Introduzione
Questo documento descrive l'errore 18 sul connettore Secure Endpoint per macOS e Linux.
Errore 18: Monitoraggio eventi connettore sovraccarico
Il motore di protezione comportamentale migliora la visibilità del connettore nell'attività del sistema; con questo aumento di visibilità, il monitoraggio dell'attività del sistema da parte del connettore sarà probabilmente sovraccaricato dalla quantità di attività del sistema. In questo caso, il connettore genera il guasto 18 ed entra in modalità degradata; per i dettagli sull'errore 18, fare riferimento agli articoli sugli errori del connettore di endpoint sicuro Cisco per macOS e Linux. Sul connettore, il status
comando può essere utilizzato nella CLI di Secure Endpoint per verificare se il connettore è in esecuzione in modalità degradata e se vengono generati errori. Se viene generato l'errore 18, l'esecuzione del status
comando nella CLI di Secure Endpoint visualizza l'errore con una delle due possibili gravità:
- Errore 18 con gravità maggiore
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- Errore 18 con gravità critica
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
Monitoraggio eventi connettore sovraccarico: Gravità maggiore
Se l'errore 18 viene generato con un livello di gravità maggiore, significa che il monitoraggio degli eventi del connettore è sovraccarico ma è comunque in grado di monitorare un set ridotto di eventi di sistema. Il connettore passa alla severità principale e controlla meno eventi equivalenti al monitoraggio disponibile nei connettori Linux precedenti alla 1.2.0 e nei connettori macOS precedenti alla 1.24.0. Se il flusso di eventi di sistema è breve e il carico di monitoraggio degli eventi diminuisce in un intervallo accettabile, l'errore 18 viene cancellato e il connettore riprende il monitoraggio di tutti gli eventi di sistema. Se il flusso di eventi di sistema peggiora e il carico di monitoraggio degli eventi aumenta fino a raggiungere una quantità critica, l'errore 18 viene generato con gravità critica e il connettore passa alla gravità critica.
Monitoraggio eventi connettore sovraccarico: Gravità critica
Quando l'errore 18 viene generato con gravità critica, il connettore sta vivendo una quantità enorme di eventi di sistema che lo espone a rischi. Il connettore passa a una gravità critica più restrittiva. In questo stato, il connettore esegue il monitoraggio solo degli eventi critici per consentire al connettore di eseguire la pulizia e di concentrarsi sul ripristino. Se il flusso di eventi alla fine diminuisce in un intervallo più accettabile, il guasto viene completamente risolto e il connettore riprende il monitoraggio di tutti gli eventi di sistema.
Guida alle azioni da eseguire in caso di errore
Se il connettore solleva l'errore 18 con un livello di gravità principale o critico, è necessario eseguire alcune operazioni per individuare e risolvere il problema. I passaggi per risolvere l'errore 18 variano a seconda di quando e perché l'errore è stato generato:
- L'errore 18 è stato generato in una nuova installazione del connettore
- L'errore 18 è stato generato dopo le recenti modifiche apportate al sistema operativo
- L'errore 18 è stato generato spontaneamente
-
L'errore 18 è stato generato quando si esegue di nuovo il provisioning di un computer con il connettore già installato o si aggiorna il connettore alla versione (Linux) 1.2.0+ o (macOS) 1.24.0+
Caso 1: Nuova installazione
Se si osservano guasti 18 e modalità degradata al di fuori di una nuova installazione del connettore, è necessario prima verificare che il sistema soddisfi i requisiti minimi di sistema. Dopo aver verificato che i requisiti soddisfino o superino i requisiti minimi, se l'errore persiste, è necessario esaminare i processi più attivi del sistema. È possibile visualizzare i processi attivi correnti su un sistema Linux utilizzando il top
comando (o simile) nel terminale. Se i processi che utilizzano la quantità più elevata di CPU sono noti come innocui, è possibile creare nuove esclusioni di processo per escludere tali processi dal monitoraggio.
Scenario di esempio:
Si supponga che dopo una nuova installazione gli errori 18 e la modalità danneggiata siano stati visualizzati tramite la CLI di Secure Endpoint. L'esecuzione del top
comando in un computer Ubuntu ha evidenziato i seguenti processi attivi:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
Vediamo che c'è un processo molto attivo, chiamato trusted_process
in questo esempio. In questo caso conosco bene questo processo ed è affidabile, non c'è motivo per cui io sia sospettoso di questo processo. Per eliminare l'errore 18, è possibile aggiungere il processo attendibile a un'esclusione di processo nel portale. Per informazioni sulle procedure consigliate per la creazione di esclusioni, fare riferimento all'articolo Configurazione e identificazione delle esclusioni di Cisco Secure Endpoint.
Caso 2: Modifiche recenti
Se sono state apportate modifiche recenti al sistema operativo, ad esempio l'installazione di un nuovo programma, è possibile osservare l'errore 18 e la modalità danneggiata se le nuove modifiche aumentano l'attività del sistema. Utilizzare la stessa strategia di correzione delineata nel nuovo caso di installazione, tuttavia cercare i processi correlati alle modifiche recenti, ad esempio un nuovo processo eseguito da un programma appena installato.
Caso 3: Attività dannosa
Il motore di protezione comportamentale aumenta i tipi di attività del sistema monitorati. In questo modo il connettore ha una prospettiva più ampia sul sistema e può rilevare attacchi comportamentali più complessi. Tuttavia, il monitoraggio di una maggiore quantità di attività del sistema comporta anche un rischio maggiore per il connettore di attacchi Denial of Service (DoS). Se il connettore è sovraccarico di attività del sistema ed entra in modalità degradata con errore 18, continua a monitorare gli eventi critici del sistema fino a quando l'attività complessiva del sistema non viene ridotta. Questa perdita di visibilità degli eventi del sistema riduce la capacità del connettore di proteggere il computer. È fondamentale che l'utente esegua immediatamente un'indagine sul sistema per rilevare eventuali processi dannosi. Utilizzare il top
comando (o simile) del sistema per visualizzare i processi attivi correnti e adottare le misure appropriate per risolvere la situazione se vengono identificati processi potenzialmente dannosi.
Caso 4: Requisiti dei connettori
Il motore di protezione comportamentale migliora la capacità del connettore di proteggere l'attività della macchina; ma, per farlo, deve consumare più risorse rispetto alle versioni precedenti. Se l'errore 18 viene sollevato frequentemente, non vi sono processi innocui che causano un carico elevato e non vi sono processi dannosi che agiscono sulla macchina, allora è necessario verificare che il sistema soddisfi i requisiti minimi di sistema.
Vedere anche