En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Firewall Endpoint Security for Linux (ENSLFW) 10.x
Prevención de amenazas Endpoint Security for Linux (ENSLTP) 10.x
Resumen
A continuación se indican los pasos de solución de problemas de ENSL comunes.
Contenido Haga clic para expandir la sección que desee ver:
Para ayudar a Soporte técnico solucionar un problema con ENSLTP o ENSLFW, recopile los datos siguientes.
Recopile un archivo de requisitos mínimos de escalación de ENSLTP o ENSLFW (MER). MER es el mínimo de datos necesarios para clasificar un problema y proporcionar los siguientes pasos de acción.
Para generar una MER de ENSLTP, ejecute el siguiente comando:
/opt/McAfee/ens/tp/scripts/mfetp-mer.sh
Este comando crea el archivo mfetp-mer_.*.tar de Mer.
Para generar una MER de ENSLFW, ejecute el siguiente comando:
/opt/McAfee/ens/fw/scripts/mfefw-mer.sh
Este comando crea el archivo mfw-mer_.*.tar de Mer.
Además, si procede, puede recopilar los datos siguientes.
Para un problema relacionado con la funcionalidad, activar los registros de depuración, reproduzca el problema y, a continuación, Capture el archivo de Mer. Los registros detallados ayudan a acotar su origen e identifican la causa de origen. Para activar registros de depuración, ejecute el siguiente comando:
/opt/McAfee/ens/tp/bin/mfetpcli --debuglog enable
Por un problema relacionado con el rendimiento, necesitamos conocer las actividades de análisis de OAS (OAS) que se producen en el sistema para informar sobre opciones de configuración adecuadas. Para activar el registro de actividades de OAS, ejecute el siguiente comando:
Para un problema relacionado con la actualización de DAT o la actualización de directivas, activar registro de depuración de Trellix Agent (TA), reproduzca el problema y, a continuación, capture el archivo de Mer. Active el registro de depuración de TA en la consola de ePolicy Orchestrator (ePO) en Trellix Agent, General, mi valor predeterminado, ficha registro , Seleccionar registro detallado.
El analizador de vulnerabilidades de contenedor ( MFECVS ) es una herramienta de línea de comandos. Puede utilizar la herramienta para realizar las siguientes acciones:
Muestra las imágenes en un concentrador de acoplamiento o registro privado del acoplador.
Analizar en busca de vulnerabilidades en las imágenes de acoplamiento en un concentrador de acoplamiento o registro privado acoplador.
Pasos para solucionar MFECVS problemas relacionados:
Confirme que la configuración del mfecvs.yaml archivo sea correcta. Por ejemplo, Compruebe la Convención de nombre de usuario y la sintaxis del archivo YAML.
mfecvs.yaml archivo de muestra:
#Copyright (C) 2020 McAfee, LLC. All Rights Reserved.
# Sample User config file
# Array of registries
# Registry is an object of name, url and username of string type
# Add the details of only private registries.
# For listing/scanning docker hub images, do not pass registry(-r) flag to the cli.
registries:
- name: DockerHub
#url is the url for the registry
url: https://registry.hub.docker.com
#username is the user of the registry
username: YourDockerHubUsername
#name is the name of the registry which is referred to by the -r flag in cli
- name: Docker Private Registry
#url is the url for the registry
url: https://your.registry.domain.com
#username is the user of the registry
username: YourUsername
Compruebe si la MFECVS herramienta admite el registro. La herramienta solo es compatible con los registros privados del acoplador (el registro que utiliza la API del concentrador de acoplamiento).
Compruebe el mfecvs.log archivo de registro en busca de errores y Depure el problema. Por ejemplo, es posible que el sistema esté restringido frente a conexiones externas. Esta configuración provoca que el analizador falle, ya que genera un informe de vulnerabilidades mediante el envío de datos de imagen a Trellix Cloud.
Utilice las instrucciones que se indican a continuación para cada plataforma Linux.
De forma predeterminada, en los sistemas con arranque seguro activado, no se cargan todos los módulos de kernel de ENSL porque no están firmados. Solo se pueden cargar módulos de kernel firmados en estos sistemas.
Por lo tanto, todos los módulos de kernel deben estar firmados con una clave privada y autenticarse con la correspondiente clave pública. Este tema se aplica a las siguientes plataformas: RHEL (kernel basado en módulos) y SLES/Ubuntu (basado en Fanotify).
El archivo DAT se actualiza en los sistemas a diario. Si el sistema no obtiene las actualizaciones de DAT más recientes, compruebe lo siguiente:
Inicie sesión en la consola de ePO. Asegúrese de que la pestaña tareas cliente asignadas tenga una tarea de actualización para actualizar el contenido de los archivos DAT, motor y prevención de exploits todos los días.
Asegúrese de que el estado de planificación de la tarea de actualización sea "activado" y el tipo de planificación sea "todos los días."
Asegúrese de que los repositorios estén activados en la Directiva del repositorio de Trellix Agent.
