أستكشاف أخطاء تحديث تعريفات TETRA وإصلاحها
المحتويات
المقدمة
يصف هذا المستند الخطوات التي يجب اتباعها للتحقق من سبب فشل نقاط النهاية في تحديث تعريفات TETRA من خوادم تحديث تعريفات Cisco TETRA.
يظهر آخر فشل تم تحديثه للتعريفات على وحدة تحكم نقطة النهاية الآمنة أسفل تفاصيل الكمبيوتر كما هو موضح أدناه.
استكشاف الأخطاء وإصلاحها
تتطلب نقطة النهاية الآمنة ل Windows من Cisco وجود اتصال دائم بخادم تعريف TETRA لتنزيل التحديثات.
الأخطاء الشائعة في تنزيل تعريفات TETRA تشمل:
- فشل في حل عنوان الخادم
- فشل التحقق من شهادة SSL (بما في ذلك التحقق من قائمة إبطال الشهادات)
- مقاطعة أثناء التنزيل
- فشل الاتصال بالخادم الوكيل
- فشل المصادقة على الخادم الوكيل
إذا حدث فشل أثناء محاولة تنزيل تعريفات TETRA، فستحدث المحاولة التالية في الفاصل الزمني للتحديث التالي أو في حالة بدء المستخدم للتحديث اليدوي.
التحقق من اتصال نقطة النهاية المبلغ عنه على وحدة تحكم نقطة النهاية الآمنة
تظهر وحدة التحكم في نقطة النهاية الآمنة ما إذا كانت نقطة النهاية متصلة بشكل منتظم. تأكد من أن نقاط النهاية الخاصة بك نشطة ولها حالة "آخر مرة تم عرضها" مؤخرا. إذا لم تكن نقاط النهاية قيد الإيداع باستخدام وحدة تحكم نقطة النهاية الآمنة، فإن ذلك يشير إلى أن نقطة النهاية غير نشطة أو أنها تحتوي على بعض مشاكل الاتصال.
تطلق Cisco متوسط 4 تحديثات للتعريف يوميا، وإذا كانت في أي نقطة خلال اليوم، إذا فشلت نقطة النهاية في تنزيل التحديث، فعندئذ يقوم الموصل بنشر خطأ فشل. وبوضع هذا التردد في الاعتبار، فقط إذا كانت نقاط النهاية متصلة باستمرار ولها اتصال شبكة ثابت بخادم TETRA طوال الوقت، عندئذ تكون نقاط النهاية تقارير "ضمن السياسة".
حالة "العرض الأخير" موجودة في صفحة تفاصيل الكمبيوتر كما هو مطور أدناه:
إذا كانت نقطة النهاية متصلة وتم الإبلاغ عن خطأ بأن التعريفات لم يتم تنزيلها ولكن يتم رؤيتها بواسطة وحدة التحكم، فقد تكون المشكلة متقطعة. ويمكن إجراء مزيد من التحقيقات إذا كانت الفروق الزمنية كبيرة بين "آخر مرة شوهد فيها" و"آخر تحديث للتعاريف".
التحقق من الاتصال على نقطة النهاية
يمكن للمستخدمين النهائيين التحقق من الاتصال باستخدام واجهة المستخدم.
يعرض فتح Cisco Secure Client حالة الاتصال.
يمكن إستخدام ConnectivityTool عندما تكون نقطة النهاية غير متصلة وتبلغ عن وجود مشاكل في الاتصال. ويتم تضمين هذا في IPSupportTool الذي يقوم بإنشاء حزمة الدعم.
التحقق من تعريفات TETRA على نقطة النهاية
يوفر Cisco Secure Client معلومات حول تعريفات TETRA الحالية المحملة بواسطة موصل نقطة النهاية. يمكن للمستخدم النهائي فتح العميل والتحقق من إعدادات نقطة النهاية الآمنة. في علامة التبويب إحصائيات، يتوفر التعريف الحالي ل TETRA.
أيضا، يتم الإبلاغ عن تفاصيل تعريف TETRA الحالي بواسطة أداة AmpCLI على نقطة النهاية. مثال على الأمر كما يلي:
PS C:\Program Files\Cisco\AMP\8.1.7.21417> .\AmpCLI.exe posture
{"agent_uuid":"5c6e64fa-7738-4b39-b201-15451e33bfe6","connected":true,"connector_version":"8.1.7","engines":[{"definitions":[{"last_successful_update":1684423727,"name":"Tetra","timestamp":1684387929,"version":90604}],"enabled":true,"name":"Tetra"},{"enabled":false,"name":"Spero"},{"enabled":false,"name":"Ethos"},{"definitions":[{"name":"BP","timestamp":1684352756,"version":8405}],"enabled":true,"name":"BP"},{"definitions":[{"name":"SCS","timestamp":1684352755,"version":8405}],"enabled":true,"name":"SCS"}],"last_scan":1684429124,"last_scan_status":true,"protect_file_mode":true,"protect_process_mode":true,"running":true}يتم عرض إصدارات التعريف لكل محرك بما في ذلك TETRA. في هذا المخرج أعلاه، هو الإصدار 90604. ويمكن مقارنة هذا مع وحدة التحكم في نقطة النهاية الآمنة ضمن: الإدارة > ملخص تعريف AV. يوجد مثال على الصفحة كما هو أدناه.
إذا كان الإصدار لا يزال متأخرا وكانت حالة الموصل متصلة، يمكن إجراء تحديث للتعريفات أو التحقق من اتصال نقطة النهاية بخادم TETRA.
فرض تحديث تعريفات TETRA على نقطة النهاية
يمكن للمستخدمين النهائيين إنشاء نسخة من تقدم تنزيل TETRA والتحقق منه. لكي يقوم المستخدم بتشغيل التحديث، يجب تعيين الخيار في النهج. تحت إعدادات متقدمة > صفحة إعدادات نهج واجهة مستخدم العميل، يجب تمكين الإعدادات التي تسمح للمستخدم بتحديث تعريفات TETRA للتعريفات التي سيتم تشغيلها بواسطة المستخدم.
في Cisco Secure Client، يمكن للمستخدم النهائي فتح العميل والتحقق من إعدادات نقطة النهاية الآمنة. يمكن للمستخدم البحث في "تحديث الآن" لتشغيل تحديث تعريف TETRA كما هو موضح أدناه:
إذا كنت تقوم بتشغيل AMP لنقاط النهاية الإصدار 7.2.7 والإصدارات الأعلى، يمكنك إستخدام مفتاح جديد "-forceupdate" لإجبار الموصل على تنزيل تعريفات TETRA.
C:\Program Files\Cisco\AMP\8.1.7.21417\sfc.exe -forceupdate
بعد فرض التحديث، يمكن التحقق من تعريف TETRA مرة أخرى لمعرفة ما إذا حدث تحديث. إذا لم يحدث تحديث بعد، فيجب التحقق من الاتصال بخادم TETRA.
التحقق من اتصال خادم تعريف TETRA على نقطة النهاية
يتضمن نهج نقطة النهاية خادم التعريف الذي تتصل به نقطة النهاية لتنزيل التعريفات.
تتضمن صفحة تفاصيل الكمبيوتر خادم التحديث. توضح الصورة أدناه مكان عرض خادم التحديث:
على السحابة العامة، يدرج اسم الخادم المطلوب الذي يمكن أن تتصل به نقطة النهاية تحت: عناوين الخادم المطلوبة لعمليات تحليلات نقطة النهاية والبرامج الضارة المؤمنة من Cisco
التحقق من صحة الاتصال المباشر
من نقطة النهاية، يمكن تشغيل الأمر التالي للتحقق من بحث DNS إلى خادم التحديث:
PS C:\Program Files\Cisco\AMP> Resolve-DnsName -Name tetra-defs.amp.cisco.com
Name Type TTL Section IPAddress
---- ---- --- ------- ---------
tetra-defs.amp.cisco.com A 5 Answer 192.XXX.X.XX
tetra-defs.amp.cisco.com A 5 Answer 192.XXX.X.X
tetra-defs.amp.cisco.com A 5 Answer 192.XXX.X.X
في حالة حل بروتوكول الإنترنت، يمكن إختبار اتصال الخادم. ستبدو الاستجابة الصالحة كما يلي:
PS C:\Program Files\Cisco\AMP> curl.exe -v https://tetra-defs.amp.cisco.com
* Trying 192.XXX.X.X:443...
