Téléchargez le rapport Magic Quadrant de Gartner, qui évalue 18 fournisseurs selon des critères tels que la vision complète et la capacité de mise en œuvre.
Selon Gartner, « le XDR est une technologie émergente capable de renforcer l'efficacité de la prévention, de la détection et de la neutralisation des menaces ».
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
FAQ sur Endpoint Security pour Linux Threat Prevention
Articles techniques ID:
KB96340
Date de la dernière modification : 2023-07-14 03:19:07 Etc/GMT
Environnement
Endpoint Security pour Linux (ENSL) Endpoint Security pour Linux Threat Prevention (ENSLTP)
Synthèse
Cet article est une liste consolidée des questions et réponses courantes destinées aux utilisateurs qui découvrent le produit. Mais, il peut être utile à tous les utilisateurs.
Mises à jour récentes de cet article
Date
Mise à jour
21 mars 2023
Mise à jour de la section Installation avec des FAQ supplémentaires.
13 mars 2023
Publication initiale
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Contenus Cliquez pour développer la section à afficher :
Comment fonctionnent le mode FANotify et le mode noyau pour ENS ? Le module noyau et FANotify sont deux moyens par lesquels ENSL peut obtenir des événements d'accès aux fichiers (ouverture, lecture, écriture, etc.) du système. Avec le module noyau, ENSL se connecte aux appels système pour obtenir les événements. Plus tard, le noyau Linux lui-même fournit une fonction nommée FANotify. Avec FANotify, n'importe quelle application de l'espace utilisateur peut s'enregistrer pour obtenir tous les événements du système de fichiers à traiter. Cela évite à toute application en espace utilisateur d'écrire les modules du noyau dans le même but. Ainsi, le module du noyau et FANotify ont le même objectif de fournir tous les événements à l'ENSLTP de l'espace utilisateur à analyser. Tous les clients ENSL sur Ubuntu/Debian ou SUSE utilisent uniquement FANotify car nous ne leur fournissons pas le module noyau. Vous pouvez utiliser en toute sécurité FANotify ou le module du noyau car il n'y a aucune différence de fonctionnalité.
Puis-je utiliser l'ENSLTP pour bloquer ou gérer les clés USB sous Linux ?
Non, l'ENSLTP ne peut pas être utilisé pour bloquer les clés USB.
Quel est l'impact de la désactivation de la règle «Modify or remove the "passwd" or "shadow" files by a process other than passwd » dans la politique de protection des accès ENSLTP ?
Dois-je apporter d'autres modifications ? Le fichier /etc/passwdstocke les informations essentielles requises lors de la connexion. En d'autres termes, il stocke les informations de compte d'utilisateur. Le fichier système fantôme de Linux stocke les mots de passe utilisateur chiffrés. Si cette règle est désactivée, un processus autre que passwd peut modifier les fichiers. Nous vous recommandons vivement de ne pas désactiver cette règle.
L'ENSL peut-il numériser à l'intérieur d'un conteneur ?
Non, ENSL ne prend pas en charge la numérisation à l'intérieur des conteneurs ; il prend uniquement en charge l'analyse sur l'hôte sur lequel le conteneur est lancé.
Ai-je besoin d'une autorisation root pour lancer une tâche d'analyse à la demande (ODS) à partir de la ligne de commande ?
Oui, des droits d'administrateur sont nécessaires pour effectuer des tâches ODS.
Sur le serveur Linux, il y a des fichiers chiffrés avec la méthode de chiffrement à clé commune (AES-256) dans l'application, mais est-il possible d'analyser les fichiers chiffrés avec ENSL ?
ENSL n'analyse pas les fichiers cryptés ; seuls les fichiers décryptés peuvent être analysés. Vous pouvez voir des erreurs d'analyse lorsque les fichiers cryptés sont analysés par ENSL.
L'ENSL SELinux fonctionne-t-il sur les systèmes basés sur CentOs ? Actuellement, les packages ENSL SELinux RPM ne fonctionnent que sur les systèmes basés sur Redhat. Vous pouvez voir l'erreur distribution is not supported sur d'autres plates-formes Linux lorsque vous installez le package ENSL SELinux RPM.
