簡介
本文檔介紹適用於macOS和Linux的安全終端聯結器上的故障18。
故障18:聯結器事件監視超載
行為保護引擎提高了聯結器對系統活動的可視性;隨著可視性的增加,聯結器的系統活動監控更可能被系統上的活動量所淹沒。如果發生這種情況,聯結器引發故障18並進入降級模式;有關故障18的詳細資訊,請參閱適用於macOS和Linux的Cisco安全端點聯結器故障文章。在聯結器上,可以在Secure Endpoint CLI中使用該命令,檢視聯結器是否以降級模式運行,以及是否出現任何故障status。如果發生故障18,則在statusSecure Endpoint CLI中運行該命令會顯示以下兩種可能嚴重性之一的故障:
- 故障18(嚴重性為嚴重)
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- 故障18(嚴重性為嚴重)
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
聯結器事件監視超載:主要嚴重性
當以嚴重程度引發故障18時,這意味著聯結器事件監控超載,但仍然能夠監控較小的一組系統事件。聯結器切換到嚴重級別並監視較少的事件,這些事件相當於早於1.22.0的Linux聯結器和早於1.24.0的macOS聯結器中的可用監視。如果系統事件泛洪時間短,事件監視負載降低到可接受的範圍,則清除故障18,聯結器恢復監視所有系統事件。如果系統事件的泛洪變差,並且事件監視負載增加至臨界量,則故障18將升高至臨界嚴重性,並且聯結器將切換至臨界嚴重性。
聯結器事件監視超載:嚴重性
如果故障18的嚴重程度為嚴重,則意味著聯結器正在經歷數量龐大的系統事件,將聯結器置於風險之中。聯結器切換成更嚴格的嚴重性。在此狀態下,聯結器僅監控關鍵事件,以允許聯結器進行清理並專注於恢復。如果事件泛洪最終減小到更可接受的範圍,那麼故障將完全清除,聯結器將恢復監控所有系統事件。
故障操作指南
如果聯結器曾引發嚴重或嚴重程度為故障18,則必須採取一些步驟來調查和解決該問題。根據故障出現的時間和原因,解決故障18的步驟有所不同:
- 在重新安裝聯結器時出現故障18
- 故障18是在最近對作業系統進行更改後出現的
- 故障18是自發發出的
-
在重新調配已安裝了聯結器的電腦或將聯結器更新至版本(Linux)1.22.0+或(macOS)1.24.0+時引發了故障18
案例 1:全新安裝
如果在重新安裝聯結器時觀察到故障18和降級模式,則必須首先確保系統滿足最低系統要求。在驗證要求是否符合或超過最低要求後,如果故障仍然存在,您必須調查系統上最活躍的進程。您可以使用終端中的命令(或類似命令)檢視Linux系統上的當前活動進程。如果已知佔用最高CPU數量的進程是良性的,則可以建立新的進程排除項目,以排除這些進程被監top控。
範例情境:
假設在全新安裝之後,通過Secure Endpoint CLI顯示故障18和降級模式。在Ubuntu電腦top中運行命令會顯示以下活動進程:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie
%Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st
MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache
MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process
4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal-
117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound
34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound
1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg
34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound
2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell
132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events
6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon
741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd
969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint
2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc
1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns
8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
我們看到一個非常活躍的進程,如trusted_process本例所示。在這種情況下,我熟悉這個過程,而且它值得信任,我沒有理由懷疑這個過程。若要清除錯誤18,可以將受信任的進程新增到門戶中的進程排除中。請參閱配置和確定思科安全終結點排除文章,以瞭解建立排除時的最佳實踐。
案例 2:最近的更改
如果最近對作業系統進行了更改(例如安裝新程式),則如果這些新更改增加了系統活動,則會出現故障18和降級模式。使用與fresh安裝案例中概述的相同的補救策略,但查詢與最近更改相關的進程,例如由新安裝的程式運行的新進程。
案例 3:惡意活動
行為保護引擎會增加受監控的系統活動型別。這使聯結器對系統有更廣闊的視角,並具備檢測更複雜行為攻擊的能力。但是,對大量系統活動的監控也會增加聯結器遭受拒絕服務(DoS)攻擊的風險。如果聯結器系統活動過多,並且進入降級模式並出現故障18,則它仍會繼續監視系統嚴重事件,直到減少整體系統活動。系統事件可見性的這種損失降低了聯結器保護電腦的能力。立即調查系統是否有惡意進程至關重要。在系統top上使用命令(或類似命令)檢視當前活動的進程,並在確定任何可能惡意的進程時採取適當操作以補救此情況。
案例 4:聯結器要求
行為保護引擎提高了聯結器的能力,以保護您的電腦活動;但是,要做到這一點,它必須消耗比先前版本更多的資源。如果故障18頻繁發生,則沒有良性進程導致高負荷,並且電腦上似乎沒有任何惡意進程,則必須確保系統滿足最低系統要求。
另請參閱
意見