policy al client.
- Raccogliere i registri come indicato da Assistenza tecnica.
Per raccogliere MERs dal server ePO, dal broker DXL e dal client EDR che si sta risolvendo la risoluzione dei problemi, consultare le seguenti risorse:
- server ePO: Guida di KB92065-ePO-MER Walkthrough.
- Broker DXL: KB82851-come utilizzare lo strumento MER Data Exchange Layer server per Linux o UNIX.
- Client EDR: L'articolo KB59385-come utilizzare gli strumenti MER con i prodotti McAfee supportati.
Per i documenti del prodotto, accedere al portale della documentazione del prodotto.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: