A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Endpoint Security for Linux (ENSL) Endpoint Security for Linux Threat Prevention (ENSLTP)
Resumo
Este artigo é uma lista consolidada de perguntas e respostas comuns destinadas a usuários que são novos no produto. Mas, pode ser útil para todos os usuários.
Atualizações recentes deste artigo
Data
Atualização
21 de março de 2023
A seção de instalação foi atualizada com perguntas frequentes adicionais.
13 de março de 2023
publicação inicial
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
Sumário Clique para expandir a seção que você deseja exibir:
Como funcionam o modo FANotify e o modo Kernel para ENS? O módulo do kernel e FANotify são duas maneiras pelas quais o ENSL pode obter eventos de acesso a arquivos (abrir, ler, escrever, etc.) do sistema. Com o módulo do kernel, o ENSL conecta-se às chamadas do sistema para obter os eventos. Mais tarde, o próprio kernel do Linux fornece um recurso chamado FANotify. Com FANotify, qualquer aplicativo de espaço de usuário pode se registrar para obter todos os eventos do sistema de arquivos para processamento. Isso evita que qualquer aplicativo do espaço do usuário escreva os módulos do kernel para o mesmo propósito. Portanto, o módulo do kernel e FANotify têm o mesmo propósito de fornecer todos os eventos para o ENSLTP do espaço de usuário escanear. Todos os clientes ENSL no Ubuntu/Debian ou SUSE usam apenas FANotify , pois não fornecemos o módulo do kernel para eles. Você pode usar com segurança FANotify ou o módulo do kernel, pois não há diferença na funcionalidade.
Posso usar o ENSLTP para bloquear ou gerenciar drives USB no Linux?
Não, o ENSLTP não pode ser usado para bloquear drives USB.
Qual é o impacto de desabilitar a regra "Modify or remove the "passwd" or "shadow" files by a process other than passwd" na política de proteção de acesso ENSLTP?
Preciso fazer mais alguma modificação? O arquivo /etc/passwdarmazena informações essenciais necessárias durante o login. Em outras palavras, ele armazena as informações da conta do usuário. O arquivo de sistema de sombra no Linux armazena senhas de usuário criptografadas. Se esta regra estiver desativada, um processo diferente de passwd pode modificar os arquivos. Recomendamos fortemente que você não desabilite esta regra.
O ENSL pode digitalizar dentro de um contêiner?
Não, o ENSL não oferece suporte à digitalização dentro de contêineres; ele suporta apenas a varredura no host em que o contêiner é iniciado.
Preciso de permissão root para iniciar uma tarefa de verificação sob demanda (ODS) a partir da linha de comando?
Sim, são necessários direitos de administrador para executar tarefas ODS.
No servidor Linux, existem arquivos criptografados com o método de criptografia de chave comum (AES-256) no aplicativo, mas é possível verificar os arquivos criptografados com ENSL?
ENSL não verifica arquivos criptografados; somente arquivos descriptografados podem ser verificados. Você pode ver erros de verificação quando arquivos criptografados são verificados pelo ENSL.
O ENSL SELinux funciona em sistemas baseados em CentOs? Atualmente, os pacotes ENSL SELinux RPM funcionam apenas em sistemas baseados em Redhat. Você pode ver o erro distribution is not supported em outras plataformas Linux ao instalar o pacote ENSL SELinux RPM.
Quais são os tipos de pacotes DAT e MEDDAT?
Os arquivos DAT são os arquivos de definição de vírus V2 padrão. Esses arquivos são usados apenas pelo ENSL 10.6.x. MED DAT é um subconjunto do V2 DAT, que ocupa menos espaço e memória. Este DAT é mais rápido e mais leve que o V2 DAT. Estes são usados apenas pela versão ENSL 10.7.0 e posterior.
Como faço o download manual dos arquivos DAT/MEDDAT mais recentes?
O DAT/MEDDAT geralmente é baixado automaticamente diariamente nos servidores ePolicy Orchestrator (ePO). Mas você pode obter os arquivos DAT mais recentes na página de atualizações de segurança.
Posso verificar manualmente os arquivos DAT/MEDDAT baixados no Repositório mestre? Sim.
Abra o Repositório mestre e clique em Check-in, Tipo de pacote, Produto ou Atualização(.zip).
Adicione o arquivo DAT .zip recém-baixado e clique em Avançar.
