소개
이 문서에서는 오류 3000 오류와 함께 TETRA 정의 오류를 해결하는 단계에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
사용되는 구성 요소
이 문서의 정보는 다음을 기반으로 합니다.
- Cisco Secure Endpoint 커넥터(모든 버전)
- Wireshark(모든 버전)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문제
- 엔드포인트에서 TETRA 정의 업데이트가 실패하고 "업데이트를 설치할 수 없습니다. 나중에 다시 시도하십시오." 오류 메시지가 표시됩니다.
- Cisco Secure Endpoint Console에서 다음과 같은 오류 메시지가 표시됩니다.
"네트워크 시간 초과로 인해 업데이트하지 못했습니다. 네트워크, 방화벽 또는 프록시 설정을 확인하여 엔드포인트와 업데이트 서버 간의 연결을 확인합니다. 문제가 계속되면 Cisco 지원에 문의하십시오."
- debug sfc.exe.log에서 오류 3000으로 인해 정의가 업데이트되지 않았습니다. 이는 문서화된 Unknown_Error를 나타냅니다.
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdateInterface::update updateDir: C:\Program Files\Cisco\AMP\tetra, 20, -3000, -3000, 0, 0, 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: ERROR: TETRAUpdateInterface::update Update failed with error -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PipeSend: sending message to user interface: 26, id: 0
(978223515, +0 ms) Aug 04 07:30:23 [860]: PipeWrite: waiting on pipe event handle
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit defInit: 0, bUpdate: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: TETRAUpdaterInit bUpdate: 0, bReload: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: FASharedPtr<class TETRAUpdateInterface>::ReleaseInstance count: 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: bUpdated = FALSE, state: 20, status: -3000
(978223515, +0 ms) Aug 04 07:30:23 [11944]: PerformTETRAUpdate: sig count: 0, version: 0
(978223515, +0 ms) Aug 04 07:30:23 [11944]: Config::IsUploadEventEnabled: returns 1, 1
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - never, last err code - 4294964296, last upd success - never
(978223515, +0 ms) Aug 04 07:30:23 [11944]: AVStat::CopyInternal : engine - 2, defs - 0, first failure - Thu Aug 4 06:35:16 2022, last err code - 4294964296, last upd success - never
솔루션
- Allow user to update TETRA definitions(사용자가 TETRA 정의를 업데이트할 수 있도록 허용) 옵션을 콘솔의 AMP Policy(AMP 정책) > Client User Interface(클라이언트 사용자 인터페이스)에서 활성화하십시오. 이 매개변수를 사용하면 문제 해결 중에 필요에 따라 TETRA 업데이트를 트리거할 수 있습니다.
- 또한 엔드포인트에서 또는 AMP 정책을 통해 디버그 커넥터 및 트레이 레벨 로그를 활성화합니다.
- 엔드포인트에서 TETRA 업데이트 를 클릭하는 동안 TETRA 정의에 대한 TETRA 업데이트 성공 및 실패한 엔드포인트 모두에서 패킷 캡처를 수행하십시오.
- TETRA 업데이트에 성공한 엔드포인트에서 패킷 캡처는 패킷을 http.host == "tetra-defs.amp.cisco.com:443"으로 필터링한 다음 각 패킷의 "tcp.stream을 따라" 관련 트래픽을 분석합니다.
- Server Hello 패킷에서 Server Hello 패킷의 "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384" 암호를 수락하는 서버를 볼 수 있습니다.
- Cisco Secure Endpoint TETRA Server는 언급된 암호만 허용합니다.
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_AES_128_GCM_SHA256
- TETRA 업데이트 실패 엔드포인트에서 패킷 캡처의 경우 Client Hello 패킷 이후에 SSL 핸드셰이크에 치명적인 오류가 발생합니다.
- Client Hello 패킷에서는 엔드포인트에서 제공된 암호를 볼 수 있습니다.
- 또한 Get-TlsCipherSuite를 사용하여 엔드포인트에서 활성화된 암호를 교차 확인할 수 있습니다 | ft 이름 PowerShell 명령입니다.
- 6단계에서 언급한 암호가 여기에 나열되지 않은 경우 SSL 핸드셰이크 실패의 원인이 됩니다.
- 이 문제를 해결하려면 그룹 정책에서 SSL 암호 그룹 순서를 확인하십시오.
Run -> gpedit.msc -> Local Computer Policy -> Computer Configuration -> Administrative Templates -> Network -> SSL Configuration Settings -> SSL Cipher Suite Order -> Edit policy setting
- Cipher Suite Order는 Not Configured 또는 Disabled여야 하며 Enabled로 설정된 경우 6단계에서 언급한 암호를 목록에 추가합니다.
- 이러한 변경 사항을 적용하고 엔드포인트를 재부팅하여 애플리케이션에서 이러한 변경 사항을 사용할 수 있도록 합니다.
- 재부팅이 완료되면 TETRA 업데이트를 다시 시도하십시오.
- TETRA 정의 문제가 지속될 경우 로그를 분석하고 다시 캡처하십시오.
관련 정보