Domande frequenti su Endpoint Security per la prevenzione delle minacce di Linux
Articoli tecnici ID:
KB96340
Ultima modifica: 2023-07-14 03:19:05 Etc/GMT
Ambiente
Endpoint Security for Linux (ENSL) Endpoint Security for Linux Threat Prevention (ENSLTP)
Riepilogo
Questo articolo è un elenco consolidato di domande e risposte comuni destinate agli utenti che non conoscono il prodotto. Ma può essere utile a tutti gli utenti.
Aggiornamenti recenti a questo articolo
Data
Aggiornamento
21 marzo 2023
Aggiornata la sezione Installazione con domande frequenti aggiuntive.
13 marzo 2023
Pubblicazione iniziale
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Contenuti Fare clic per espandere la sezione che si desidera visualizzare:
Come funzionano la modalità FANotify e la modalità kernel per ENS? Il modulo del kernel e FANotify sono due modi attraverso i quali ENSL può ottenere eventi di accesso ai file (apertura, lettura, scrittura, ecc.) dal sistema. Con il modulo del kernel, ENSL si aggancia alle chiamate di sistema per ottenere gli eventi. Successivamente, il kernel Linux stesso fornisce una funzione denominata FANotify. Con FANotify, qualsiasi applicazione dello spazio utente può registrarsi per ottenere tutti gli eventi del file system per l'elaborazione. Ciò evita che qualsiasi applicazione in spazio utente scriva i moduli del kernel per lo stesso scopo. Quindi, il modulo del kernel e FANotify hanno lo stesso scopo di fornire tutti gli eventi allo spazio utente ENSLTP da scansionare. Tutti i clienti ENSL su Ubuntu/Debian o SUSE usano solo FANotify poiché non forniamo loro il modulo del kernel. Puoi tranquillamente usare FANotify o il modulo del kernel poiché non c'è differenza nella funzionalità.
Posso utilizzare ENSLTP per bloccare o gestire le unità USB su Linux?
No, ENSLTP non può essere utilizzato per bloccare le unità USB.
Qual è l'impatto della disabilitazione della regola "Modify or remove the "passwd" or "shadow" files by a process other than passwd" nella politica di protezione dell'accesso ENSLTP?
Devo apportare ulteriori modifiche? Il file /etc/passwdmemorizza le informazioni essenziali richieste durante il login. In altre parole, memorizza le informazioni sull'account utente. Il file di sistema ombra in Linux memorizza le password utente crittografate. Se questa regola è disabilitata, un processo diverso da passwd può modificare i file. Ti consigliamo vivamente di non disabilitare questa regola.
ENSL può scansionare all'interno di un container?
No, ENSL non supporta la scansione all'interno dei container; supporta solo la scansione sull'host in cui viene avviato il contenitore.
Ho bisogno dell'autorizzazione root per avviare un'attività di scansione su richiesta (ODS) dalla riga di comando?
Sì, sono necessari i diritti di amministratore per eseguire attività ODS.
Sul server Linux, nell'applicazione sono presenti file crittografati con il metodo di crittografia a chiave comune (AES-256), ma è possibile scansionare i file crittografati con ENSL?
ENSL non esegue la scansione dei file crittografati; solo i file decrittografati possono essere scansionati. Potresti visualizzare errori di scansione quando i file crittografati vengono scansionati da ENSL.
ENSL SELinux funziona su sistemi basati su CentOs? Attualmente, i pacchetti ENSL SELinux RPM funzionano solo su sistemi basati su Redhat. Potresti visualizzare l'errore distribution is not supported su altre piattaforme Linux quando installi il pacchetto ENSL SELinux RPM.
Quali sono i tipi di pacchetto DAT e MEDDAT?
I file DAT sono i file di definizione dei virus V2 standard. Questi file sono utilizzati solo da ENSL 10.6.x. MED DAT è un sottoinsieme di V2 DAT, che occupa meno spazio e memoria. Questo DAT è più veloce e più leggero di V2 DAT. Questi sono utilizzati solo dalla versione ENSL 10.7.0 e successive.
Come faccio a scaricare manualmente gli ultimi file DAT/MEDDAT?
DAT/MEDDAT viene generalmente scaricato automaticamente su base giornaliera sui server di ePolicy Orchestrator (ePO). Tuttavia, puoi ottenere i file DAT più recenti dalla pagina degli aggiornamenti di sicurezza.
Posso controllare manualmente i file DAT/MEDDAT scaricati nel Master Repository? Sì.
Aprire l'Archivio principale e fare clic su Archiviazione, Tipo di pacchetto, Prodotto o Aggiornamento(.zip).
Aggiungi il file DAT .zip appena scaricato e fai clic su Avanti.
Mantieni il ramo predefinito su Corrente e fai clic su Salva.
