Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
Résolution des problèmes de Endpoint Security for Linux courants
Articles techniques ID:
KB95924
Date de la dernière modification : 2022-12-20 17:28:22 Etc/GMT
Environnement
Endpoint Security for Linux-pare-feu (ENSLFW) 10.x
Prévention contre les menaces Endpoint Security for Linux (ENSLTP) 10.x
Synthèse
Vous trouverez ci-dessous les procédures de dépannage recommandées pour les problèmes ENSL courants.
Contenus Cliquez pour développer la section à afficher :
Pour faciliter Support technique la résolution d’un problème avec ENSLTP ou ENSLFW, collectez les données suivantes.
Collectez un fichier ENSLTP ou ENSLFW Minimum Escalation Requirements (MER). MER est le minimum de données nécessaires pour trier un problème et fournir les étapes suivantes.
Pour générer un MER ENSLTP, exécutez la commande suivante :
/opt/McAfee/ens/tp/scripts/mfetp-mer.sh
Cette commande crée le fichier mfetp-mer_.*.tar mer.
Pour générer un MER ENSLFW, exécutez la commande suivante :
/opt/McAfee/ens/fw/scripts/mfefw-mer.sh
Cette commande crée le fichier mfw-mer_.*.tar mer.
En outre, collectez les données suivantes, le cas échéant.
Pour un problème relatif à la fonctionnalité, activez les journaux de débogage, reproduisez le problème, puis capturez le fichier mer. Les journaux détaillés permettent de réduire et d’identifier la cause première. Pour activer les journaux de débogage, exécutez la commande suivante :
/opt/McAfee/ens/tp/bin/mfetpcli --debuglog enable
Pour un problème lié aux performances, nous devons connaître les activités d’analyse à la demande sur le système, afin de signaler les paramètres de configuration appropriés. Pour activer le journal d’activité OAS, exécutez la commande suivante :
Pour une mise à jour dat ou un problème lié à une mise à jour de stratégie, activez la journalisation de débogage Trellix Agent (TA), reproduisez le problème, puis capturez le fichier mer. Activer la journalisation de débogage TA dans la console ePolicy Orchestrator (ePO) à l' Trellix Agent, général, mon onglet par défaut, journalisation , activer la journalisation détaillée.
L’analyseur de vulnérabilité des conteneurs ( MFECVS ) est un outil de ligne de commande. Vous pouvez utiliser l’outil pour effectuer les actions suivantes :
Répertorier les images d’un registre privé de l’Ancreur ou d’un concentrateur.
Rechercher des vulnérabilités dans les images de l’ancrer dans un registre privé de l’Ancreur ou dans un concentrateur de l’arrimeur.
Procédure de résolution des problèmes liés à la résolution MFECVS des problèmes :
Vérifiez que la configuration du mfecvs.yaml fichier est correcte. Par exemple, vérifiez la Convention du nom d’utilisateur et la syntaxe du fichier YAML.
mfecvs.yaml fichier d’exemple :
#Copyright (C) 2020 McAfee, LLC. All Rights Reserved.
# Sample User config file
# Array of registries
# Registry is an object of name, url and username of string type
# Add the details of only private registries.
# For listing/scanning docker hub images, do not pass registry(-r) flag to the cli.
registries:
- name: DockerHub
#url is the url for the registry
url: https://registry.hub.docker.com
#username is the user of the registry
username: YourDockerHubUsername
#name is the name of the registry which is referred to by the -r flag in cli
- name: Docker Private Registry
#url is the url for the registry
url: https://your.registry.domain.com
#username is the user of the registry
username: YourUsername
Vérifiez si l' MFECVS outil prend en charge le registre. L’outil prend uniquement en charge les registres privés de l’arrimeur (le Registre qui utilise l’API du concentrateur de l’Ancreur).
Recherchez des erreurs dans le mfecvs.log fichier journal et déboguez le problème. Par exemple, il se peut que le système soit restreint par des connexions externes. Cette configuration provoque l’échec de l’analyseur, car il génère un rapport de vulnérabilité en envoyant des données d’image à la cloud Trellix.
