En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security para Linux (ENSL) Endpoint Security para Linux Threat Prevention (ENSLTP)
Resumen
Este artículo es una lista consolidada de preguntas y respuestas comunes destinadas a usuarios que son nuevos en el producto. Pero, puede ser de utilidad para todos los usuarios.
Actualizaciones recientes de este artículo
Fecha
Actualización
21 de marzo de 2023
Se actualizó la sección Instalación con preguntas frecuentes adicionales.
13 de marzo de 2023
Publicación inicial
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Contenido Haga clic para expandir la sección que desee ver:
¿Cómo funcionan el modo FANotify y el modo Kernel para ENS? El módulo kernel y FANotify son dos formas a través de las cuales ENSL puede obtener eventos de acceso a archivos (abrir, leer, escribir, etc.) del sistema. Con el módulo kernel, ENSL se engancha a las llamadas del sistema para obtener los eventos. Más tarde, el propio kernel de Linux proporciona una función denominada FANotify. Con FANotify, cualquier aplicación de espacio de usuario puede registrarse para obtener todos los eventos del sistema de archivos para su procesamiento. Esto evita que cualquier aplicación del espacio de usuario escriba los módulos del kernel con el mismo propósito. Entonces, el módulo del kernel y FANotify tienen el mismo propósito de proporcionar todos los eventos al espacio de usuario ENSLTP para escanear. Todos los clientes de ENSL en Ubuntu/Debian o SUSE usan solo FANotify ya que no les proporcionamos el módulo kernel. Puede usar con seguridad FANotify o el módulo del kernel ya que no hay diferencia en la funcionalidad.
¿Puedo usar ENSLTP para bloquear o administrar unidades USB en Linux?
No, ENSLTP no se puede usar para bloquear unidades USB.
¿Cuál es el impacto de deshabilitar la regla "Modify or remove the "passwd" or "shadow" files by a process other than passwd" en la política de protección de acceso ENSLTP?
¿Tengo que hacer alguna modificación más? El archivo /etc/passwdalmacena información esencial requerida durante el inicio de sesión. En otras palabras, almacena información de la cuenta del usuario. El archivo del sistema oculto en Linux almacena contraseñas de usuario encriptadas. Si esta regla está deshabilitada, un proceso que no sea passwd puede modificar los archivos. Le recomendamos encarecidamente que no deshabilite esta regla.
¿Puede ENSL escanear dentro de un contenedor?
No, ENSL no admite el escaneo dentro de contenedores; solo admite la exploración en el host donde se inicia el contenedor.
¿Necesito permiso de root para iniciar una tarea de análisis bajo demanda (ODS) desde la línea de comandos?
Sí, se necesitan derechos de administrador para realizar tareas de ODS.
En el servidor Linux, hay archivos cifrados con el método de cifrado de clave común (AES-256) en la aplicación, pero ¿es posible escanear los archivos cifrados con ENSL?
ENSL no analiza archivos cifrados; solo se pueden escanear los archivos descifrados. Es posible que vea errores de escaneo cuando ENSL escanea los archivos cifrados.
¿ENSL SELinux funciona en sistemas basados en CentOs? Actualmente, los paquetes RPM de ENSL SELinux solo funcionan en sistemas basados en Redhat. Es posible que vea el error distribution is not supported en otras plataformas Linux cuando instala el paquete ENSL SELinux RPM.
¿Cuáles son los tipos de paquetes DAT y MEDDAT?
Los archivos DAT son los archivos estándar de definición de virus V2. Estos archivos solo los utiliza ENSL 10.6.x. MED DAT es un subconjunto de V2 DAT, que ocupa menos espacio y memoria. Este DAT es más rápido y ligero que el V2 DAT. Estos solo son utilizados por la versión ENSL 10.7.0 y posteriores.
¿Cómo descargo manualmente los últimos archivos DAT/MEDDAT?
Por lo general, DAT/MEDDAT se descarga automáticamente a diario en los servidores de ePolicy Orchestrator (ePO). Sin embargo, puede obtener los archivos DAT más recientes en la página Actualizaciones de seguridad.
¿Puedo verificar manualmente los archivos DAT/MEDDAT descargados en el Repositorio principal? Sí.
Abra el Repositorio principal y haga clic en Registro, Tipo de paquete, Producto o Actualización (.zip).
Agregue el archivo .zip DAT recién descargado y haga clic en Siguiente.
Mantenga la rama predeterminada en Actual y haga clic en Guardar.
¿Hay protección adaptable contra amenazas (ATP) disponible con ENSLTP?
No, ATP no es compatible con ENSL. Solo es compatible con la plataforma Windows.
