A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Endpoint Security for Linux Firewall (ENSLFW) 10.x
Endpoint Security for Linux Prevenção contra ameaças (ENSLTP) 10.x
Resumo
Abaixo estão as etapas de solução de problemas recomendadas para problemas comuns do ENSL.
Sumário Clique para expandir a seção que você deseja exibir:
Para ajudar o Suporte técnico a solucionar um problema com o ENSLTP ou o ENSLFW, colete os dados a seguir.
Colete um ENSLTP ou ENSLFW requisitos mínimos de escalação (MER) arquivo. MER é o mínimo de dados necessários para a triagem de um problema e fornecer as próximas etapas de ação.
Para gerar um ENSLTP MER, execute o seguinte comando:
/opt/McAfee/ens/tp/scripts/mfetp-mer.sh
Este comando cria o MER arquivo mfetp-mer_.*.tar .
Para gerar um ENSLFW MER, execute o seguinte comando:
/opt/McAfee/ens/fw/scripts/mfefw-mer.sh
Este comando cria o MER arquivo mfw-mer_.*.tar .
Além disso, reúna os dados a seguir, se aplicável.
Para um problema relacionado à funcionalidade, ative os logs de depuração, reproduza o problema e Capture o Mer arquivo. Logs detalhados ajudam a restringir e identificar a causa raiz. Para ativar os logs de depuração, execute o seguinte comando:
/opt/McAfee/ens/tp/bin/mfetpcli --debuglog enable
Para um problema relacionado com o desempenho, precisamos saber as atividades de varredura do OAS (OAS) que ocorrem no sistema para aconselhar as configurações de configuração apropriadas. Para ativar o registro de atividades do OAS, execute o seguinte comando:
Para um problema de atualização do dat ou relacionado à atualização de política, ative o registro em log de depuração do Trellix Agent (TA), reproduza o problema e, em seguida, Capture o arquivo do Mer. Ativar registro de depuração TA no console do ePolicy Orchestrator (ePO) em Trellix Agent, geral, meu padrão, guia registro , Ativar registro detalhado.
O mecanismo de varredura de vulnerabilidades de contêiner ( MFECVS ) é uma ferramenta de linha de comando. Você pode usar a ferramenta para executar as seguintes ações:
Listar imagens em um registro privado Docker ou hub de ancoragem.
Procurar vulnerabilidades em imagens do Docker em um registro privado Docker ou no Docker hub.
Etapas para solucionar problemas relacionados a problemas MFECVS :
Confirme se a configuração do mfecvs.yaml arquivo está correta. Por exemplo, verifique a Convenção de nome de usuário e a sintaxe da arquivo de YAML.
mfecvs.yaml arquivo de amostra:
#Copyright (C) 2020 McAfee, LLC. All Rights Reserved.
# Sample User config file
# Array of registries
# Registry is an object of name, url and username of string type
# Add the details of only private registries.
# For listing/scanning docker hub images, do not pass registry(-r) flag to the cli.
registries:
- name: DockerHub
#url is the url for the registry
url: https://registry.hub.docker.com
#username is the user of the registry
username: YourDockerHubUsername
#name is the name of the registry which is referred to by the -r flag in cli
- name: Docker Private Registry
#url is the url for the registry
url: https://your.registry.domain.com
#username is the user of the registry
username: YourUsername
Verifique se a MFECVS ferramenta é compatível com o registro. A ferramenta só oferece suporte a registros privados do Docker (o registro que usa a API do hub de ancoragem).
Verifique se há erros no arquivo de mfecvs.log log e depure o problema. Por exemplo, o sistema pode estar restrito a conexões externas. Essa configuração faz com que o mecanismo de varredura falhe, pois ele gera um relatório de vulnerabilidades enviando dados de imagem para a nuvem do Trellix.
Use as instruções abaixo para cada plataforma Linux.
Por padrão, em sistemas ativados para inicialização segura, todos os módulos kernel ENSL não são carregados porque não são assinados. Somente os módulos kernel assinados podem ser carregados nesses sistemas.
Portanto, todos os módulos kernel devem ser assinados com uma chave privada e autenticados com a chave pública correspondente. Este tópico se aplica às seguintes plataformas: RHEL (kernel module based) e SLES/Ubuntu (com base no Fanotify).
O DAT é atualizado em sistemas diariamente. Se o seu sistema não conseguir obter as atualizações mais recentes do DAT, verifique o seguinte:
Entre no console do ePO. Verifique se guia tarefas de cliente atribuídas possui uma tarefa atualização para atualização o conteúdo DAT, do mecanismo e da prevenção de exploração todos os dias.