* Connected to tetra-defs.amp.cisco.com (192.XXX.X.X) port 443 (#0)
* schannel: disabled automatic use of client certificate
* ALPN: offers http/1.1
* ALPN: server did not agree on a protocol. Uses default.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: tetra-defs.amp.cisco.com
> User-Agent: curl/8.0.1
> Accept: */*
>
* schannel: server closed the connection
< HTTP/1.1 200 OK
< Date: Fri, 19 May 2023 19:13:35 GMT
< Server:
< Last-Modified: Mon, 17 Apr 2023 15:48:54 GMT
< ETag: "0-5f98a20ced9e3"
< Accept-Ranges: bytes
< Content-Length: 0
< Connection: close
< Content-Type: text/html; charset=UTF-8
<
* Closing connection 0
* schannel: shutting down SSL/TLS connection with tetra-defs.amp.cisco.com port 443
إذا تعذر إجراء الاتصال لتأهيل الشهادة بخادم CRL (مثل commercial.ocsp.identrust.com أو validation.identrust.com)، فسيتم ملاحظة خطأ على النحو التالي:
PS C:\Program Files\Cisco\AMP> curl.exe -v https://tetra-defs.amp.cisco.com
* Trying 192.XXX.X.XX:443...
* Connected to tetra-defs.amp.cisco.com (192.XXX.X.XX) port 443 (#0)
* schannel: disabled automatic use of client certificate
* ALPN: offers http/1.1
* schannel: next InitializeSecurityContext failed: Unknown error (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.
* Closing connection 0
* schannel: shutting down SSL/TLS connection with tetra-defs.amp.cisco.com port 443
curl: (35) schannel: next InitializeSecurityContext failed: Unknown error (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.
التحقق من صحة الوكيل
إذا تم تكوين نقطة النهاية لاستخدام وكيل، يمكن التحقق من حالة الخطأ الأخيرة. يمكن أن يؤدي تشغيل PowerShell أدناه إلى إرجاع الخطأ الأخير من محاولة تحديث TETRA.
PS C:\Program Files\Cisco\AMP> (Select-Xml -Path local.xml -XPath '//tetra/lasterror').Node.InnerText
| رمز الخطأ الأخير | مسألة | الإجراءات |
| 4294965193 | تعذر تأسيس اتصال بالوكيل | التحقق من connecti الشبكة للوكيل |
| 4294965196 | تعذر المصادقة مع الوكيل | التحقق من بيانات اعتماد المصادقة للوكيل |
| 4294965187 | تم الاتصال بالوكيل وفشل التنزيل | التحقق من سجلات الوكيل لمشاكل التنزيل |
معلومات إضافية
- إذا كنت ترى نقاط نهاية تفشل باستمرار في تنزيل تعريفات TETRA، على الرغم من إكمال التحققات المذكورة أعلاه، فالرجاء تمكين الموصل في وضع تصحيح الأخطاء لفترة زمنية تساوي الفاصل الزمني للتحديث كما هو محدد في النهج وإنشاء حزمة الدعم. عندما يكون الموصل في وضع تصحيح الأخطاء، يرجى ملاحظة التقاط حزمة Wireshark أيضا. يجب أيضا تشغيل التقاط الحزمة لفترة زمنية تساوي فترة التحديث المحددة في النهج الخاص بك. بمجرد تجميع هذه المعلومات، يرجى فتح حالة Cisco TAC مع هذه المعلومات لمزيد من التحقيق.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Aug-2019 |
الإصدار الأولي |
التعليقات