Asegúrese de que su sistema pueda acceder a la Página Web de DAT (https://Update.nai.com/products). En caso contrario, es posible que tenga que comprobar la configuración de red. ENSLTP requiere una inestabilidad de Internet para completar el proceso de actualización. Una mala conexión a Internet puede detener el proceso y provocar un error de actualización.
Compruebe si alguna regla Firewall está bloqueando la comunicación entre el sistema y ePO.
Busque errores de descarga o errores de conexión en /var/McAfee/agent/logs/McScript.log .
Compruebe si el sistema tiene suficiente espacio en la unidad. ENSLTP necesita espacio libre de al menos 4 GB en la unidad que contenga /var .
Cuando se instala ENSL, se crean dos tareas de bajo demanda de forma predeterminada, es decir, análisis rápido y análisis completo. Si el sistema Linux está gestionado por ePO, puede modificar las propiedades/atributos de estas tareas cambiando la Directiva de ODS asignada al sistema. En una instalación independiente, no es posible realizar cambios. Es posible la creación y eliminación de análisis bajo demanda personalizados tanto en instalaciones administradas como en no gestionadas. Ajustes generales problemas detectados con las tareas de ODS son: ODS no se está iniciando y ODS permanece en estado de ejecución. Consulte a continuación para obtener los pasos de solución de problemas de cada uno de estos escenarios.
Cómo solucionar problemas cuando el ODS no está iniciándose:
Compruebe si se están ejecutando todos los servicios de ENSL. Utilice el comando ps -eaf | grep -i mfetp :
Compruebe si hay alguna otra tarea de actualización o bajo demanda en ejecución. Enumere las tareas mediante el siguiente comando:
#/opt/McAfee/ens/tp/bin/mfetpcli --listtasks
Compruebe el estado de las tareas. Si alguna tarea se encuentra en estado iniciado, en ejecución o en detención, no se iniciará otra tarea de ODS.
Compruebe si la tarea de ODS tiene configurado el límite de CPU y si el sistema no activar cgroups . Compruebe la información de la tarea de ODS con el siguiente comando:
Si el valor establecido para "límite máximo de CPU" es inferior a 100, el consumo de CPU de la tarea ODS es limitado. Comprobación /var/log/messages y /var/McAfee/ens/log/tp/mfetpd.log para errores de error relacionados cgroups con.
Para depurar problemas de inicio de ODS, busque errores o errores en los siguientes archivos de registro:
Cómo solucionar el problema cuando bajo demanda sigue en estado de ejecución:
Compruebe el administrador de ODS y el recopilador de ODS de los procesos. Utilice el top comando or ps para ver los procesos de ODS.
Si el administrador de ODS se cierra y el recopilador permanece, es el problema.
Si solo se está ejecutando el administrador de ODS pero no hay actividad de análisis, compruebe el registro de informes de ODS. Compruebe si ENSL está tardando tiempo en generar el informe final. Los registros de informes de ODS se escriben en /var/McAfee/ens/log/tp/odsreport/ .
Compruebe si la tarea de ODS tiene un tiempo de análisis máximo establecido en un valor alto. Enumere la información de la tarea de ODS mediante el siguiente comando:
Compruebe el valor del parámetro "tiempo máximo de análisis" establecido en segundos. De forma predeterminada, el valor es 45 segundos y puede establecer el valor entre 10 y 9999 segundos. Un valor mayor en el tiempo de espera del análisis indica archivos más grandes; ODS sigue analizando hasta que transcurre el tiempo. El tiempo de finalización de ODS aumenta.
Para depurar cuando el ODS permanezca en estado de ejecución, busque errores en los siguientes archivos de registro:
Cuando se aplica una directiva de ePO a un sistema Linux, TA comprueba si existen cambios en los parámetros especificados en la Directiva en comparación con la configuración del sistema. Si la configuración no coincide, TA implementa la Directiva. Si cambia algo en la directiva existente, los cambios se aplicarán tras una actualización de directiva comunicación de agente de activación. En ocasiones, la Directiva del cliente de ENSL no se actualiza con los valores establecidos en ePO. Siga los pasos de solución de problemas que se indican a continuación.
Compruebe si hay disponible una conexión de red entre ePO y el cliente de ENSL. Utilice la opción "ping" tras seleccione el sistema en el árbol de sistemas de ePO. Realice un agente de activación desde ePO y un agente de activación inversa desde el cliente de ENSL. Compruebe si el campo "última comunicación de" se ha actualizado en el árbol de sistemas de ePO para el cliente de ENSL. Para realizar un agente de activación inversa, ejecute el siguiente comando:
# /opt/McAfee/agent/bin/cmdagent -p
TA obtiene la Directiva de ePO y la envía al producto gestionado, en este caso, ENSL. Compruebe los siguientes archivos en busca de mensajes de error o errores para descargar la Directiva o aplicarla en el cliente de ENSL.
