Cisco Secure Endpoint Macコネクタの障害

コネクタのシステム拡張の実行がブロックされました。

[Security and Privacy System Preferences]を開き、内線を承認します。

または、モバイルデバイス管理(MDM)プロファイルを使用してシステム拡張をリモートで承認することもできます。

インストールされているコネクタソフトウェアが破損しています。コネクタを再インストールします。

注：Mac Connectorバージョン1.14.0以降を実行している場合、コンピュータを再起動すると、この障害の一部がクリアされる可能性があります。

コネクタはスキャンのためにユーザーファイルにアクセスできません。[Security and Privacy System Preferences]を開き、AMPサービスへのフルディスクアクセスを許可します。

1.14.0より前のバージョンのMac Connectorでは、このプロセスは/opt/cisco/amp/ampdaemonという名前です。

Mac Connectorバージョン1.14.0以降では、次の2つのアプリケーションはmacOSのバージョンに応じてフルディスクアクセスを必要とします。

• AMP for Endpoints サービス（すべてのmacOSバージョンに必要）
• AMPセキュリティ拡張 (macOS 10.15.5以降で必要)

Mac Connectorバージョン1.14.1以降では、次の2つのアプリケーションはmacOSのバージョンに応じてフルディスクアクセスを必要とします。

• AMP for Endpoints サービス（すべてのmacOSバージョンに必要）
• AMPセキュリティ拡張 （macOS 11以降で必要）

詳細については、このテクニカルノートを参照してください。 

1.14.0より前のバージョンのMacコネクタ、またはmacOS 10.14または10.15で実行されている場合、このエラーは、Connectorのシステム拡張が正しいバージョンであり、実行が承認されているが、ロードに失敗したことを示します。詳細については/Library/Logs/Cisco/ampdaemon.logを参照してください。コネクタをアンインストールして再インストールすると、この障害が解消される場合があります。

コネクタは、ファイルスキャンプロセスを実行するユーザーを作成できませんでした。Connectorは、これを回避するためにrootユーザを使用してファイルスキャンを実行します。これは意図した設計から逸脱しており、予期されていません。

If the cisco-amp-scan-svc ユーザーまたはグループが削除されたか、ユーザーとグループの構成が変更されました。コネクタを再インストールすると、必要な構成でユーザーとグループが再作成されます。詳細については、 /Library/Logs/Cisco/ampdaemon.log.

コネクタのファイルスキャンプロセスで繰り返しエラーが発生し、コネクタはエラーをクリアするために再起動しました。システム上の1つ以上のファイルがスキャン時にスキャンアルゴリズムのクラッシュを引き起こしている可能性があります。コネクタはベストエフォート方式でスキャンを続行します。

コネクタの起動後10分以内にこの障害が自動的にクリアされない場合は、さらなるユーザの介入が必要であり、コネクタのスキャン実行能力が低下することを示します。

詳細については、『 /Library/Logs/Cisco/ampdaemon.log と /Library/Logs/Cisco/ampscansvc.log を参照してください。

コネクタのファイルスキャンプロセスを開始できませんでした。エラーをクリアするためにコネクタが再起動されました。この障害が発生している間、ファイルスキャン機能は無効になります。

このエラーは、新しくインストールされたウイルス定義ファイル（.cvdファイル）の読み込み中にエラーが発生した場合に発生する可能性があります。 コネクタは、この障害を防ぐために、新しい.cvdファイルをアクティブ化する前に、整合性と安定性のチェックをいくつも実行します。再起動時に、コネクタは無効な.cvdファイルをすべて削除し、コネクタを再開できるようにします。

コネクタの再起動時にこの障害が解消されない場合は、ユーザによる追加の介入が必要であることを示します。この障害が.cvdアップデートごとに繰り返される場合、無効な.cvdファイルがConnectorの.cvdファイル整合性チェックによって正しく検出されていないことを示しています。

詳細については、『 /Library/Logs/Cisco/ampdaemon.log と /Library/Logs/Cisco/ampscansvc.log を参照してください。

システムをリブートします。

Mac Connectorバージョン1.11.1および1.14.0では、システム拡張がロードできない場合にこの障害が発生する可能性があります。この場合、コネクタを再インストールすると、この障害を解消できます。

Mac Connector 1.14.1以降では、システムにインストールされているNetwork Content Filter（Nコンテンツフィルタ）システム拡張が多すぎると、この障害が発生する可能性があることに注意してください。コンピュータをリブートしても、この障害が解消されない場合は、次の障害13のガイダンスを参照してください。

ネットワークフィルタは、ポリシーの[デバイスフロー相関の有効化]機能で必要です。この障害をクリアするには、「AMP for Endpoints Service」がエンドポイントのネットワークコンテンツをフィルタリングできるようにします。

ネットワークフィルタを許可するmacOSダイアログにアクセスするには、Agent menuletにリストされているアクティブな障害をクリックし、表示されているガイダンスに従います。

ネットワークフィルタのリモート承認用のMDMプロファイル設定などの詳細については、次のリンクを参照してください。 このテクニカルノート。

Mac Connector 1.14.0では、ネットワークコンテンツフィルタシステム拡張の開始時にmacOSのバグが原因で、この障害が頻繁に発生します。コンピュータを再起動すると、この障害は解消されます。

ポリシーの[デバイスフロー相関の有効化(Enable Device Flow Correlation)]機能では、ファイアウォールグレードのmacOSネットワークコンテンツフィルタを使用する必要があります。MacOS 実行できるネットワークコンテンツフィルタの数を制限します。

この障害が発生し、コンピュータをリブートしてもクリアされない場合必要なくなったファイアウォールグレードのネットワークコンテンツフィルタをアンインストールし、コネクタを再起動します。

MacOSは、実行できるエンドポイントセキュリティシステム拡張の数を制限します。Macコネクタには、ポリシーの「Monitor File Copies and Moves」および「Monitor Process Execution」機能に対して、次のいずれかのエンドポイントセキュリティシステム拡張が必要です。

このエラーをクリアするには、不要になったEndpoint Securityシステム拡張をアンインストールし、コネクタを再起動します。

Mac ConnectorのmacOSシステム拡張は、スキャンのためにユーザファイルにアクセスできません。[Security & Privacy System Preferences]を開き、AMPセキュリティ拡張へのフルディスクアクセスを許可します。

システム拡張を使用したフルディスクアクセスのリモート承認のためのMDMプロファイル設定などの詳細については、このテクニカルノートを参照してください。

macOS 11.0.0のバグが原因で、許可された後のリブート時にフルディスクアクセス設定が自動的にクリアされる可能性があることに注意してください。このバグはmacOS 11.0.1で修正されています。

オービタルでは、保護されたファイルやディレクトリにアクセスしてクエリを実行するためにフルディスクアクセスが必要です。[Security & Privacy System Preferences]を開き、Cisco Orbitalにフルディスクアクセスを許可します。