Mantenha a ramificação padrão como Atual e clique em Salvar.
Existe proteção adaptativa contra ameaças (ATP) disponível com ENSLTP?
Não, ATP não é compatível com ENSL. Só é compatível com a plataforma Windows.
Posso verificar se a varredura ao acessar (OAS) de um dispositivo está desabilitada ou habilitada no ePO?
Abra o ePO e selecione seu host.
Clique em Produtos, Endpoint Security Threat Prevention, On-Access Scan.
Visualize o status de Ativar varredura ao acessar.
AP, EP está aparecendo como falso no ePO. Como faço para verificar se eles estão ativados no host?
Para verificar o status do AP: Digite /opt/McAfee/ens/tp/bin/mfetpcli --getapstatus e pressione Enter.
Para verificar o status do EP: Digite /opt/McAfee/ens/tp/bin/mfetpcli --getepstatus e pressione Enter.
Por que minha tarefa ODS em execução atual é interrompida quando a tarefa de atualização é executada?
A tarefa de atualização (DAT/MEDDAT) é a tarefa de maior prioridade no ENSL. Esta tarefa obtém as atualizações de segurança mais recentes necessárias para verificar e proteger seu sistema. As tarefas ODS são pausadas durante a atualização e retomadas assim que a atualização é concluída.
Onde podemos encontrar os logs de varredura/detecção?
Para visualizar os arquivos digitalizados, abra /var/McAfee/ens/log/tp/mfeoasmgr.log.
Para visualizar as detecções de infecção, navegue até /var/log/messages ou /var/log/syslog e procure a palavra-chave msg=Infection caught.
Quais são os comandos para visualizar as assinaturas de EP e exclusões de EP?
Para ver todas as assinaturas do EP, abra /opt/McAfee/ens/tp/bin/mfetpcli --getallepsignaturese procure a palavra-chave violated the rule.
Para ver todas as exclusões de EP, abra /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusionse procure a palavra-chave violated the rule.
Como posso visualizar a lista de exclusões configuradas por meio da linha de comando?
Para verificar as exclusões de AP: /opt/McAfee/ens/tp/bin/mfetpcli --getapexclusions
Para verificar exclusões de EP: /opt/McAfee/ens/tp/bin/mfetpcli --getepexclusions
Para verificar as exclusões da OEA: /opt/McAfee/ens/tp/bin/mfetpcli --getoasconfig --exclusionlist
Qual é o comando para iniciar a atualização DAT padrão do Trellix no sistema Linux?
Confira a lista de tarefas: Digite /opt/McAfee/ens/tp/bin/mfetpcli --listtask e pressione Enter.
Procure o nome da tarefa "Default Client Update task"
Execute a tarefa de atualização DAT padrão: Digite /opt/McAfee/ens/tp/bin/mfetpcli --runtask --name "<Default Client Update task as listed above>" e pressione Enter.
Onde podemos encontrar relatórios ODS em uma máquina Linux? Os relatórios de verificação de ODS podem ser encontrados em/var/McAfee/ens/log/tp/odsreport/archive
Como paro ou cancelo uma tarefa ODS em execução no ENS?
No ePO: Abra a árvore do sistema e selecione o host. Clique em Ações, Executar tarefa do cliente agorae, em seguida, clique em Prevenção contra ameaças de segurança de endpoint, Cancelar verificação sob demanda.
Na linha de comando:
Obtenha o ID do índice da tarefa ODS: Digite /opt/McAfee/ens/tp/bin/mfetpcli --listtaskse pressione Enter.
Pare a tarefa ODS com o respectivo id de índice: Digite /opt/McAfee/ens/tp/bin/mfetpcli --stoptask --index <index id> e pressione Enter.
Posso excluir manualmente todas as tarefas ODS no servidor?
Não, você não pode excluir manualmente todas as tarefas ODS de uma só vez. Mas, você pode excluí-los um de cada vez, executando o comando abaixo:
Como altero o nível de sensibilidade do GTI em um servidor Linux?
Abra o ePO, selecione a política OAS e clique em Trellix GTI.
Defina o nível de sensibilidade e clique em Salvar. Aplique as alterações realizando uma chamada de agente de ativação.
Como habilitar o modo FANotify ?
Digite /opt/McAfee/ens/tp/bin/mfetpcli --usefanotify e pressione Enter.