Suivez les instructions ci-dessous pour chaque plate-forme Linux.
Par défaut, sur les systèmes activés pour le démarrage sécurisé, tous les modules de noyau ENSL ne sont pas chargés, car ils ne sont pas signés. Seuls les modules de noyau signés peuvent être chargés sur ces systèmes.
Par conséquent, tous les modules de noyau doivent être signés à l’aide d’une clé privée et authentifiés avec la clé publique correspondante. Cette rubrique s’applique aux plates-formes suivantes : RHEL (kernel module based) et SLES/Ubuntu (base Fanotify).
Le fichier DAT est mis à jour quotidiennement sur les systèmes. Si votre système ne reçoit pas les dernières mises à jour des fichiers DAT, vérifiez les points suivants :
Connectez-vous à la console ePO. Assurez-vous que l’onglet tâches client affectées comporte une tâche de mise à jour permettant de mettre à jour le contenu de la prévention des menaces, du moteur et des fichiers DAT tous les jours.
Assurez-vous que l’état de planification de la tâche de mise à jour est "activé" et que le type de planification est "tous les jours."
Assurez-vous que les référentiels sont activés dans la stratégie Trellix Agent repository.
Assurez-vous que votre système peut accéder à la page Web DAT (https://Update.nai.com/Products). Si ce n’est pas le cas, vous devrez peut-être vérifier les paramètres réseau. ENSLTP nécessite un Internet stable pour terminer le processus de mise à jour. Une mauvaise connexion Internet peut interrompre le processus et provoquer une erreur de mise à jour.
Vérifiez si une règle de pare-feu bloque la communication entre votre système et ePO.
Recherchez les échecs de téléchargement ou les erreurs de connexion dans /var/McAfee/agent/logs/McScript.log .
Vérifiez que votre système dispose de suffisamment d’espace disque. ENSLTP a besoin d’espace disponible d’au moins 4 Go sur le lecteur /var contenant.
Lors de l’installation de ENSL, deux tâches ODS sont créées par défaut, à savoir analyse rapide et analyse complète. Si le système Linux est managé par ePO, vous pouvez modifier les propriétés/attributs de ces tâches en modifiant la stratégie ODS affectée au système. Dans une installation autonome, les modifications ne sont pas possibles. La création et la suppression d’analyses personnalisées ODS sont possibles sur les installations managées et non managées. Partagés problèmes rencontrés avec les tâches ODS sont les suivants : ODS ne démarre pas et l’état d’analyse continue d’être en cours d’exécution. Reportez-vous aux étapes de dépannage ci-dessous pour chacun de ces scénarios.
Comment résoudre les problèmes lorsque ODS ne démarre pas :
Vérifiez si tous les services ENSL sont en cours d’exécution. Utilisez la commande ps -eaf | grep -i mfetp suivante :
Vérifiez si une autre tâche ODS/Update est en cours d’exécution. Répertoriez les tâches à l’aide de la commande suivante :
#/opt/McAfee/ens/tp/bin/mfetpcli --listtasks
Vérifiez l’état des tâches. Si l’état d’une tâche est initié, en cours d’exécution ou en cours d’arrêt, une autre tâche ODS ne démarre pas.
Vérifiez que la limite du processeur est définie pour la tâche ODS et que l’activation cgroups du système échoue. Vérifiez les informations de la tâche ODS à l’aide de la commande suivante :
Si la valeur définie pour "limite maximale du processeur" est inférieure à 100, la consommation de l’UC de la tâche ODS est limitée. Vérifiez /var/log/messages et /var/McAfee/ens/log/tp/mfetpd.log pour les erreurs d’échec liées à cgroups .