¿Puedo comprobar si el análisis en acceso (OAS) de un dispositivo está deshabilitado o habilitado desde ePO?
Abra ePO y seleccione su host.
Haga clic en Productos, Prevención de amenazas de Endpoint Security, Análisis en tiempo real.
Ver el estado de Habilitar análisis en tiempo real.
AP, EP se muestra como falso en ePO. ¿Cómo verifico si están habilitados en el host?
Para verificar el estado del AP: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --getapstatus y presione Entrar.
Para verificar el estado del EP: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --getepstatus y presione Entrar.
¿Por qué se detiene mi tarea actual de ODS cuando se ejecuta la tarea de actualización?
La tarea de actualización (DAT/MEDDAT) es la tarea de mayor prioridad en ENSL. Esta tarea obtiene las últimas actualizaciones de seguridad necesarias para escanear y proteger su sistema. Las tareas de ODS se pausan durante la actualización y se reanudan una vez que se completa la actualización.
¿Dónde podemos encontrar los registros de escaneo/detección?
Para ver los archivos escaneados, abra /var/McAfee/ens/log/tp/mfeoasmgr.log.
Para ver las detecciones de infecciones, vaya a /var/log/messages o /var/log/syslog y busque la palabra clave msg=Infection caught.
¿Cuáles son los comandos para ver las firmas de EP y las exclusiones de EP?
Para ver todas las firmas de EP, abra /opt/McAfee/ens/tp/bin/mfetpcli --getallepsignaturesy busque la palabra clave violated the rule.
Para ver todas las exclusiones de EP, abra /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusionsy busque la palabra clave violated the rule.
¿Cómo puedo ver la lista de Exclusiones configuradas a través de la línea de comandos?
Para comprobar las exclusiones de AP: /opt/McAfee/ens/tp/bin/mfetpcli --getapexclusions
Para comprobar las exclusiones de EP: /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusions
Para verificar las exclusiones de OAS: /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist
¿Cuál es el comando para iniciar la actualización DAT predeterminada de Trellix desde el sistema Linux?
Verifique la lista de tareas: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --listtask y presione Entrar.
Busque el nombre de la tarea "Default Client Update task"
Ejecute la tarea de actualización de DAT predeterminada: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --runtask --name "<Default Client Update task as listed above>" y presione Entrar.
¿Dónde podemos encontrar informes ODS en una máquina Linux? Los informes de escaneo de ODS se pueden encontrar en/var/McAfee/ens/log/tp/odsreport/archive
¿Cómo detengo o cancelo una tarea ODS en ejecución en ENS?
En ePO: Abra el árbol del sistema y seleccione el host. Haga clic en Acciones, Ejecutar tarea del cliente ahora, y luego haga clic en Prevención de amenazas de Endpoint Security, Cancelar análisis bajo demanda.
Desde la línea de comandos:
Obtenga la identificación del índice de la tarea ODS: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --listtasksy presione Entrar.
Detenga la tarea ODS con el ID de índice respectivo: Escriba /opt/McAfee/ens/tp/bin/mfetpcli --stoptask --index <index id> y presione Entrar.
¿Puedo eliminar manualmente todas las tareas de ODS en el servidor?
No, no puede eliminar manualmente todas las tareas de ODS a la vez. Pero, ¿puede eliminarlos uno a la vez ejecutando el siguiente comando:
¿Cómo cambio el nivel de sensibilidad de GTI en un servidor Linux?
Abra ePO, seleccione la política OAS y haga clic en Trellix GTI.
Establezca el nivel de sensibilidad y haga clic en Guardar. Aplique los cambios realizando una llamada de agente de reactivación.
¿Cómo habilito el modo FANotify ?
Escriba /opt/McAfee/ens/tp/bin/mfetpcli --usefanotify y presione Entrar.
Reinicie el servicio ENSLTP para que los cambios surtan efecto: Escriba /opt/McAfee/ens/tp/init/mfetpd-control.sh restart y presione Entrar.
¿Cómo desactivo el modo FANotify y vuelvo al modo Kernel?
Escriba /opt/McAfee/ens/tp/bin/mfetpcli --usekernel y presione Entrar.
Reinicie el servicio ENSLTP para que los cambios surtan efecto: Escriba /opt/McAfee/ens/tp/init/mfetpd-control.sh restart y presione Entrar.
¿Cómo puedo agregar exclusiones de OAS para procesos específicos de ePO?
Abra ePO y haga clic en Política de la OEA, Configuración del proceso.
En Configurar diferentes ajustes para los procesos de alto y bajo riesgo, configure la opción Cuándo escanear para bajo riesgo como No escanear.
