Sul sistema gestito MVISION ePolicy Orchestrator (ePO), le tracce MVISION EDR possono essere inviate con la registrazione di debug del client DXL.
Client DXL: è un componente integrato di TA.
Eseguire i passaggi seguenti per abilitare la registrazione di debug del client DXL:
- Aprire il Catalogo delle policy e fare clic su McAfee DXL Client.
- Apri il criterio del client DXL.
- Nel riquadro di sinistra, fai clic su Impostazioni registro client.
- Selezionare l'opzione Abilita registrazione debug e fare clic su Salva.
- Applicare la politica.
I file di configurazione del client DXL sono i seguenti:
- DXL_local.config
Questo file viene utilizzato solo nell'ambiente MVISION ePO e nei sistemi installati con il broker locale DXL.
- DXL_property.config
Questo file contiene le informazioni sul broker DXL, le informazioni sul certificato del broker DXL, l'URL del cloud EDR e l'ID e la porta del broker DXL.
Invii di tracce MVISION EDR: l'agente MVISION EDR invia le tracce dal client tramite il componente client DXL.
Questo articolo spiega la registrazione di debug del client DXL per gli invii EDR.
Le dichiarazioni seguenti sono registrate nel file
dxl_service.log (
C:\ProgramData\McAfee\Data_Exchange_Layer\):
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: topic override version = 507
2022-06-20 12:03:06.217 [P15][Debug] DxlState: map size = 8
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceDataCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = traceEventCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/agent/syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = syncDataRequest
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultCompressed
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = aggSearchResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResult
2022-06-20 12:03:06.217 [P15][Debug] DxlState: key = /mcafee/mar/reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: value = reactionResultErrors
2022-06-20 12:03:06.217 [P15][Debug] DxlState: decode string 'Ac0B-9oANWh0dHBzOi8vYXBpLnNvYy5tY2FmZWUuY29tL2Nsb3VkcHJveHkvZGF0YWJ1cy9wcm9kdWNl'
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url proto version = 1
2022-06-20 12:03:06.217 [P15][Debug] DxlState: url = https://api.soc.mcafee.com/cloudproxy/databus/produce
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request called
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: on_request: topic '/mcafee/bridge/traceEventCompressed' serviceId '' timeout '10000' corrid 'a90eac01-643e-4111-8839-54cb8a510fbf'
2022-06-20 12:03:22.197 [P0][Debug] DxlMsgBusWorker: sendCloudEvent destination topic /mcafee/bridge/traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: m_cloudTokenTime 1655718940658637 timediff 461539240 m_cloudTokenTTL 600000000
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: process cloud event topic traceEventCompressed
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: encoded str:
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload string: {"byteCount":4236,"records":[{"message":{"headers":{"sourceId":"
"routingData":{"topic":"traceEventCompressed"}}]}
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: caPath = C:\ProgramData\McAfee\Data_Exchange_Layer\cloud_cacerts.cer
2022-06-20 12:03:22.197 [P16][Debug] DxlMsgBusWorker: payload size: 4405
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: cloud send succeeded
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rcode 204
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: rawlen = 0 rawdata =
2022-06-20 12:03:23.004 [P16][Debug] DxlMsgBusWorker: postCloudResponse called
Il client MVISION EDR invia un messaggio o traccia sull'argomento DXL:
"/mcafee/bridge/traceEventCompressed."
Poiché questa azione
"/mcafee/bridge/traceEventCompressed" fa parte dell'elenco di override, il i dati vengono inviati direttamente a
https://api.soc.mcafee.com/cloudproxy/databus/produce. Il codice di risposta ricevuto è
204 e il registro mostra il messaggio
"Cloud Send Succeeded".
Le informazioni sull'argomento per gli invii EDR vengono aggiornate nel file
DXL_property.config come di seguito:
TopicOverrides= Acz4CNoAIi9tY2FmZWUvYnJpZGdlL3RyYWNlRGF0YUNvbXByZXNzZWSzdHJhY2VEYXRhQ29tcHJlc3NlZNoAIy9tY2FmZWUvYnJpZGdlL3RyYWNlRXZlbnRDb21wcm
zc2VktHRyYWNlRXZlbnRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdlbnQvc3luY0RhdGFSZXF1ZXN0r3N5bmNEYXRhUmVxdWVzdLsvbWNhZmVlL21hci9hZ2dTZWFyY2hSZXN1bH
vYWdnU2VhcmNoUmVzdWx02gAlL21jYWZlZS9tYXIvYWdnU2VhcmNoUmVzdWx0Q29tcHJlc3NlZLlhZ2dTZWFyY2hSZXN1bHRDb21wcmVzc2Vk2gAhL21jYWZlZS9tYXIvYWdnU2Vhcm
NoUmVzdWx0RXJyb3JztWFnZ1NlYXJjaFJlc3VsdEVycm9yc7ovbWNhZmVlL21hci9yZWFjdGlvblJlc3VsdK5yZWFjdGlvblJlc3VsdNoAIC9tY2FmZWUvbWFyL3JlYWN0aW9uUmVzdWx0RX
Jyb3JztHJlYWN0aW9uUmVzdWx0RXJyb3Jz
Nella posizione EDR, le tracce inviate vengono crittografate tramite la riga dell'URL del cloud dal file
DXL_property.config :
CloudUrl=
Acz42gA1aHR0cHM6Ly9hcGkuc29jLm1jYWZlZS5jb20vY2xvdWRwcm94eS9kYXRhYnVzL3Byb2R1Y2U