Verifique se o status da programação da tarefa atualização é "ativado" e o tipo de agendamento é "diariamente."
Verifique se os repositórios estão ativados na política de repositório do Trellix Agent.
Verifique se o seu sistema pode chegar à página da Web do DAT (https://Update.nai.com/products). Caso contrário, talvez seja necessário verificar as configurações de rede. O ENSLTP exige que a Internet seja estável para concluir o processo de atualização. Uma conexão deficiente com a Internet pode interromper o processo e causar um erro de falha na atualização.
Verifique se alguma regra de Firewall está bloqueando a comunicação entre o sistema e o ePO.
Verifique se há falhas no download ou erros de conexão no /var/McAfee/agent/logs/McScript.log .
Verifique se o sistema tem espaço em disco suficiente. O ENSLTP precisa de espaço livre de pelo menos 4 GB na unidade que contém /var o.
Quando o ENSL é instalado, duas tarefas de ODS são criadas por padrão, ou seja, a varredura rápida e a varredura completa. Se o sistema de Linux for gerenciado pelo ePO, você poderá modificar as propriedades/atributos dessas tarefas alterando a política de ODS atribuída ao sistema. Em uma instalação independente, as alterações não são possíveis. A criação e a exclusão de varreduras de ODS personalizadas são possíveis nas instalações gerenciadas e não gerenciadas. Em Comum problemas observados com as tarefas de ODS são: o ODS não está sendo iniciado e o ODS permanece em um estado de execução. Consulte abaixo para ver as etapas de solução de problemas para cada um desses cenários.
Como solucionar problemas quando o ODS não está sendo iniciado:
Verifique se todos os serviços ENSL estão em execução. Use o comando ps -eaf | grep -i mfetp :
Verifique se há alguma outra tarefa de ODS/atualização em execução. Liste as tarefas usando o seguinte comando:
#/opt/McAfee/ens/tp/bin/mfetpcli --listtasks
Verifique o status das tarefas. Se alguma tarefa estiver no estado iniciada, em execução ou em interrupção, outra tarefa de ODS não será iniciada.
Verifique se a tarefa de ODS tem o limite da CPU definido e se o sistema não está ativado cgroups . Verifique as informações da tarefa de ODS com o seguinte comando:
Se o valor definido para "limite máximo de CPU" for inferior a 100, o consumo da CPU da tarefa de ODS será limitado. /var/McAfee/ens/log/tp/mfetpd.logVerifique /var/log/messages se há erros de falha relacionados ao cgroups .
Para depurar problemas de inicialização de ODS, procure falhas ou erros nos seguintes arquivos de registro:
Como solucionar problemas quando o ODS permanece em um estado de execução:
Verifique o Gerenciador de ODS e o coletor de ODS dos processos. Use o top comando or ps para ver os processos de ODS.
Se o Gerenciador de ODS sair e o coletor permanecer, esse é o problema.
Se apenas o Gerenciador de ODS estiver em execução, mas não houver atividade de varredura, verifique o registro de relatório de ODS. Verifique se o ENSL está demorando a gerar o relatório final. Os registros de relatórios de ODS são gravados em /var/McAfee/ens/log/tp/odsreport/ .
Verifique se a tarefa de ODS tem um tempo máximo de varredura definido para um valor alto. Liste as informações da tarefa de ODS usando o seguinte comando:
Verifique o valor do parâmetro "tempo máximo de varredura" definido em segundos. Por padrão, o valor é de 45 segundos e você pode definir o valor entre 10 e 9999 segundos. Um valor mais alto no tempo limite da varredura indica arquivos maiores; O ODS mantém a varredura até o tempo decorrido. O tempo de conclusão para o ODS aumenta.
Para depurar quando o ODS permanecer em estado de execução, procure erros nos seguintes arquivos de registro:
Quando você aplica uma política do ePO a um sistema Linux, a TA continua verificando se há alguma alteração nos parâmetros especificados na política em comparação com as configurações do sistema. Se as configurações não corresponderem, a TA imporá a política. Se você alterar algo na política existente, as alterações entrarão em vigor depois que uma política atualização comunicação de agente de ativação. Às vezes, a política no cliente do ENSL não é atualizada com os valores definidos no ePO. Siga as etapas de solução de problemas a seguir.