Quels sont les types de paquets DAT et MEDDAT ?
Les fichiers DAT sont les fichiers de définition de virus V2 standard. Ces fichiers ne sont utilisés que par ENSL 10.6.x. MED DAT est un sous-ensemble de V2 DAT, qui occupe moins d'espace et de mémoire. Ce DAT est plus rapide et plus léger que le V2 DAT. Celles-ci ne sont utilisées que par les versions ENSL 10.7.0 et ultérieures.
Comment télécharger manuellement les derniers fichiers DAT/MEDDAT ?
DAT/MEDDAT est généralement automatiquement téléchargé quotidiennement sur les serveurs ePolicy Orchestrator (ePO). Cependant, vous pouvez obtenir les derniers fichiers DAT à partir de la page des mises à jour de sécurité.
Puis-je vérifier manuellement les fichiers DAT/MEDDAT téléchargés dans le référentiel maître ? Oui.
Ouvrez le Référentiel principal et cliquez sur Archiver, Type de package, Produit ou Mise à jour(.zip).
Ajoutez le fichier DAT .zip que vous venez de télécharger et cliquez sur Suivant.
Conservez la branche par défaut sur Actuel et cliquez sur Enregistrer.
Existe-t-il une protection adaptative contre les menaces (ATP) disponible avec l'ENSLTP ?
Non, ATP n'est pas pris en charge avec ENSL. Il n'est pris en charge qu'avec la plate-forme Windows.
Puis-je vérifier si l'analyse à l'accès (OAS) d'un appareil est désactivée ou activée depuis ePO ?
Ouvrez ePO et sélectionnez votre hôte.
Cliquez sur Produits, Prévention contre les menaces Endpoint Security, Analyse à l'accès.
Affichez l'état de l'option Activer l'analyse à l'accès.
AP, EP s'affiche comme faux dans ePO. Comment puis-je vérifier si ceux-ci sont activés sur l'hôte ?
Pour vérifier l'état du point d'accès : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --getapstatus et appuyez sur Entrée.
Pour vérifier l'état de l'EP : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --getepstatus et appuyez sur Entrée.
Pourquoi ma tâche ODS en cours d'exécution est-elle arrêtée lorsque la tâche de mise à jour s'exécute ?
La tâche de mise à jour (DAT/MEDDAT) est la tâche la plus prioritaire dans ENSL. Cette tâche obtient les dernières mises à jour de sécurité nécessaires pour analyser et protéger votre système. Les tâches ODS sont interrompues pendant la mise à jour et reprennent une fois la mise à jour terminée.
Où pouvons-nous trouver les journaux d'analyse/de détection ?
Pour afficher les fichiers numérisés, ouvrez /var/McAfee/ens/log/tp/mfeoasmgr.log.
Pour afficher les détections d'infection, accédez à /var/log/messages ou /var/log/syslog et recherchez le mot-clé msg=Infection caught.
Quelles sont les commandes pour afficher les signatures EP et les exclusions EP ?
Pour afficher toutes les signatures EP, ouvrez /opt/McAfee/ens/tp/bin/mfetpcli --getallepsignatureset recherchez le mot-clé violated the rule.
Pour afficher toutes les exclusions EP, ouvrez /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusionset recherchez le mot-clé violated the rule.
Comment puis-je afficher la liste des exclusions configurées via la ligne de commande ?
Pour vérifier les exclusions AP : /opt/McAfee/ens/tp/bin/mfetpcli --getapexclusions
Pour vérifier les exclusions EP : /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusions
Pour vérifier les exclusions de la SV : /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist
Quelle est la commande pour lancer la mise à jour du DAT par défaut de Trellix à partir du système Linux ?
Vérifiez la liste des tâches : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --listtask et appuyez sur Entrée.
Recherchez le nom de la tâche "Default Client Update task"
Exécutez la tâche de mise à jour DAT par défaut : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --runtask --name "<Default Client Update task as listed above>" et appuyez sur Entrée.
Où peut-on trouver des rapports ODS sur une machine Linux ? Les rapports d'analyse ODS peuvent être trouvés à l'/var/McAfee/ens/log/tp/odsreport/archive
Comment arrêter ou annuler une tâche ODS en cours d'exécution dans ENS ?
