简介
本文档介绍适用于macOS和Linux的安全终端连接器上的故障18。
故障18:连接器事件监控超载
行为保护引擎提高了连接器对系统活动的可视性;随着可视性的增加,连接器的系统活动监控很可能被系统上的活动量所淹没。如果发生这种情况,连接器引发故障18并进入降级模式;有关故障18的详细信息,请参阅适用于macOS和Linux的Cisco安全终端连接器故障文章。在连接器上,可以在安全终端CLI中使用该命status令,查看连接器是否以降级模式运行,以及是否出现任何故障。status如果发生故障18,则在安全终端CLI中运行该命令将显示该故障,其严重性可能为以下两种严重性之一:
- 故障18(严重性为严重)
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- 故障18(严重性为严重)
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
连接器事件监控超载:主要严重性
当以严重性引发故障18时,这意味着连接器事件监视超载,但仍可以监视较小的一组系统事件。连接器切换为主要严重性,监控较少的事件相当于早于1.22.0的Linux连接器和早于1.24.0的macOS连接器中的可用监控。如果系统事件泛洪较短,事件监控负载减少回可接受的范围,则清除故障18,并且连接器继续监控所有系统事件。如果系统事件的泛洪变差,并且事件监控负载增加至临界量,则故障18将升高为严重性级别,并且连接器将切换到严重严重级别。
连接器事件监控超载:严重性
当故障18严重性为严重时,这意味着连接器所经历的系统事件数量极大,将连接器置于风险之中。连接器切换为更严格的严重性临界连接器。在此状态下,连接器仅监控关键事件,以允许连接器进行清理并专注于恢复。如果事件泛洪最终减少回更可接受的范围,则故障将完全清除,连接器将恢复监控所有系统事件。
故障操作指南
如果连接器出现过严重程度为严重或严重的故障18,则必须采取一些步骤来调查和解决该问题。解决故障18的步骤因故障出现的时间和原因而异:
- 在重新安装连接器时出现故障18
- 故障18是在最近对操作系统进行更改后引发的
- 故障18是自发发出的
-
故障18是在使用已安装的连接器重新调配计算机或将连接器更新到版本(Linux)1.22.0+或(macOS)1.24.0+时引发的
第 1 种情况:全新安装
如果在重新安装连接器时观察到故障18和降级模式,则必须首先确保系统满足最低系统要求。在验证要求是否符合或超过最低要求后,如果故障仍然存在,您必须调查系统上最活跃的进程。您可以使用终端中的命令(或类似)查看Linux系统上的当前活动进top程。如果已知消耗最多的CPU的进程是良性的,则可以创建新的进程例外项,以排除这些进程被监控的。
示例 情景:
假设全新安装后,通过安全终端CLI显示故障18和降级模式。在Ubuntu计算机top中运行该命令将显示以下活动进程:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
我们看到有一个非常活跃的进程,在本例trusted_process中称为。在本例中,我熟悉此流程,而且受信任,因此没有理由对此流程产生怀疑。要清除故障18,可以将受信任的进程添加到门户中的进程例外项中。请参阅配置和确定Cisco安全终端例外项文章,以了解创建例外项时的最佳实践。
第 2 种情况:最近的更改
如果最近对操作系统进行了更改(例如安装新程序),则如果这些新更改增加了系统活动,则可能会出现故障18和降级模式。使用与fresh installationcase中概述的相同补救策略,但查找与最近更改相关的进程,例如由新安装的程序运行的新进程。
实例3:其它WRR加权修改恶意活动
行为保护引擎会增加受监控的系统活动类型。这使连接器对系统有了更广阔的视角,并具备检测更复杂行为攻击的能力。但是,对大量系统活动的监控也会使连接器面临更大的拒绝服务(DoS)攻击风险。如果连接器系统活动过多,进入降级模式(故障18),它仍继续监视系统关键事件,直到减少整体系统活动。系统事件可见性方面的这一损失降低了连接器保护计算机的能力。立即调查系统是否存在恶意进程至关重要。在系统top上使用命令(或类似命令)查看当前活动进程,并在确定任何可能恶意进程时采取适当操作以修复情况。
实例4:修改队列极限缓冲区分配连接器要求
行为保护引擎可提高连接器保护计算机活动的能力;但是,要做到这一点,它必须比先前版本消耗更多资源。如果故障18频繁发生,则说明没有良性进程造成大量负载,并且计算机上似乎不存在任何恶意进程,您必须确保系统满足最低系统要求。
另请参阅
反馈