Adaptive Threat Protection cache reset at every policy enforcement
Last Modified: 7/24/2022
Affected Products
Languages:
This article is available in the following languages:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Adaptive Threat Protection cache reset at every policy enforcement
Technical Articles ID:
KB95290
Last Modified: 7/24/2022 Environment
Endpoint Security (ENS) Adaptive Threat Protection (ATP) 10.x
Problem
When you modify five or more ENS ATP rules, the ATP cache is reset on every policy enforcement. This issue causes higher network traffic to the Global Threat Intelligence (GTI) cloud or Threat Intelligence Exchange (TIE) Server for file reputation requests. On the TIE Server, this issue can also cause a high CPU load. Steps to verify whether you have this issue:
2022-02-09 09:35:30.326Z |Activity|Orchestrator |mfeatp | 10228| 9628|OES |scan_orchestrator.cpp(1087) | Configuring AAC policy 2022-02-09 09:35:30.342Z |Activity|Orchestrator |mfeatp | 10228| 9628|OES |scan_orchestrator.cpp(1123) | Adaptive Threat Protection is Enabled 2022-02-09 09:35:31.842Z |Activity|Orchestrator |mfeatp | 10228| 9628|JTI |jti_native.cpp(687) | Detected JTI configuration change, clearing JCM cache 2022-02-09 09:36:00.580Z |Activity|Orchestrator |mfeatp | 10228| 3500|JTI |jti_native.cpp(687) | Detected JTI configuration change, clearing JCM cache Cause
A specific ATP rule doesn't cause this issue. The issue occurs due to the number of ATP rules with the status being changed from default. If you change five or more ATP rules from default to observe, enable, or disabled, the ATP cache reset occurs on each policy enforcement. The issue doesn't occur if you set five ATP rules to a mix of observe, enable, or disabled.
Solution
This issue is resolved in the ENS 10.7.0 June 2022 Update. O software, os upgrades, as versões de manutenção e a documentação do produto estão disponíveis no site de downloads de produtos.
NOTA: você precisará de um Número de concessão válido para o acesso. Consulte KB56057-como download as atualizações e a documentação de produtos Enterprise para obter mais informações sobre o site de downloads de produtos e locais alternativos para alguns produtos. Workaround 1
Reduce the number of ATP rules modified from default to a maximum of four modified rules with the same state:
Workaround 2
Change the ATP Rule Assignment from Balanced to Productivity:
Affected ProductsLanguages:This article is available in the following languages: |
|