Dans ePO : Ouvrez l'arborescence système et sélectionnez l'hôte. Cliquez sur Actions, Exécuter la tâche client maintenant, puis sur Prévention contre les menaces Endpoint Security, Annuler l'analyse à la demande.
Depuis la ligne de commande :
Obtenez l'ID d'index de tâche ODS : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --listtaskset appuyez sur Entrée.
Arrêtez la tâche ODS avec l'ID d'index respectif : Tapez /opt/McAfee/ens/tp/bin/mfetpcli --stoptask --index <index id> et appuyez sur Entrée.
Puis-je supprimer manuellement toutes les tâches ODS sur le serveur ?
Non, vous ne pouvez pas supprimer manuellement toutes les tâches ODS en même temps. Mais, pouvez-vous les supprimer un par un, en exécutant la commande ci-dessous :
Comment changer le niveau de sensibilité GTI sur un serveur Linux ?
Ouvrez ePO, sélectionnez la stratégie OAS, puis cliquez sur Trellix GTI.
Définissez le niveau de sensibilité et cliquez sur Enregistrer. Appliquez les modifications en effectuant un appel d'agent de réveil.
Comment activer le mode FANotify ?
Tapez /opt/McAfee/ens/tp/bin/mfetpcli --usefanotify et appuyez sur Entrée.
Redémarrez le service ENSLTP pour que les modifications prennent effet : Tapez /opt/McAfee/ens/tp/init/mfetpd-control.sh restart et appuyez sur Entrée.
Comment désactiver le mode FANotify et revenir au mode Kernel ?
Tapez /opt/McAfee/ens/tp/bin/mfetpcli --usekernel et appuyez sur Entrée.
Redémarrez le service ENSLTP pour que les modifications prennent effet : Tapez /opt/McAfee/ens/tp/init/mfetpd-control.sh restart et appuyez sur Entrée.
Comment puis-je ajouter des exclusions OAS pour des processus spécifiques à partir d'ePO ?
Ouvrez ePO et cliquez sur Stratégie OAS, Paramètres de processus.
Propriétés Configurer différents paramètres pour les processus à haut risque et à faible risque, définissez l'option Quand analyser pour Faible risque sur Ne pas analyser.
Cliquez surAjouter et entrez votre liste de processus exclus de confiance.
Appliquez cette stratégie à votre hôte et effectuez l'appel Wakeupagent.
Comment puis-je ajouter des exclusions de lecture ou d'écriture pour les fichiers et dossiers localement ?
Ouvrez une session de ligne de commande.
Tapez /opt/McAfee/ens/tp/bin/mfetpcli --setoasprofileconfig --profile standard --addexclusionrw --excludepath "< file/directory path to be excluded>"et appuyez sur Entrée.
Comment activer/désactiver les signatures de prévention contre les exploits d'ePO ?
Ouvrez ePO, cliquez sur Stratégie de prévention contre les exploits, Avancé. Ouvrez Signatures et dans le filtre, sélectionnez Linux.
Choisissez l' ID de signature à activer ou à désactiver. Cliquez sur Enregistrer.
Appliquez cette politique à votre hôte et effectuez un appel Wakeupagent.
Comment puis-je définir la durée d'analyse maximale pour chaque analyse de fichier ?
Ouvrez ePO et accédez à OAS Policy.
Ouvrez On-Access Scan, et dans Specify maximum number of seconds for each file scan, réglez l'heure de mise à jour.
Cliquez sur Enregistrer.
Comment pouvons-nous modifier les actions de détection des menaces ? Puis-je refuser l'accès aux fichiers infectés plutôt que de les supprimer ?
Ouvrez ePO et accédez à OAS Policy.
Ouvrez Process Settingset cliquez sur Process Types.
Choisissez vos profils (standard, à haut risque, à faible risque) et ouvrez Actions.
Affichez la première réponse de détection des menaceset sélectionnez Refuser l'accès aux fichiers. Cliquez sur Enregistrer.
Appliquez cette politique à votre hôte et effectuez un appel Wakeupagent.