Reinicie o serviço ENSLTP para que as alterações entrem em vigor: Digite /opt/McAfee/ens/tp/init/mfetpd-control.sh restart e pressione Enter.
Como desabilito o modo FANotify e volto para o modo Kernel?
Digite /opt/McAfee/ens/tp/bin/mfetpcli --usekernel e pressione Enter.
Reinicie o serviço ENSLTP para que as alterações entrem em vigor: Digite /opt/McAfee/ens/tp/init/mfetpd-control.sh restart e pressione Enter.
Como posso adicionar exclusões de OAS para processos específicos do ePO?
Abra o ePO e clique em Política de OAS, Configurações do processo.
Em Definir configurações diferentes para processos de alto risco e baixo risco, defina a opção Quando digitalizar para Baixo risco como Não digitalizar.
Clique emAdicionar e insira sua lista de processos excluídos confiáveis.
Aplique esta política ao seu host e execute a chamada Wakeupagent.
Como posso adicionar exclusões de leitura ou gravação para arquivos e pastas localmente?
Abra uma seção de linha de comando.
Digite /opt/McAfee/ens/tp/bin/mfetpcli --setoasprofileconfig --profile standard --addexclusionrw --excludepath "< file/directory path to be excluded>"e pressione Enter.
Como podemos habilitar/desabilitar as assinaturas de prevenção de exploração do ePO?
Abra o ePO, clique em Exploit Prevention Policy, Advanced. Abra Assinaturas e no Filtro, selecione Linux.
Escolha a ID de assinatura para habilitar ou desabilitar. Clique em Salvar.
Aplique esta política ao seu Host e execute uma chamada Wakeupagent.
Como posso definir o tempo máximo de verificação para cada verificação de arquivo?
Abra o ePO e navegue até OAS Policy.
Abra On-Access Scan, e em Specify maximum number of seconds for each file scan, defina o tempo de atualização.
Clique em Salvar.
Como podemos alterar as ações de detecção de ameaças? Posso negar acesso a arquivos infectados em vez de excluí-los?
Abra o ePO e navegue até OAS Policy.
Abra Process Settingse clique em Process Types.
Escolha seus perfis (padrão, alto risco, baixo risco) e abra Actions.
Exiba a primeira resposta de detecção de ameaçase selecione Negar acesso a arquivos. Clique em Salvar.
Aplique esta política ao seu Host e execute uma chamada Wakeupagent.
Como posso bloquear a renomeação de arquivos? Posso fazer isso para as regras de proteção de acesso no ePO?
Exemplo de regra AP para bloquear operação de renomeação de arquivo:
Abra o ePO e navegue até a política de proteção de acesso.
Em Regras, selecione Linux e clique em Adicionar.
Digite um novo nome de regra. Habilite as opções de ação Bloquear e Reportar.
Em Sub-regras, insira um nome de sub-regra. Em Tipo de sub-regra, escolha Arquivos.
Em Operations, escolha Rename e navegue até a seção Targets. Clique em Adicionar e em Status de inclusão, selecione Incluir.
No menu suspenso, selecione Caminho do arquivo, forneça um caminho de arquivo completo para o arquivo que você deseja evitar que seja renomeado e clique em Salvar.
Aplique esta política ao seu Host e execute uma chamada Wakeupagent.
Que problemas de ENSL verei se desinstalar o TA?
A instalação do TA juntamente com o ENSL é obrigatória mesmo quando o ENSL é instalado no modo autônomo.
TA atualiza o ENSL, realizando atualizações diárias de DAT e segurança de conteúdo. Você deve manter o TA instalado.
O ENSL requer reinicializações dos hosts após uma nova instalação ou uma atualização?
Não, não é necessário reiniciar ou reinicializar seus hosts Linux após a instalação ou atualização do ENSL.
Posso instalar o ENSL com OAS ou Access Protection no modo desabilitado?
Sim você pode. Para uma instalação independente : Baixe o pacote autônomo ENSL, descompacte o arquivo tar.gz e execute o script de instalação usando o parâmetro oasoff apoff. Por exemplo, ./install-mfetp.sh oasoff apoff
Para uma instalação ePO (no local):
Abra a Árvore de sistemas e selecione o host de destino. Clique em Ação, Executar tarefa agora, Agente Trellix, Implantação do produto.
Clique em Criar nova tarefa e para Plataformas de destino, selecione Linux.