È disponibile l'Adaptive Threat Protection (ATP) con ENSLTP?
No, ATP non è supportato con ENSL. È supportato solo con la piattaforma Windows.
Posso verificare se la scansione all'accesso (OAS) di un dispositivo è disabilitata o abilitata da ePO?
Apri ePO e seleziona il tuo host.
Fare clic su Prodotti, Prevenzione delle minacce Endpoint Security, Scansione all'accesso.
Visualizza lo stato di Abilita scansione all'accesso.
AP, EP viene visualizzato come falso in ePO. Come posso verificare se questi sono abilitati sull'host?
Per verificare lo stato dell'AP: Digitare /opt/McAfee/ens/tp/bin/mfetpcli --getapstatus e premere Invio.
Per verificare lo stato EP: Digitare /opt/McAfee/ens/tp/bin/mfetpcli --getepstatus e premere Invio.
Perché la mia attività ODS attualmente in esecuzione viene interrotta quando viene eseguita l'attività di aggiornamento?
L'attività di aggiornamento (DAT/MEDDAT) è l'attività con la priorità più alta in ENSL. Questa attività ottiene gli ultimi aggiornamenti di sicurezza necessari per la scansione e la protezione del sistema. Le attività ODS vengono sospese durante l'aggiornamento e riprendono una volta completato l'aggiornamento.
Dove possiamo trovare i registri di scansione/rilevamento?
Per visualizzare i file scansionati, apri /var/McAfee/ens/log/tp/mfeoasmgr.log.
Per visualizzare i rilevamenti delle infezioni, passare a /var/log/messages o /var/log/syslog e cercare la parola chiave msg=Infection caught.
Quali sono i comandi per visualizzare le firme EP e le esclusioni EP?
Per visualizzare tutte le firme EP, apri /opt/McAfee/ens/tp/bin/mfetpcli --getallepsignaturese cerca la parola chiave violated the rule.
Per visualizzare tutte le esclusioni EP, apri /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusionse cerca la parola chiave violated the rule.
Come posso visualizzare l'elenco delle esclusioni configurato tramite la riga di comando?
Per verificare le esclusioni AP: /opt/McAfee/ens/tp/bin/mfetpcli --getapexclusions
Per verificare le esclusioni EP: /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusions
Per verificare le esclusioni OAS: /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist
Qual è il comando per avviare l'aggiornamento DAT predefinito di Trellix dal sistema Linux?
Controlla l'elenco delle attività: Digita /opt/McAfee/ens/tp/bin/mfetpcli --listtask e premi Invio.
Cerca il nome dell'attività "Default Client Update task"
Eseguire l'attività di aggiornamento DAT predefinita: Digitare /opt/McAfee/ens/tp/bin/mfetpcli --runtask --name "<Default Client Update task as listed above>" e premere Invio.
Dove possiamo trovare i rapporti ODS su una macchina Linux? I rapporti di scansione ODS sono disponibili in/var/McAfee/ens/log/tp/odsreport/archive
Come posso interrompere o annullare un'attività ODS in esecuzione in ENS?
In ePO: Apri la struttura del sistema e seleziona l'host. Fare clic su Azioni, Esegui attività client ora, quindi su Prevenzione delle minacce di Endpoint Security, Annulla scansione su richiesta.
Interrompere l'attività ODS con il rispettivo ID indice: Digitare /opt/McAfee/ens/tp/bin/mfetpcli --stoptask --index <index id> e premere Invio.
Posso eliminare manualmente tutte le attività ODS sul server?
No, non puoi eliminare manualmente tutte le attività ODS contemporaneamente. Ma puoi eliminarli uno alla volta, eseguendo il comando seguente:
Come posso modificare il livello di sensibilità GTI su un server Linux?
Apri ePO, seleziona la policy OAS e fai clic su Trellix GTI.
Impostare il livello di sensibilità e fare clic su Salva. Applica le modifiche eseguendo una chiamata dell'agente di riattivazione.
Come abilito la modalità FANotify ?
Digita/opt/McAfee/ens/tp/bin/mfetpcli --usefanotify e premi Invio.
Riavviare il servizio ENSLTP per rendere effettive le modifiche: Digitare /opt/McAfee/ens/tp/init/mfetpd-control.sh restart e premere Invio.
Come posso disabilitare la modalità FANotify e tornare alla modalità Kernel?
Digita/opt/McAfee/ens/tp/bin/mfetpcli --usekernel e premi Invio.
Riavviare il servizio ENSLTP per rendere effettive le modifiche: Digitare /opt/McAfee/ens/tp/init/mfetpd-control.sh restart e premere Invio.
Come posso aggiungere esclusioni OAS per processi specifici da ePO?
Apri ePO e fai clic su Criterio OAS, Impostazioni processo.