Pour déboguer les problèmes de démarrage d’ODS, recherchez les défaillances ou les erreurs dans les fichiers journaux suivants :
Procédure de dépannage lorsque l’état d’exécution d’ODS reste en cours d’exécution :
Vérifiez l’analyseur ODS Manager et le collecteur ODS des processus. Utilisez la top commande ou ps pour afficher les processus ODS.
Si le gestionnaire ODS se ferme et que le collecteur reste, c’est le problème.
Si seul le gestionnaire ODS est en cours d’exécution, mais qu’il n’y a aucune activité d’analyse, consultez le journal des rapports ODS. Vérifiez si ENSL prend du temps pour générer le rapport final. Les journaux des rapports ODS sont écrits à l’adresse /var/McAfee/ens/log/tp/odsreport/ .
Vérifiez si la durée maximale de l’analyse est définie sur une valeur élevée pour la tâche ODS. Répertoriez les informations relatives à la tâche ODS à l’aide de la commande suivante :
Vérifiez la valeur du paramètre "durée maximale de l’analyse" définie en secondes. Par défaut, la valeur est de 45 secondes et vous pouvez définir la valeur entre 10 et 9999 secondes. Une valeur plus élevée sur le délai d’expiration de l’analyse indique des fichiers plus volumineux. ODS continue l’analyse jusqu’à ce que le délai s’écoule. L’heure d’achèvement d’ODS augmente.
Pour effectuer le débogage lorsque l’état d’analyse est toujours en cours d’exécution, recherchez les erreurs dans les fichiers journaux suivants :
Lorsque vous appliquez une stratégie d’ePO à un système Linux, TA vérifie que les paramètres spécifiés dans la stratégie sont modifiés par rapport aux paramètres du système. Si les paramètres ne correspondent pas, TA met en œuvre la stratégie. Si vous modifiez un élément de la stratégie existante, les modifications apportées sont appliquées après la réactivation de la mise à jour de stratégie agent communication. Parfois, la stratégie du client ENSL n’est pas mise à jour avec les valeurs définies dans ePO. Suivez les étapes de dépannage ci-dessous.
Vérifiez si une connexion réseau est disponible entre ePO et le client ENSL. Utilisez l’option "ping" après avoir sélectionné le système dans le arborescence des systèmes ePO. Effectuez une agent de réactivation à partir d’ePO et un agent de réactivation inversée à partir du client ENSL. Vérifiez si le champ "dernier communiqué" est mis à jour dans la arborescence des systèmes ePO pour le client ENSL. Pour effectuer une agent de réactivation inverse, exécutez la commande suivante :
# /opt/McAfee/agent/bin/cmdagent -p
TA obtient la stratégie ePO et l’envoie au produit managé, dans ce cas, ENSL. Archivez les fichiers suivants pour y rechercher des erreurs ou des messages d’échec lors du téléchargement de la stratégie ou de son application sur le client ENSL.
Vérifiez si une règle de pare-feu bloque la communication entre ePO et TA sur le port 8081. Utilisez la commande suivante :
iptables -L
Vérifiez si la stratégie est corrompue. Une corruption peut se produire en raison d’un chevauchement de stratégie entre différentes fonctionnalités de ENSL. Pour rechercher un chevauchement, dans la console ePO, accédez à Catalogue de stratégies et exportez la stratégie dans un fichier XML. Ouvrez le fichier XML dans n’importe quel navigateur. Vérifiez s’il existe des paramètres d’analyse dans les stratégies de prévention contre les exploits et de protection de l’accès, ou vice versa.
le déploiement ePO des packages ENSL et TA SELinux n’est pas pris en charge. Vous devez donc installer les packages manuellement. Si vous rencontrez des problèmes, suivez les étapes ci-dessous :
Vérifiez si les packages ENSL SELinux suivants pris en charge sont installés :
Remarque : Les versions RHEL 6.x ne sont pas prises en charge et, par conséquent, les packages SELinux ne peuvent pas être installés sur les systèmes de version RHEL 6.x .
