Inleiding
Dit document beschrijft Fault 18 op de Secure Endpoint-connector voor macOS en Linux.
Fout 18: Controle van gebeurtenissen in de connector is overbelast
De Behavioral Protection-engine verbetert de zichtbaarheid van de connector in de systeemactiviteit; met deze zichtbaarheidsverhoging zal de monitoring van de systeemactiviteit van de connector waarschijnlijk worden overweldigd door de hoeveelheid activiteit op het systeem. Als dit gebeurt, verhoogt de connector fout 18 en gaat de gedegradeerde modus in; voor details over fout 18 raadpleegt u de artikelen Cisco Secure Endpoint Connector Faults voor macOS en Linux. Op de connector kan de status
opdracht worden gebruikt in de CLI van het beveiligde eindpunt om te zien of de connector in de gedegradeerde modus wordt uitgevoerd en of er fouten zijn opgetreden. Als fout 18 is verhoogd, geeft het uitvoeren van de status
opdracht in de CLI van het beveiligde eindpunt de fout weer met een van de mogelijke twee ernst:
- Fout 18 met grote ernst
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- Fout 18 met kritieke ernst
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
Connector Event Monitoring is overbelast: belangrijkste ernst
Wanneer fout 18 met grote ernst wordt verhoogd, betekent dit dat de bewaking van de connectorgebeurtenis overbelast is, maar nog steeds een kleinere reeks systeemgebeurtenissen kan bewaken. De connector switch in de belangrijkste ernst en bewaakt minder gebeurtenissen die vergelijkbaar zijn met de monitoring die beschikbaar was in Linux-connectors ouder dan 1.22.0 en macOS-connectors ouder dan 1.24.0. Als de stroom van systeemgebeurtenissen kort is en de gebeurtenisbewakingsbelasting weer tot een aanvaardbaar bereik afneemt, wordt de fout 18 gewist en wordt de connector hervat met het bewaken van alle systeemgebeurtenissen. Als de stroom van systeemgebeurtenissen erger wordt en de gebeurtenisbewakingsbelasting toeneemt tot een kritische hoeveelheid, wordt fout 18 met kritieke ernst verhoogd en worden de switches van de connector kritisch.
Connector Event Monitoring is overbelast: kritieke ernst
Wanneer fout 18 met kritieke ernst wordt verhoogd, betekent dit dat de connector een overweldigende hoeveelheid systeemgebeurtenissen ondervindt die de connector in gevaar brengen. De connector switches in een meer restrictieve kritische ernst. In deze toestand bewaakt de connector alleen kritieke gebeurtenissen om de connector in staat te stellen op te ruimen en zich te concentreren op herstel. Als de stroom van gebeurtenissen uiteindelijk weer afneemt tot een acceptabeler bereik, wordt de fout volledig gewist en wordt de connector hervat met het monitoren van alle systeemgebeurtenissen.
richtsnoeren voor foutacties
Als de connector fout 18 ooit met grote of kritieke ernst verhoogt, moeten enkele stappen worden ondernomen om het probleem te onderzoeken en op te lossen. De stappen om fout 18 op te lossen, variëren afhankelijk van wanneer en waarom de fout is gemaakt:
- Fout 18 is opgewekt bij een nieuwe installatie van de connector
- Fout 18 is ontstaan na recente wijzigingen in het besturingssysteem
- Fout 18 werd spontaan opgewekt
-
Fout 18 is ontstaan bij het opnieuw inrichten van een machine met de reeds geïnstalleerde connector of het bijwerken van de connector naar versie (Linux) 1.22.0+ of (macOS) 1.24.0+
Geval 1: Verse installatie
Als fout 18 en de beschadigde modus worden waargenomen bij een nieuwe installatie van de connector, moet u er eerst voor zorgen dat uw systeem voldoet aan de minimale systeemvereisten. Nadat u hebt geverifieerd dat de vereisten voldoen aan of hoger zijn dan de minimumvereisten, moet u, als de fout blijft bestaan, de meest actieve processen op het systeem onderzoeken. U kunt de huidige actieve processen op een Linux-systeem bekijken met behulp van de top
opdracht (of vergelijkbaar) in de terminal. Als bekend is dat de processen die de hoogste hoeveelheid CPU verbruiken goedaardig zijn, kunt u nieuwe procesuitsluitingen maken om die processen uit te sluiten van bewaking.
Voorbeeldscenario:
Stel dat na een nieuwe installatie de foutcode 18 en de gedegradeerde modus worden weergegeven via de CLI voor het beveiligde eindpunt. Het uitvoeren van de top
opdracht in een Ubuntu-machine gaf de volgende actieve processen weer:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
We zien dat er een zeer actief proces is, dat in dit voorbeeld wordt trusted_process
genoemd. In dit geval ben ik bekend met dit proces en het is vertrouwd, er is geen reden voor mij om achterdochtig te zijn over dit proces. Om fout 18 te wissen, kan het vertrouwde proces worden toegevoegd aan een procesuitsluiting in de portal. Raadpleeg het artikel Cisco Secure Endpoint Exclusions configureren en identificeren voor meer informatie over de best practices bij het maken van uitsluitingen.
Geval 2: recente wijzigingen
Als u recente wijzigingen in uw besturingssysteem hebt aangebracht, zoals het installeren van een nieuw programma, kunnen fout 18 en gedegradeerde modus worden waargenomen als deze nieuwe wijzigingen de systeemactiviteit verhogen. Gebruik dezelfde saneringsstrategie als in de nieuwe installatiecase, maar zoek naar processen die verband houden met de recente wijzigingen, zoals een nieuw proces dat wordt uitgevoerd door een pas geïnstalleerd programma.
Geval 3: Kwaadaardige activiteiten
De Behavioral Protection engine verhoogt de soorten systeemactiviteit die worden gecontroleerd. Dit biedt de connector een breder perspectief op het systeem en geeft het de mogelijkheid om complexere gedragsaanvallen te detecteren. Door een grotere hoeveelheid systeemactiviteit te monitoren, loopt de connector echter ook een groter risico op denial-of-service (DoS)-aanvallen. Als de connector overweldigd is door systeemactiviteit en in de gedegradeerde modus komt met fout 18, blijft deze systeemkritische gebeurtenissen monitoren totdat de algehele systeemactiviteit is verminderd. Dit verlies aan zichtbaarheid van systeemgebeurtenissen vermindert het vermogen van de connector om uw machine te beschermen. Het is van cruciaal belang dat u het systeem onmiddellijk onderzoekt op kwaadaardige processen. Gebruik het top
commando (of iets dergelijks) op uw systeem om de huidige actieve processen te bekijken en passende actie te ondernemen om de situatie te verhelpen als mogelijk schadelijke processen worden geïdentificeerd.
Geval 4: Connectorvereisten
De Behavioral Protection-engine verbetert het vermogen van de connector om uw machineactiviteit te beschermen; maar om dit te doen, moet deze meer middelen verbruiken dan in eerdere versies. Als fout 18 vaak wordt opgeworpen, er geen goedaardige processen zijn die zware belasting veroorzaken en er geen schadelijke processen op de machine lijken te werken, moet u ervoor zorgen dat uw systeem voldoet aan de minimale systeemvereisten.
Zie ook