In Configura impostazioni diverse per i processi ad alto e basso rischio, imposta l'opzione Quando eseguire la scansione per Basso rischio come Non eseguire la scansione.
Fai clic suAggiungi e inserisci l'elenco dei processi esclusi attendibili.
Applica questa policy al tuo host ed esegui la chiamata Wakeupagent.
Come posso aggiungere esclusioni di lettura o scrittura per file e cartelle in locale?
Apri una sessione della riga di comando.
Digita/opt/McAfee/ens/tp/bin/mfetpcli --setoasprofileconfig --profile standard --addexclusionrw --excludepath "< file/directory path to be excluded>" e premi Invio.
Come possiamo abilitare/disabilitare le firme di Prevenzione exploit da ePO?
Apri ePO, fai clic su Criterio di prevenzione exploit, Avanzate. Apri Firme e nel Filtro, seleziona Linux.
Scegli l' ID firma da abilitare o disabilitare. Fare clic su Salva.
Applica questa politica al tuo host ed esegui una chiamata Wakeupagent.
Come posso impostare il tempo massimo di scansione per ogni scansione di file?
Apri ePO e vai a OAS Policy.
Apri On-Access Scane in Specify maximum number of seconds for each file scanimposta l'ora di aggiornamento.
Fare clic su Salva.
Come possiamo modificare le azioni di rilevamento delle minacce? Posso negare l'accesso ai file infetti anziché eliminarli?
Apri ePO e vai a OAS Policy.
Apri Process Settingse fai clic su Process Types.
Scegli i tuoi profili (standard, alto rischio, basso rischio) e apri Azioni.
Visualizza la prima risposta al rilevamento delle minaccee seleziona Nega l'accesso ai file. Fare clic su Salva.
Applica questa politica al tuo host ed esegui una chiamata Wakeupagent.
Come posso bloccare la ridenominazione dei file? Posso farlo per le regole di protezione dell'accesso su ePO?
Esempio di regola AP per bloccare l'operazione di ridenominazione dei file:
Apri ePO e vai al criterio di protezione dell'accesso.
In Regole, seleziona Linux e fai clic su Aggiungi.
Inserisci un nuovo nome per la regola. Abilita le opzioni di azione Blocca e Segnala.
In Sottoregole, inserisci il nome di una sottoregola. In Tipo di sottoregola scegliere File.
In Operazioni, scegli Rinomina e vai alla sezione Obiettivi. Fare clic su Aggiungi e in Stato inclusioneselezionare Includi.
Dall'elenco a discesa, seleziona Percorso file, fornisci un percorso file completo per il file che desideri evitare di rinominare e fai clic su Salva.
Applica questa politica al tuo host ed esegui una chiamata Wakeupagent.
Quali pacchetti ed estensioni devo scaricare e archiviare in ePO prima di installare ENSL?
Pacchetti di prodotti: Trellix Agent (TA) per LINUX, Endpoint Security Kernel Modules per Linux e Endpoint Security for Linux Threat Prevention
Pacchetti di estensione: estensione TA, licenza Endpoint Security for Linux, piattaforma Endpoint Security e prevenzione delle minacce Endpoint Security
In quale ordine devo installare ENSL e altri prodotti?
Installa prima TA, quindi installa gli altri prodotti Linux.
Quali sono i prerequisiti per l'installazione di ENSL?
Hai bisogno di Python 2.7 o successivo installato sul tuo host (per una nuova installazione di ENSL).
Sono necessarie le seguenti risorse gratuite minime, nelle seguenti posizioni:
Directory di installazione: 1.7 GB di spazio libero
/opt/McAfee directory: 750 MB di spazio libero
/tmp directory: 200 MB di spazio libero
/var directory: partizione da 3 GB, 750 MB di spazio libero
Quali problemi di ENSL vedrò se disinstallo TA?
L'installazione di TA insieme a ENSL è obbligatoria anche quando ENSL è installato in modalità standalone.
TA aggiorna ENSL, eseguendo quotidianamente aggiornamenti DAT e di sicurezza dei contenuti. Devi mantenere TA installato.
ENSL richiede il riavvio degli host dopo una nuova installazione o un aggiornamento?
No, non è necessario riavviare o riavviare gli host Linux dopo l'installazione o l'aggiornamento di ENSL.
Posso installare ENSL con OAS o Access Protection in modalità disabilitata?
Si, puoi. Per un'installazione autonoma : Scarica il pacchetto autonomo ENSL, decomprimi il file tar.gz ed esegui lo script di installazione utilizzando il parametro oasoff apoff. Ad esempio, ./install-mfetp.sh oasoff apoff
Per un'installazione ePO (in locale):
Aprire la Struttura dei sistemi e selezionare l'host di destinazione. Fare clic su Azione, Esegui attività ora, Agente Trellix, Distribuzione prodotto.