Haga clic enAgregar e ingrese su lista de procesos excluidos confiables.
Aplique esta política a su host y realice la llamada Wakeupagent.
¿Cómo puedo agregar exclusiones de lectura o escritura para archivos y carpetas localmente?
Abra una sesión de línea de comandos.
Escriba /opt/McAfee/ens/tp/bin/mfetpcli --setoasprofileconfig --profile standard --addexclusionrw --excludepath "< file/directory path to be excluded>"y presione Entrar.
¿Cómo podemos activar/desactivar las firmas de Exploit Prevention de ePO?
Abra ePO, haga clic en Política de prevención de exploits, Avanzado. Abra Firmas y en el Filtro, seleccione Linux.
Elija el ID de firma para habilitar o deshabilitar. Haga clic en Guardar.
Aplique esta política a su Host y realice una llamada Wakeupagent.
¿Cómo puedo configurar el tiempo máximo de escaneo para cada escaneo de archivos?
Abra ePO y vaya a OAS Policy.
Abra On-Access Scan, y en Specify maximum number of seconds for each file scan, configure el tiempo de actualización.
Haga clic en Guardar.
¿Cómo podemos cambiar las acciones de detección de amenazas? ¿Puedo denegar el acceso a los archivos infectados en lugar de eliminarlos?
Abra ePO y vaya a OAS Policy.
Abra Process Settingsy haga clic en Process Types.
Elija sus perfiles (estándar, alto riesgo, bajo riesgo) y abra Acciones.
Vea Primera respuesta de detección de amenazasy seleccione Denegar acceso a archivos. Haga clic en Guardar.
Aplique esta política a su Host y realice una llamada Wakeupagent.
¿Cómo puedo bloquear el cambio de nombre de los archivos? ¿Puedo hacer esto para las reglas de protección de acceso en ePO?
Ejemplo de regla AP para bloquear la operación de cambio de nombre de archivo:
Abra ePO y vaya a la política de protección de acceso.
En Reglas, seleccione Linux y haga clic en Agregar.
Introduzca un nuevo nombre de regla. Habilite las opciones de acción Bloquear y Reportar.
En Subreglas, ingrese un nombre de subregla. En Tipo de subregla, elija Archivos.
En Operaciones, elija Cambiar nombre y vaya a la sección Objetivos. Haga clic en Agregar y, en Estado de inclusión, seleccione Incluir.
En el menú desplegable, seleccione Ruta de archivo, proporcione una ruta de archivo completa al archivo cuyo nombre desea evitar y haga clic en Guardar.
Aplique esta política a su Host y realice una llamada Wakeupagent.
¿Qué paquetes y extensiones necesito descargar y registrar en ePO antes de instalar ENSL?
Paquetes de productos: Trellix Agent (TA) para LINUX, Endpoint Security Kernel Modules para Linux y Endpoint Security para Linux Threat Prevention
Paquetes de extensión: Extensión TA, Licencia de Endpoint Security para Linux, Plataforma de Endpoint Security y Prevención de amenazas de Endpoint Security
¿En qué orden debo instalar ENSL y otros productos?
Primero instale TA y luego instale sus otros productos Linux.
¿Cuáles son los requisitos previos para instalar ENSL?
Necesita Python 2.7 o una versión posterior instalada en su host (para una instalación nueva de ENSL).
Necesita los siguientes recursos gratuitos mínimos, en las siguientes ubicaciones:
Directorio de instalación: 1.7 GB de espacio libre
/opt/McAfee directorio: 750 MB de espacio libre
/tmp directorio: 200 MB de espacio libre
/var directorio: partición de 3 GB, espacio libre de 750 MB
¿Qué problemas de ENSL veré si desinstalo TA?
La instalación de TA junto con ENSL es obligatoria incluso cuando ENSL se instala en modo independiente.
TA actualiza ENSL, realizando actualizaciones diarias de seguridad de contenido y DAT. Debe mantener TA instalado.
¿ENSL requiere reinicios de los hosts después de una instalación nueva o una actualización?
No, no es necesario reiniciar o reiniciar sus hosts Linux después de la instalación o actualización de ENSL.
¿Puedo instalar ENSL con OAS o Access Protection en modo deshabilitado?
Sí tu puedes. Para una instalación independiente : Descargue el paquete independiente de ENSL, descomprima el archivo tar.gz y ejecute el script de instalación usando el parámetro oasoff apoff. Por ejemplo, ./install-mfetp.sh oasoff apoff
para una instalación de ePO (local):
Abra el Árbol de sistemas y seleccione el host de destino. Haga clic en Acción, Ejecutar tarea ahora, Agente Trellix, Despliegue del producto.