Consultez la matrice de "de confinement" prise en charge et les packages que vous devez installer de la manière suivante :
Mode SELinux de TA
Mode SELinux ENSLTP
Pris en charge?
Unconfinée
Confine
Non
Unconfinée
Unconfinée
Oui
Confine
Confine
Oui
Confine
Unconfinée
Oui
Vérifiez si des "refusées" erreurs à partir de ta ou ENSLTP dans le /var/log/audit/audit.log fichier.
Plusieurs raisons sont à l’origine de l’activation de la protection de l’accès, de la prévention contre les exploits ou de la fonction OAS. Reportez-vous à chacune des causes ci-dessous.
Module de noyau non pris en charge :
Pour activer la protection de l’accès, la prévention contre les exploits ou l’analyseur à la demande, les modules ENSL kernel sont chargés sur le système. Si les modules du noyau ne sont pas chargés, ces composants peuvent échouer.
Affichez les fichiers journaux suivants et vérifiez si le module du noyau est pris en charge.
modules du noyau ne sont pas signés dans un environnement de démarrage sécurisé
Les modules du noyau ENSL ne sont pas signés par défaut. Les systèmes activés pour le démarrage sécurisé chargent uniquement des modules de noyau signés. Ainsi, les modules de noyau ENSL non signés ne se chargent pas sur ces systèmes.
Recherchez le problème de signature dans le /var/McAfee/ens/log/tp/mfetpd.log fichier.
Nov 09 15:26:28 test.os.com ERROR FileAccessEventKernelImpl [1182] Module insertion Failed with errorRequired key not available
Présence de plusieurs versions du même module du noyau
Si une désinstallation précédente de ENSL n’a pas été effectuée correctement, plusieurs versions du même module du noyau peuvent être chargées.
Si OAS n’est pas activé :
Vérifiez si le mfe_fileaccess module est chargé ou non à l’aide de la commande suivante. Plusieurs instances du mfe_fileaccess module ne doivent pas être chargées comme indiqué ci-dessous. Un seul instance du mfe_fileaccess module doit être chargé.
Si la protection de l’accès/prévention contre les exploits n’est pas activée :
Vérifiez si le mfe_aac module est chargé ou non à l’aide de la commande suivante. Plusieurs instances du mfe_aac module ne doivent pas être chargées comme indiqué ci-dessous. Un seul instance du mfe_aac module doit être chargé.
La présence de modules plus anciens indique que la désinstallation de ENSL n’a pas été effectuée correctement. Pour résoudre ce problème, procédez à un nettoyage manuel :
Exécutez la commande suivante :
/opt/McAfee/ens/tp/scripts/uninstall-mfetp.sh
Réinstallez ENSL.
Vérifiez à nouveau la sortie des commandes ci-dessus lsmod . Vérifiez que la sortie n’affiche que la dernière version installée du module du noyau.
Procédez à la résolution des problèmes suivants en cas d’échec de la mise à niveau d’ENSL.
Vérifiez si l’espace disque disponible est suffisant (4 Go minimum) sur le système. Pour vérifier l’espace disque, exécutez la commande df -h .
Assurez-vous que les packages de version ENSL les plus récents, y compris les modules de noyau, sont archivés dans le référentiel maître d’ePO.
Assurez-vous que le service Prévention contre les menaces ENSL est actif et en cours d’exécution. Pour vérifier l’État, exécutez la commande /opt/McAfee/ens/tp/init/mfetpd-control.sh status .
Si vous effectuez une mise à niveau de ENSL à partir d’ePO, assurez-vous que la communication entre le système et ePO fonctionne.
Si vous effectuez une mise à niveau manuelle de ENSL (autonome), assurez-vous que les packages ENSL les plus récents sont décompressés et placés dans le même dossier.
Consultez le journal /tmp/ensltp-epo-setup.log d’installation pour rechercher des erreurs d’installation.
Évitez d’utiliser le système lors d’une tâche de mise à niveau ENSL.
La rétrogradation de ENSL n’est pas prise en charge.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.