Em Produtos e Componentes, selecione o pacote ENSL Threat Prevention.
Na linha de comando, adicione o parâmetro oasoff apoff.
Clique em Executar tarefa agora.
Onde posso encontrar os logs de instalação do ENSL? Todos os logs de instalação podem ser encontrados no diretório /tmp e o nome do arquivo éensltp-epo-setup.log
Como altero os diretórios de localização de instalação padrão de /opt/McAfee/ e /var/McAfee/ para outros pontos de montagem, durante a instalação do ENSL?
Você não pode alterar o local de instalação padrão do ENSL.
Por que não consigo visualizar os detalhes do produto ENSL instalado em Informações do sistema no ePO?
Para visualizar os detalhes do produto ENSL no ePO, você deve instalar as extensões ENSL ePO.
Certifique-se de que suas extensões do ENS tenham sido instaladas e certifique-se de que sejam as versões mais recentes.
As políticas ENSL atuais serão alteradas ou atualizadas assim que eu atualizar para a versão mais recente do ENSL?
Não. Não haverá mudanças nas políticas ENSL existentes; todas as configurações permanecerão as mesmas de antes.
Quando executo o script de instalação do ENSL, usando o comando "sudo ./install-mfetp.sh", vejo o erro "Permissão negada". Por que? Para executar o script de instalação do ENSL, certifique-se de que o usuário que está executando o script tenha direitos de leitura/gravação/execução e que o script de instalação tenha permissões de execução.
Para listar os direitos atualmente aplicados ao script, execute o comandols –lrt install-mfetp.sh
Para adicionar direitos de execução ao script, execute o comando chmod +x install-mfetp.sh Agora, execute novamente o script de instalação sudo ./install-mfetp.sh
Posso atualizar apenas o módulo do kernel ENSL, sem atualizar o produto ENSL? Sim. O pacote de atualização do módulo do kernel fornece suporte para novas atualizações do kernel sem exigir que você atualize o produto ENSL.
Posso atualizar para a versão mais recente do ENSLTP, sem fazer o check-in do pacote mais recente do ENS Kernel Module?
Não. Você não pode simplesmente atualizar o ENSLTP para a versão mais recente, sem ter o pacote ENS Kernel Module mais recente no ePO Master Repository.
Por que vejo o erro "O McAfee Agent não está sendo executado no modo confinado. Os produtos McAfee Endpoint Security para Linux também não serão executados em modo confinado," quando eu instalar o pacote ENSL Selinux RPM? Para tornar os produtos ENSL confinados ao Selinux, primeiro instale o pacoteMFEma-selinux RPM e depois o pacote ENSL Selinux RPM.
Posso instalar o pacote ENSL Selinux RPM nas plataformas Ubuntu, Centos ou SeLinux?
Não. O pacote ENSL Selinux RPM é atualmente suportado apenas em sistemas baseados em Redhat.
Por que vejo "Event ID: 1048" quando um cliente ENSL digitaliza PDFs ou qualquer outro tipo de arquivo?
"ID do evento: 1048" significa que a verificação relata um erro geral do sistema. Você geralmente o vê gerado sempre que um arquivo é negado para acesso ou protegido por senha.
Por que vejo a notificação "Event ID: 1024 Action taken: Access denied" quando o ENS detecta um arquivo que está sendo lido de uma notificação de mídia externa (DVD)?
O cliente ENS determina que um arquivo específico é mal-intencionado, mas somente leitura, e bloqueia o acesso a esse arquivo, para que processos mal-intencionados não possam ser iniciados e o acesso ao arquivo não possa ser tentado.
Por que vejo o erro "verificando dependências de produtos dependentes encontradas! falha na desinstalação" quando desinstalo o TA?
Você não pode remover o TA a menos que todos os produtos ENS dependentes sejam removidos primeiro; por exemplo, ENSLTP, Firewall, etc.
Vejo erros como "Arquivo ou diretório inexistente" nos logs do OAS quando o arquivo para o qual a solicitação de verificação é feita já foi excluído, como arquivos temporários. Por que?
Este erro é esperado, pois o arquivo não existe. O erro indica que o arquivo foi verificado e excluído de acordo com as configurações de ação do OAS, portanto, não há impacto neste caso.
Para evitar esse erro (se você confiar nos arquivos que causam o erro), considere adicioná-los às listas de exclusão de OAS.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.