Comment puis-je bloquer le renommage des fichiers ? Puis-je faire cela pour les règles de protection d'accès sur ePO ?
Exemple de règle AP pour bloquer l'opération de renommage de fichier :
Ouvrez ePO et accédez à la stratégie de protection d'accès.
Sous Règles, sélectionnez Linux et cliquez sur Ajouter.
Entrez un nouveau nom de règle. Activez les options d'action Bloquer et Signaler.
Propriétés Sous-règles, entrez un nom de sous-règle. Sous Type de sous-règle, choisissez Fichiers.
Propriétés Opérations, choisissez Renommer et accédez à la section Cibles. Cliquez sur Ajouter et sous Statut d'inclusion, sélectionnez Inclure.
Dans la liste déroulante, sélectionnez Chemin d'accès au fichier, fournissez un chemin d'accès complet au fichier que vous souhaitez empêcher d'être renommé, puis cliquez sur Enregistrer.
Appliquez cette politique à votre hôte et effectuez un appel Wakeupagent.
Quels packages et extensions dois-je télécharger et archiver dans ePO avant d'installer ENSL ?
Packages de produits : Trellix Agent (TA) pour LINUX, Endpoint Security Kernel Modules pour Linux et Endpoint Security pour Linux Threat Prevention
Packages d'extension : TA Extension, Endpoint Security for Linux License, Endpoint Security Platform et Prévention contre les menaces Endpoint Security
Dans quel ordre dois-je installer ENSL et les autres produits ?
Installez d'abord TA, puis installez vos autres produits Linux.
Quels sont les prérequis pour installer l'ENSL ?
Vous avez besoin de Python 2.7 ou version ultérieure installé sur votre hôte (pour une nouvelle installation ENSL).
Vous avez besoin des ressources gratuites minimales suivantes, aux emplacements suivants :
Répertoire d'installation : 1.7 Go d'espace libre
/opt/McAfee répertoire : 750 Mo d'espace libre
/tmp répertoire : 200 Mo d'espace libre
/var répertoire : partition de 3 Go, 750 Mo d'espace libre
Quels problèmes ENSL vais-je rencontrer si je désinstalle TA ?
L'installation de TA avec ENSL est obligatoire même lorsque ENSL est installé en mode autonome.
TA met à jour l'ENSL, en effectuant des mises à jour quotidiennes du DAT et de la sécurité du contenu. Vous devez garder TA installé.
L'ENSL nécessite-t-il le redémarrage des hôtes après une nouvelle installation ou une mise à niveau ?
Non, il n'est pas nécessaire de redémarrer ou de redémarrer vos hôtes Linux après l'installation ou la mise à niveau d'ENSL.
Puis-je installer ENSL avec OAS ou Access Protection en mode désactivé ?
Oui, vous pouvez. Pour une installation autonome : Téléchargez le package autonome ENSL, décompressez le fichier tar.gz et exécutez le script d'installation en utilisant le paramètre oasoff apoff. Par exemple, ./install-mfetp.sh oasoff apoff
Pour une installation ePO (sur site) :
Ouvrez l'arborescence des systèmes et sélectionnez l'hôte cible. Cliquez sur Action, Exécuter la tâche maintenant, Trellix Agent, Déploiement du produit.
Cliquez sur Créer une nouvelle tâche et pour Plates-formes cibles, sélectionnez Linux.
Dans Produits et composants, sélectionnez le package ENSL Threat Prevention.
Dans Ligne de commande, ajoutez le paramètre oasoff apoff.
Cliquez sur Exécuter la tâche maintenant.
Où puis-je trouver les journaux d'installation ENSL ? Tous les journaux d'installation se trouvent sous le répertoire /tmp et le nom du fichier estensltp-epo-setup.log
Comment modifier les répertoires d'emplacement d'installation par défaut de /opt/McAfee/ et /var/McAfee/ vers d'autres points de montage, lors de l'installation d'ENSL ?
Vous ne pouvez pas modifier l'emplacement d'installation par défaut d'ENSL.
Pourquoi ne puis-je pas afficher les détails du produit ENSL installé sous Informations système dans ePO ?