Fare clic su Crea nuova attività e per Piattaforme di destinazioneselezionare Linux.
In Prodotti e componentiselezionare il pacchetto ENSL Threat Prevention.
In Riga di comandoaggiungere il parametro oasoff apoff.
Fai clic su Esegui attività ora.
Dove posso trovare i log di installazione di ENSL? Tutti i registri di installazione possono essere trovati nella directory /tmp e il nome del file èensltp-epo-setup.log
Come posso modificare le directory del percorso di installazione predefinito di /opt/McAfee/ e /var/McAfee/ in altri punti di montaggio, durante l'installazione di ENSL?
Non è possibile modificare il percorso di installazione predefinito di ENSL.
Perché non riesco a visualizzare i dettagli del prodotto ENSL installato in Informazioni di sistema in ePO?
Per visualizzare i dettagli del prodotto ENSL in ePO, è necessario installare le estensioni ENSL ePO.
Assicurati che le tue estensioni ENS siano state installate e assicurati che siano le versioni più recenti.
Le attuali politiche ENSL verranno modificate o aggiornate dopo l'aggiornamento all'ultima versione ENSL?
NO. Non ci saranno modifiche alle politiche ENSL esistenti; tutte le configurazioni rimarranno le stesse di prima.
Quando eseguo lo script di installazione di ENSL, utilizzando il comando "sudo ./install-mfetp.sh", viene visualizzato l'errore "Autorizzazione negata". Perché? Per eseguire lo script di installazione ENSL, assicurarsi che l'utente che esegue lo script disponga dei diritti di lettura/scrittura/esecuzione e che lo script di installazione disponga delle autorizzazioni di esecuzione.
Per elencare i diritti attualmente applicati allo script, eseguire il comandols –lrt install-mfetp.sh
Per aggiungere i diritti di esecuzione allo script, eseguire il comando chmod +x install-mfetp.sh Ora, eseguire nuovamente lo script di installazione sudo ./install-mfetp.sh
Posso aggiornare solo il modulo del kernel ENSL, senza aggiornare il prodotto ENSL? Sì. Il pacchetto di aggiornamento del modulo del kernel fornisce supporto per i nuovi aggiornamenti del kernel senza richiedere l'aggiornamento del prodotto ENSL.
Posso eseguire l'aggiornamento all'ultima versione di ENSLTP senza archiviare l'ultimo pacchetto del modulo kernel ENS?
NO. Non è possibile eseguire l'upgrade di ENSLTP all'ultima versione senza disporre dell'ultimo pacchetto del modulo kernel ENS nell'ePO Master Repository.
Perché viene visualizzato l'errore "McAfee Agent non è in esecuzione in modalità confinata. Anche i prodotti McAfee Endpoint Security for Linux non funzioneranno in modalità confinata", quando installo il pacchetto RPM ENSL Selinux? Per rendere confinati i prodotti ENSL Selinux, installare prima il pacchettoRPM MFEma-selinux e quindi il pacchetto RPM ENSL Selinux.
Posso installare il pacchetto RPM ENSL Selinux su piattaforme Ubuntu, Centos o SeLinux?
NO. Il pacchetto ENSL Selinux RPM è attualmente supportato solo su sistemi basati su Redhat.
Perché viene visualizzato "ID evento: 1048" quando un client ENSL esegue la scansione di PDF o di qualsiasi altro tipo di file?
"ID evento: 1048" significa che la scansione riporta un errore di sistema generale. Di solito lo vedi generato ogni volta che a un file viene negato l'accesso o è protetto da password.
Perché viene visualizzata la notifica "Event ID: 1024 Action taken: Access denied" quando ENS rileva un file letto da una notifica di supporto esterno (DVD)?
Il client ENS determina che un file specifico è dannoso ma di sola lettura e blocca l'accesso a quel file, in modo che non possano essere avviati processi dannosi e non sia possibile tentare l'accesso al file.
Perché visualizzo l'errore "Controllo dei prodotti dipendenti Rilevate dipendenze! Disinstallazione non riuscita" quando disinstallo TA?
Non è possibile rispostare TA a meno che non vengano rimossi prima tutti i prodotti ENS dipendenti; ad esempio, ENSLTP, Firewall, ecc.
Vedo errori come "No such file or directory" nei registri OAS quando il file per il quale è stata effettuata la richiesta di scansione è già stato eliminato, come i file temporanei. Perché?
Questo errore è previsto perché il file non esiste. L'errore indica che il file è stato analizzato ed eliminato in base alle impostazioni dell'azione OAS, pertanto in questo caso non vi è alcun impatto.
Per evitare di visualizzare questo errore (se ritieni attendibili i file che causano l'errore), considera di aggiungerli agli elenchi di esclusione OAS.
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.