はじめに
このドキュメントでは、macOSおよびLinux用のセキュアエンドポイントコネクタの障害18について説明します。
障害18:コネクタイベント監視が過負荷です
動作保護エンジンにより、コネクタのシステムアクティビティに対する可視性が向上します。この可視性の向上により、コネクタのシステムアクティビティのモニタリングは、システムのアクティビティの量に圧倒される可能性が高くなります。これが発生した場合、コネクタでエラー18が発生し、デグレードモードに入ります。エラー18の詳細については、『Cisco Secure Endpoint ConnectorでmacOSおよびLinuxの障害』の記事を参照してください。コネクタでSecure Endpoint CLIのstatus
コマンドを使用すると、コネクタが縮退モードで実行されているかどうか、およびエラーが発生しているかどうかを確認できます。Fault 18が発生した場合、Secure Endpoint CLIでstatus
コマンドを実行すると、障害が次の2つの重大度のいずれかで表示されます。
- 障害18(重大な重大度)
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- 障害18 – 重大な重大度
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
コネクタイベントモニタリングが過負荷:メジャーな重大度
重大な重大度で障害18が発生した場合、これはコネクタイベント監視が過負荷になっているものの、より小さなシステムイベントのセットを監視できることを意味します。コネクタはメジャーな重大度に切り替わり、1.22.0より古いLinuxコネクタと1.24.0より古いmacOSコネクタで使用できたモニタリングと同等のイベントよりも少ないイベントをモニタリングします。システムイベントのフラッディングが短く、イベントモニタリングの負荷が許容範囲内まで減少した場合、障害18がクリアされ、コネクタはすべてのシステムイベントのモニタリングを再開します。システムイベントのフラッディングが悪化し、イベントモニタリングの負荷がクリティカルなレベルまで増加した場合、エラー18がクリティカルな重大度で挙げられ、コネクタがクリティカルな重大度に切り替わります。
コネクタイベント監視が過負荷になっています:重大な重大度
重大な重大度でエラー18が発生した場合、コネクタに過剰なシステムイベントが発生しており、コネクタが危険にさらされていることを意味します。コネクタが、より限定的な重大度に切り替わります。この状態では、コネクタは重要なイベントのみを監視し、コネクタがクリーンアップしてリカバリに集中できるようにします。イベントのフラッディングが最終的に許容できる範囲まで減少した場合、障害は完全にクリアされ、コネクタはすべてのシステムイベントの監視を再開します。
障害対応ガイダンス
コネクタで重大度がmajorまたはcriticalの障害18が発生した場合は、問題を調査して解決するためにいくつかの手順を実行する必要があります。障害18を解決する手順は、障害が発生した時期と理由によって異なります。
- コネクタの新規インストールで障害18が発生しました
- 障害18は、最近オペレーティングシステムを変更した後に発生しました
- フォールト18が自然発生的に発生
-
コネクタがすでにインストールされているマシンを再プロビジョニングするとき、またはコネクタをバージョン(Linux)1.22.0+または(macOS)1.24.0+に更新するときに、エラー18が発生しました
ケース1:新規インストール
コネクタの新規インストールで障害18および縮退モードが発生した場合は、最初にシステムが最小システム要件を満たしていることを確認します。要件が最小要件を満たしているか、それを超えていることを確認した後、障害が続く場合は、システム上で最もアクティブなプロセスを調査する必要があります。Linuxシステム上で現在実行中のプロセスを表示するには、ターミナルでtop
コマンド(または類似のコマンド)を使用します。 最も多くのCPUを消費しているプロセスが良性であることが判明している場合は、新しいプロセス除外を作成して、これらのプロセスを監視から除外できます。
サンプル シナリオ:
新規インストール後に、Secure Endpoint CLIを使用して障害18および縮退モードが表示されたとします。Ubuntuマシンでtop
コマンドを実行すると、次のアクティブなプロセスが表示されました。
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
この例では、trusted_process
という非常にアクティブなプロセスがあります。この場合、私はこのプロセスに精通しており、信頼されており、このプロセスを疑う理由はありません。障害18をクリアするために、信頼されたプロセスをポータルのプロセス除外に追加できます。 除外を作成する際のベストプラクティスについては、「Cisco Secure Endpoint除外の設定と特定」を参照してください。
ケース2:最近の変更
新しいプログラムのインストールなど、オペレーティングシステムに対して最近変更を加えた場合、これらの新しい変更によってシステムアクティビティが増加すると、障害18およびデグレードモードが発生することがあります。新規インストールの場合と同じ修復方法を使用しますが、最近の変更に関連するプロセス(新規にインストールされたプログラムによって実行される新規プロセスなど)を探してください。
ケース3:悪意のあるアクティビティ
動作保護エンジンは、監視するシステムアクティビティの種類を増やします。これにより、システムに対する幅広い視点がコネクタに提供され、より複雑な動作攻撃を検出する機能がコネクタに提供されます。ただし、監視するシステムアクティビティの量が多いと、コネクタはサービス拒否(DoS)攻撃のリスクが高くなります。コネクタがシステムアクティビティで過負荷になり、障害18で縮退モードに入った場合でも、システム全体のアクティビティが低下するまで、システムに不可欠なイベントの監視を続けます。 システムイベントの可視性が失われると、マシンを保護するコネクタの機能が低下します。 悪意のあるプロセスがないか、システムを即時に調査することが重要です。システムでtop
コマンド(または類似したコマンド)を使用して、現在アクティブなプロセスを表示し、悪意のある可能性のあるプロセスが特定された場合は状況を是正する適切な措置を講じます。
ケース4:コネクタの要件
動作保護エンジンは、マシンアクティビティを保護するコネクタの機能を改善しますが、そのためには、以前のバージョンよりも多くのリソースを消費する必要があります。Fault 18が頻繁に発生し、高負荷の原因となる良性プロセスがなく、マシン上で動作する悪意のあるプロセスが存在しない場合は、システムが最小システム要件を満たしていることを確認する必要があります。
以下も参照のこと