Pour afficher les détails du produit ENSL dans ePO, vous devez installer les extensions ENSL ePO.
Assurez-vous que vos extensions ENS ont été installées et assurez-vous qu'il s'agit des dernières versions.
Les politiques ENSL actuelles seront-elles modifiées ou mises à jour une fois que j'aurai effectué la mise à niveau vers la dernière version ENSL ? Non. Il n'y aura aucun changement sur les politiques ENSL existantes; toutes les configurations resteront les mêmes qu'avant.
Lorsque j'exécute le script d'installation ENSL, à l'aide de la commande "sudo ./install-mfetp.sh", je vois l'erreur "Autorisation refusée". Pourquoi ? Pour exécuter le script d'installation ENSL, assurez-vous que l'utilisateur exécutant le script dispose des droits de lecture/écriture/exécution et que le script d'installation dispose des autorisations d'exécution.
Pour lister les droits actuellement appliqués au script, exécutez la commandels –lrt install-mfetp.sh
Pour ajouter des droits d'exécution au script, exécutez la commande chmod +x install-mfetp.sh Maintenant, relancez le script d'installation sudo ./install-mfetp.sh
Puis-je mettre à niveau uniquement le module du noyau ENSL, sans mettre à niveau le produit ENSL ? Oui. Le package de mise à jour du module du noyau prend en charge les nouvelles mises à jour du noyau sans vous obliger à mettre à niveau le produit ENSL.
Puis-je effectuer une mise à niveau vers la dernière version de l'ENSLTP sans enregistrer le dernier package du module du noyau ENS ? Non. Vous ne pouvez pas simplement mettre à niveau ENSLTP vers la dernière version, sans disposer du dernier package de module de noyau ENS dans le référentiel maître ePO.
Pourquoi l'erreur "McAfee Agent ne s'exécute pas en mode confiné" s'affiche-t-elle ? Les produits McAfee Endpoint Security pour Linux ne s'exécuteront pas non plus en mode confiné," lorsque j'installe le package ENSL Selinux RPM ? Pour rendre les produits ENSL confinés à Selinux, installez d'abord le packageRPM MFEma-selinux puis le package RPM ENSL Selinux.
Puis-je installer le package RPM ENSL Selinux sur les plateformes Ubuntu, Centos ou SeLinux ? Non. Le package ENSL Selinux RPM est actuellement pris en charge uniquement sur les systèmes basés sur Redhat.
Pourquoi est-ce que je vois "Event ID : 1048" lorsqu'un client ENSL numérise des PDF ou tout autre type de fichier ?
"Event ID : 1048" signifie que l'analyse signale une erreur système générale. Vous le voyez généralement généré chaque fois qu'un fichier est refusé pour l'accès ou est protégé par un mot de passe.
Pourquoi la notification "Event ID: 1024 Action taken: Access denied" s'affiche-t-elle lorsque ENS détecte un fichier en cours de lecture à partir d'une notification de support externe (DVD) ?
Le client ENS détermine qu'un fichier spécifique est malveillant mais en lecture seule et bloque l'accès à ce fichier, de sorte que les processus malveillants ne peuvent pas être lancés et l'accès au fichier ne peut pas être tenté.
Pourquoi l'erreur "Vérification des produits dépendants Dépendances trouvées ! Échec de la désinstallation" s'affiche-t-elle lorsque je désinstalle TA ?
Vous ne pouvez pas supprimer TA à moins que tous les produits ENS dépendants ne soient d'abord supprimés ; par exemple, ENSLTP, Pare-feu, etc.
Je vois des erreurs telles que "Aucun fichier ou répertoire de ce type" dans les journaux OAS lorsque le fichier pour lequel la demande d'analyse est effectuée a déjà été supprimé, comme les fichiers temporaires. Pourquoi ?
Cette erreur est attendue, car le fichier n'existe pas. L'erreur indique que le fichier a été analysé et supprimé conformément aux paramètres d'action OAS, il n'y a donc aucun impact dans ce cas.
Pour éviter de voir cette erreur (si vous faites confiance aux fichiers à l'origine de l'erreur), envisagez de les ajouter aux listes d'exclusion OAS.
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.