Compruebe si alguna regla Firewall está bloqueando la comunicación de ePO a TA en el puerto 8081. Ejecute el comando siguiente:
iptables -L
Compruebe si la Directiva está dañada. Podrían producirse daños debido a la superposición de una directiva entre distintas funciones de ENSL. Para comprobar si hay una superposición, en la consola de ePO, vaya a Catálogo de directivas y exporte la Directiva a un archivo XML. Abra el archivo XML en cualquier navegador. Compruebe si existe alguna configuración relacionada con OAS en las directivas prevención de exploit/protección de acceso o viceversa.
no se admite el despliegue de ePO de los paquetes de ENSL y TA SELinux. Por lo tanto, debe instalar los paquetes de forma manual. Si encuentra algún problema, siga los pasos que se indican a continuación:
Compruebe si están instalados los siguientes paquetes de SELinux de ENSL compatibles:
(Solo versiones de RHEL 8.x ) McAfeeENS-selinux-10.7.3-1.el8.noarch.rpm
(Solo versiones de RHEL 7.x ) McAfeeENS-selinux-10.7.3-1.el7.noarch.rpm
Compruebe si están instalados los siguientes paquetes de TA SELinux compatibles:
(Solo versiones de RHEL 8.x ) MFEma-selinux-5.7.0-1.el8.noarch.rpm
(Solo versiones de RHEL 7.x )
MFEma-selinux-5.7.0-1.el7.noarch.rpm
Nota: Las versiones de RHEL 6.x no son compatibles, por lo que los paquetes de SELinux no se pueden instalar en ningún sistema de versiones de RHEL 6.x .
Compruebe la siguiente "matriz" de confinamiento compatible y los paquetes que debe instalar de esa forma:
Modo de SELinux de TA
Modo de ENSLTP de SELinux
Con?
No confinado
Limitadas
No
No confinado
No confinado
Sí
Limitadas
Limitadas
Sí
Limitadas
No confinado
Sí
Compruebe si hay alguna "denegados" errores de TA o ENSLTP en el /var/log/audit/audit.log archivo.
Existen varias razones por las que la protección de acceso, prevención de exploit o OAS no está activada. Consulte cada una de las causas siguientes.
Módulo de kernel no admitido:
Para activar protección de acceso, prevención de exploit o OAS, ENSL kernel módulos se cargan en el sistema. Si no se cargan los módulos de kernel, estos componentes pueden fallar.
Vea los siguientes archivos de registro y compruebe si el módulo kernel es compatible.
módulos de kernel no están firmados en un entorno de arranque seguro
Los módulos de kernel de ENSL no están firmados de forma predeterminada. Los sistemas con arranque seguro habilitado cargan solo los módulos de kernel firmados. Por lo tanto, los módulos de kernel de ENSL no firmados no se cargan en estos sistemas.
Compruebe la existencia del problema de firma en el /var/McAfee/ens/log/tp/mfetpd.log archivo.
Nov 09 15:26:28 test.os.com ERROR FileAccessEventKernelImpl [1182] Module insertion Failed with errorRequired key not available
Presencia de varias versiones del mismo módulo kernel
Si una desinstalación anterior de ENSL no se había realizado correctamente, podría haber varias versiones del mismo módulo kernel que se cargan.
Si oas no está activado:
Compruebe si el mfe_fileaccess módulo está cargado o no con el siguiente comando. No debe haber varias instancias del mfe_fileaccess módulo cargadas tal y como se muestra a continuación. Solo debería haber una instancia del mfe_fileaccess módulo cargada.
Si la protección de acceso/prevención de exploit no está activada:
Compruebe si el mfe_aac módulo está cargado o no con el siguiente comando. No debe haber varias instancias del mfe_aac módulo cargadas tal y como se muestra a continuación. Solo debería haber una instancia del mfe_aac módulo cargada.
La presencia de módulos antiguos indica que la desinstalación de ENSL no se ha realizado correctamente. Para resolver el problema, realice una limpieza manual:
Ejecute el siguiente comando:
/opt/McAfee/ens/tp/scripts/uninstall-mfetp.sh
Vuelva a instalar ENSL.
Vuelva a comprobar la salida de los comandos anteriores lsmod . Confirme que la salida muestra solo la última versión instalada del módulo kernel.
Realice la siguiente solución de problemas si falla una ampliación de ENSL.
Compruebe si hay espacio en disco suficiente (mínimo 4 GB) en el sistema. Para comprobar el espacio en disco, ejecute el comando df -h .
Asegúrese de que los paquetes de la versión de ENSL más reciente, incluidos los módulos kernel, se hayan incorporado al repositorio principal de ePO.
Asegúrese de que el servicio ENSL Prevención de amenazas esté activo y en ejecución. Para comprobar el estado, ejecute el comando /opt/McAfee/ens/tp/init/mfetpd-control.sh status .
Si va a ampliar ENSL desde ePO, asegúrese de que la comunicación entre el sistema y ePO funciona.
Si va a ampliar ENSL manualmente (independiente), asegúrese de que los paquetes de ENSL más recientes estén descomprimidos y situados en la misma carpeta.
Consulte el registro /tmp/ensltp-epo-setup.log de instalación de para ver si hay algún error de instalación.
Abstenerse de utilizar el sistema durante una tarea de ampliación de ENSL.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.