Haga clic en Cree nueva tarea y, para Plataformas de destino, seleccione Linux.
En Productos y componentes, seleccione el paquete Prevención de amenazas ENSL.
En Línea de comandos, agregue el parámetro oasoff apoff.
Haga clic en Ejecutar tarea ahora.
¿Dónde puedo encontrar los registros de instalación de ENSL? Todos los registros de instalación se pueden encontrar en el directorio /tmp y el nombre del archivo esensltp-epo-setup.log
¿Cómo cambio los directorios de ubicación de instalación predeterminados de /opt/McAfee/ y /var/McAfee/ a otros puntos de montaje, mientras instalo ENSL?
No puede cambiar la ubicación de instalación predeterminada de ENSL.
¿Por qué no puedo ver los detalles del producto ENSL instalado en Información del sistema en ePO?
Para ver los detalles del producto ENSL en ePO, debe instalar las extensiones de ENSL ePO.
Asegúrese de que sus extensiones de ENS se hayan instalado y de que sean las últimas versiones.
¿Se cambiarán o actualizarán las políticas actuales de ENSL una vez que actualice a la última versión de ENSL? No. No habrá cambios en las políticas existentes de ENSL; todas las configuraciones seguirán siendo las mismas que antes.
Cuando ejecuto el script de instalación de ENSL, usando el comando "sudo ./install-mfetp.sh", veo el error "Permiso denegado". ¿Por qué? Para ejecutar el script de instalación de ENSL, asegúrese de que el usuario que ejecuta el script tenga derechos de lectura/escritura/ejecución y que el script de instalación tenga permisos de ejecución.
Para enumerar los derechos aplicados actualmente al script, ejecute el comandols –lrt install-mfetp.sh
Para agregar derechos de ejecución al script, ejecute el comando chmod +x install-mfetp.sh Ahora, vuelva a ejecutar el script de instalación sudo ./install-mfetp.sh
¿Puedo actualizar solo el módulo kernel de ENSL sin actualizar el producto ENSL? Sí. El paquete de actualización del módulo del kernel brinda soporte para nuevas actualizaciones del kernel sin necesidad de actualizar el producto ENSL.
¿Puedo actualizar a la última versión de ENSLTP sin registrar el último paquete del Módulo Kernel de ENS? No. No puede simplemente actualizar ENSLTP a la versión más reciente, sin tener el último paquete del Módulo Kernel de ENS en el Repositorio principal de ePO.
¿Por qué veo el error "McAfee Agent no se está ejecutando en modo confinado. Los productos de McAfee Endpoint Security para Linux tampoco se ejecutarán en modo confinado" cuando instalo el paquete RPM de ENSL Selinux? Para hacer que los productos ENSL Selinux estén confinados, primero instale el paqueteMFEma-selinux RPM y luego el paquete ENSL Selinux RPM.
¿Puedo instalar el paquete RPM de ENSL Selinux en las plataformas Ubuntu, Centos o SeLinux? No. El paquete RPM de ENSL Selinux actualmente solo es compatible con sistemas basados en Redhat.
¿Por qué veo "ID de evento: 1048" cuando un cliente ENSL escanea archivos PDF o cualquier otro tipo de archivo?
"Id. de evento: 1048" significa que el análisis informa un error general del sistema. Por lo general, lo ve generado cada vez que se deniega el acceso a un archivo o está protegido con contraseña.
¿Por qué veo la notificación "Event ID: 1024 Action taken: Access denied" cuando ENS detecta una notificación de archivo que se está leyendo desde un medio externo (DVD)?
El cliente de ENS determina que un archivo específico es malicioso pero de solo lectura y bloquea el acceso a ese archivo, de modo que no se pueden iniciar procesos maliciosos ni intentar acceder al archivo.
¿Por qué veo el error "Buscando productos dependientes Se encontraron dependencias! Falló la desinstalación" cuando desinstalo TA?
No puede eliminar TA a menos que todos los productos ENS dependientes se eliminen primero; por ejemplo, ENSLTP, Firewall, etc.
Veo errores como "No existe tal archivo o directorio" en los registros de la OEA cuando el archivo para el que se realizó la solicitud de escaneo ya se eliminó, como archivos temporales. ¿Por qué?
Se esperaba este error, ya que el archivo no existe. El error indica que el archivo se analizó y eliminó según la configuración de acciones de OAS, por lo que no hay impacto en este caso.
Para evitar ver este error (si confía en los archivos que causan el error), considere agregarlos a las listas de exclusión de OAS.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.