Verifique se há uma conexão de rede disponível entre o ePO e o cliente do ENSL. Use a opção "efetuar ping" depois de selecionar o sistema na árvore de sistemas do ePO. Execute um agente de ativação a partir do ePO e de um agente de ativação reversa do cliente do ENSL. Verifique se o "último campo de comunicação" foi atualizado no árvore de sistemas do ePO para o cliente do ENSL. Para executar um agente de ativação reverso, execute o seguinte comando:
# /opt/McAfee/agent/bin/cmdagent -p
TA Obtém a política do ePO e a envia para o produto gerenciado, neste caso, ENSL. Verifique os arquivos a seguir para verificar se há erros ou falhas nas mensagens de download da política ou de aplicá-las no cliente do ENSL.
Verifique se alguma regra de Firewall está bloqueando a comunicação entre TA e o ePO na porta 8081. Use o seguinte comando:
iptables -L
Verifique se a política está corrompida. A corrupção pode ocorrer devido a uma sobreposição de política entre diferentes recursos do ENSL. Para verificar se há sobreposição, no console do ePO, vá para Catálogo de políticas e exporte a política para um arquivo XML. Abra o arquivo XML em qualquer navegador. Verifique se há configurações relacionadas a OAS nas políticas de prevenção de exploração/proteção de acesso ou vice-versa.
Não há suporte para a distribuição do ePO de pacotes ENSL e TA SELinux. Por isso, é necessário instalar os pacotes manualmente. Se você tiver problemas, siga as etapas abaixo:
Verifique se os seguintes pacotes do ENSL SELinux compatíveis estão instalados:
Módulo de kernel incompatível:
Para ativar a proteção de acesso, a prevenção de exploração ou o OAS, os módulos de kernel ENSL são carregados no sistema. Se os módulos de kernel não estiverem carregados, esses componentes poderão falhar.
Exiba os arquivos de registro a seguir e verifique se há suporte para o módulo kernel.
módulos do kernel não são assinados em um ambiente de inicialização segura
Os módulos de kernel ENSL não são assinados por padrão. Os sistemas ativados para inicialização segura carregam somente módulos de kernel assinados. Portanto, os módulos ENSL kernel não assinados falham ao serem carregados nesses sistemas.
Verifique o problema de assinatura no /var/McAfee/ens/log/tp/mfetpd.log arquivo.
Nov 09 15:26:28 test.os.com ERROR FileAccessEventKernelImpl [1182] Module insertion Failed with errorRequired key not available
Presença de várias versões do mesmo módulo de kernel
Se uma desinstalação anterior do ENSL não tiver sido feita corretamente, pode haver várias versões do mesmo módulo de kernel que são carregadas.
Se o OAS não estiver ativado:
Verifique se o mfe_fileaccess módulo está carregado ou não usando o comando a seguir. Não deve haver várias instâncias do mfe_fileaccess módulo carregadas, como mostrado abaixo. Deve haver apenas uma instância do mfe_fileaccess módulo carregada.
Se a proteção de acesso/prevenção de exploração não estiver ativada:
Verifique se o mfe_aac módulo está carregado ou não usando o comando a seguir. Não deve haver várias instâncias do mfe_aac módulo carregadas, como mostrado abaixo. Deve haver apenas uma instância do mfe_aac módulo carregada.
A presença de módulos mais antigos indica que a desinstalação do ENSL não foi feita corretamente. Para resolver o problema, execute uma limpeza manual:
Execute o comando a seguir:
/opt/McAfee/ens/tp/scripts/uninstall-mfetp.sh
Instale o ENSL novamente.
Verifique a saída dos comandos acima lsmod novamente. Confirme se a saída mostra somente a versão instalada mais recente do módulo kernel.
Execute a solução de problemas a seguir se uma upgrade de ENSL falhar.
Verifique se há espaço em disco suficiente (mínimo de 4 GB) no sistema. Para verificar o espaço em disco, execute o comando df -h .
Verifique se os pacotes de versão mais recentes do ENSL, incluindo os módulos de kernel, são incluídos no repositório mestre do ePO.
Verifique se o serviço ENSL Prevenção contra ameaças está ativo e em execução. Para verificar o status, execute o comando /opt/McAfee/ens/tp/init/mfetpd-control.sh status .
Se você estiver fazendo upgrade do ENSL do ePO, certifique-se de que a comunicação entre o sistema e o ePO esteja funcionando.
Se você estiver fazendo upgrade do ENSL manualmente (independente), certifique-se de que os pacotes do ENSL mais recentes sejam descompactados e colocados na mesma pasta.
Verifique se há erros de instalação no log /tmp/ensltp-epo-setup.log de instalação.
Evite o uso do sistema durante uma tarefa de upgrade de ENSL.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.