Introduction
Ce document décrit l'erreur 18 sur le connecteur Secure Endpoint Linux.
Erreur 18 : surveillance des événements du connecteur surchargée
Le moteur de protection comportementale améliore la visibilité des connecteurs sur l'activité du système. Avec cette visibilité accrue, il est possible que la surveillance de l'activité du système du connecteur soit saturée par la quantité d'activité du système. Dans ce cas, le connecteur déclenche le défaut 18 et passe en mode dégradé. Référez-vous à l'article Défaillances du connecteur Linux du point d'extrémité sécurisé Cisco pour plus de détails sur la défaillance 18. Sur le connecteur Linux, le status
peut être utilisée dans l'interface de ligne de commande Secure Endpoint Linux pour vérifier si le connecteur fonctionne en mode dégradé et si des défaillances sont survenues. Si le défaut 18 est déclenché, exécutez la commande status
dans l'interface de ligne de commande Secure Endpoint Linux affiche la panne avec l'une des deux gravités possibles :
- Erreur 18 avec gravité majeure
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- Erreur 18 avec gravité critique
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
Surcharge de la surveillance des événements du connecteur : gravité majeure
Lorsque le défaut 18 est déclenché avec une gravité majeure, cela signifie que la surveillance des événements du connecteur est surchargée, mais qu'elle peut toujours surveiller un plus petit ensemble d'événements système. Le connecteur bascule en niveau de gravité majeur et surveille moins d'événements équivalents à la surveillance disponible dans les connecteurs antérieurs à 1.22.0. Si le flot d'événements système est court et que la charge de surveillance des événements redescend dans une plage acceptable, le défaut 18 est effacé et le connecteur reprend la surveillance de tous les événements système. Si le flot d'événements système s'aggrave et que la charge de surveillance des événements augmente jusqu'à un niveau critique, la panne 18 est augmentée avec un niveau de gravité critique et le connecteur passe à un niveau de gravité critique.
Surcharge de la surveillance des événements du connecteur : gravité critique
Lorsque la défaillance 18 est élevée avec une gravité critique, cela signifie que le connecteur subit un nombre excessif d'événements système qui le mettent en danger. Le connecteur passe à une gravité critique plus restrictive. Dans cet état, le connecteur surveille uniquement les événements critiques pour permettre au connecteur de se nettoyer et de se concentrer sur la récupération. Si le flot d'événements finit par retomber dans une plage plus acceptable, la panne est entièrement résolue et le connecteur reprend la surveillance de tous les événements du système.
Guide D'Action En Cas De Défaillance
Si le connecteur soulève un problème 18 d'une gravité majeure ou critique, certaines étapes doivent être prises pour examiner et résoudre le problème. Les étapes de résolution de la défaillance 18 varient en fonction du moment et de la raison du déclenchement de la défaillance :
- La panne 18 a été soulevée lors d'une nouvelle installation du connecteur Linux
- La panne 18 a été déclenchée après des modifications récentes du système d'exploitation
- La faille 18 a été soulevée spontanément
-
Le problème 18 a été soulevé lors du réapprovisionnement d'une machine avec le connecteur Linux déjà installé ou lors de la mise à jour du connecteur vers la version 1.22.0+
Cas 1 : nouvelle installation
Si le défaut 18 et le mode dégradé sont observés lors d'une nouvelle installation du connecteur Linux, vous devez d'abord vous assurer que votre système répond à la configuration système requise. Après avoir vérifié que la configuration requise est conforme ou supérieure à la configuration minimale requise, si le problème persiste, vous devez rechercher les processus les plus actifs sur le système. Vous pouvez afficher les processus actifs actuels sur un système Linux à l'aide de top
(ou similaire) dans le terminal. Si les processus consommant la plus grande quantité de CPU sont reconnus comme étant bénins, vous pouvez créer de nouvelles exclusions de processus pour exclure ces processus de la surveillance.
Exemple de scénario :
Supposons qu'après une nouvelle installation, la panne 18 et le mode dégradé s'affichent via l'interface de ligne de commande Secure Endpoint Linux. Rexécution du top
dans une machine Ubuntu a affiché ces processus actifs :
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
Nous voyons qu'il y a un processus très actif, appelé trusted_process
dans cet exemple. Dans ce cas, je suis familier avec ce processus et il est de confiance, il n'y a aucune raison pour moi d'être soupçonneux de ce processus. Pour effacer la panne 18, le processus approuvé peut être ajouté à une exclusion de processus dans le portail. Reportez-vous à l'article Configurer et identifier les exclusions de point de terminaison sécurisé Cisco pour en savoir plus sur les meilleures pratiques lors de la création d'exclusions.
Cas 2 : Modifications récentes
Si vous avez apporté des modifications récentes à votre système d'exploitation, telles que l'installation d'un nouveau programme, alors la panne 18 et le mode dégradé peuvent être observés si ces nouvelles modifications augmentent l'activité du système. Utilisez la même stratégie de correction que celle décrite dans la nouvelle installation, recherchez toutefois les processus liés aux modifications récentes, tels qu'un nouveau processus exécuté par un programme récemment installé.
Cas 3 : Activité malveillante
Le moteur de protection comportementale augmente les types d'activité du système qui sont surveillés. Le connecteur dispose ainsi d'une perspective plus large sur le système et peut détecter des attaques comportementales plus complexes. Cependant, la surveillance d'une plus grande quantité d'activité du système expose également le connecteur à un risque plus élevé d'attaques par déni de service (DoS). Si le connecteur est saturé par l'activité du système et passe en mode dégradé avec la panne 18, il continue à surveiller les événements critiques du système jusqu'à ce que l'activité globale du système soit réduite. Cette perte de visibilité sur les événements système réduit la capacité du connecteur à protéger votre machine. Il est essentiel que vous recherchiez immédiatement les processus malveillants sur le système. Utilisez top
(ou similaire) sur votre système Linux pour afficher les processus actifs actuels et prendre les mesures appropriées pour remédier à la situation si des processus potentiellement malveillants sont identifiés.
Cas 4 : Connecteurs requis
Le moteur de protection comportementale améliore la capacité du connecteur à protéger l'activité de votre machine, mais pour ce faire, il doit consommer plus de ressources que dans les versions précédentes. Si la panne 18 est fréquemment déclenchée, qu'aucun processus bénin n'entraîne une charge importante et qu'aucun processus malveillant ne semble agir sur la machine, vous devez vous assurer que votre système répond à la configuration minimale requise.
Voir également