はじめに
このドキュメントでは、macOSおよびLinux用のセキュアエンドポイントコネクタの障害18について説明します。
障害18:コネクタイベント監視が過負荷です
動作保護エンジンは、コネクタのシステムアクティビティに対する可視性を向上させます。この可視性の向上により、コネクタのシステムアクティビティ監視は、システムのアクティビティ量によって過大な負荷を受ける可能性が高くなります。これが発生すると、コネクタでは障害18が発生し、縮退モードに入ります。障害18の詳細については、macOSおよびLinux用のCisco Secure Endpoint Connectorの障害に関する記事を参照してください。コネクタで、Secure Endpoint CLIでstatus コマンドを使用して、コネクタが縮退モードで実行されているかどうか、およびエラーが発生しているかどうかを確認できます。障害18が発生した場合、Secure Endpoint CLIでstatus コマンドを実行すると、障害が次の2つの重大度のいずれかで表示されます。
- 障害18 – 重大な重大度
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- 障害18 – 重大な重大度
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
コネクタイベントモニタリングが過負荷になっている:メジャーな重大度
障害18が重大な重大度で発生した場合、これはコネクタイベント監視が過負荷になっているものの、より小さなシステムイベントのセットを監視できることを意味します。コネクタはメジャーな重大度に切り替わり、1.22.0より古いLinuxコネクタと1.24.0より古いmacOSコネクタで使用可能なモニタリングと同等のイベントよりも少ないイベントをモニタリングします。システムイベントのフラッディングが短く、イベントモニタリングの負荷が再び許容範囲内まで減少した場合、障害18はクリアされ、コネクタはすべてのシステムイベントのモニタリングを再開します。システムイベントのフラッディングが悪化し、イベントモニタリングの負荷がクリティカルなレベルまで増加した場合は、エラー18がクリティカルな重大度で起動され、コネクタがクリティカルな重大度に切り替わります。
コネクタイベント監視が過負荷です:重大な重大度
重大な重大度でエラー18が発生した場合は、コネクタに過剰なシステムイベントが発生しており、コネクタが危険にさらされていることを意味します。コネクタが、より限定的な重大度に切り替わります。この状態では、コネクタは重大なイベントのみを監視し、コネクタがクリーンアップしてリカバリに集中できるようにします。大量のイベントが最終的に許容できる範囲まで減少した場合、障害は完全にクリアされ、コネクタはすべてのシステムイベントの監視を再開します。
障害対応ガイダンス
コネクタで重大度がmajorまたはcriticalの障害18が発生する場合は、問題を調査して解決するために手順を実行する必要があります。障害18を解決する手順は、障害がいつ、なぜ発生したかによって異なります。
- 障害18は、コネクタの新規インストール時に発生しました
- 障害18は、オペレーティングシステムの最近の変更後に発生しました
- フォールト18が自然発生的に発生
-
コネクタがすでにインストールされているマシンを再プロビジョニングしたとき、またはコネクタをバージョン(Linux)1.22.0以降または(macOS)1.24.0以降に更新したときに、エラー18が発生しました
ケース1:新規インストール
コネクタの新規インストールで障害18およびデグレードモードが発生する場合は、最初にシステムが最小システム要件を満たしていることを確認します。要件が最小要件を満たしているか、それを超えていることを確認した後、障害が解消されない場合は、システム上で最もアクティブなプロセスを調査する必要があります。端末で top コマンド(または類似のコマンド)を使用すると、Linuxシステム上の現在アクティブなプロセスを表示できます。 最も多くのCPUを消費しているプロセスが良性であることが判明している場合は、新しいプロセス除外を作成して、これらのプロセスを監視から除外できます。
サンプル シナリオ:
新規インストール後に、Secure Endpoint CLIを使用して障害18およびデグレードモードが表示されたとします。Ubuntuマシンでtop コマンドを実行すると、次のアクティブなプロセスが表示されました。
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie %Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process 4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal- 117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound 34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound 1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg 34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound 2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell 132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events 6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon 741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd 969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint 2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc 1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd 3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp 4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp 5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq 6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns 8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri 10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
この例では、trusted_process という非常にアクティブなプロセスが存在することがわかります。この場合、私はこのプロセスに精通しており、信頼されているため、このプロセスを疑う理由はありません。障害18をクリアするために、信頼できるプロセスをポータルのプロセス除外に追加できます。 除外を作成する際のベストプラクティスについては、「Cisco Secure Endpoint除外の設定と特定」を参照してください。
ケース2:最近の変更
新しいプログラムをインストールするなど、オペレーティングシステムに対して最近の変更を行った場合、これらの新しい変更によってシステムアクティビティが増加すると、障害18およびデグレードモードが発生することがあります。新規インストールの場合と同じ修復方法を使用しますが、最近の変更に関連するプロセス(新しくインストールされたプログラムによって実行される新しいプロセスなど)を探します。
ケース3:悪意のあるアクティビティ
動作保護エンジンは、監視するシステムアクティビティの種類を増やします。これにより、システムに対する幅広い視点がコネクタに提供され、より複雑な動作攻撃を検出する機能がコネクタに提供されます。ただし、より多くのシステムアクティビティを監視すると、コネクタはサービス拒否(DoS)攻撃の大きなリスクにさらされます。コネクタがシステムアクティビティで過負荷になり、障害18で低下モードに入った場合でも、システム全体のアクティビティが低下するまで、システムの重要なイベントを監視し続けます。 システムイベントの可視性が失われることで、マシンを保護するコネクタの機能が低下します。 悪意のあるプロセスがないか、システムを直ちに調査することが重要です。システムで top コマンド(または類似したコマンド)を使用して、現在アクティブなプロセスを表示し、悪意のある可能性のあるプロセスが特定された場合は状況を修復するための適切な措置を講じます。
ケース4:コネクタの要件
動作保護エンジンは、マシンアクティビティを保護するコネクタの機能を改善しますが、そのためには、以前のバージョンよりも多くのリソースを消費する必要があります。エラー18が頻繁に発生し、高負荷の原因となる良性プロセスがなく、悪意のあるプロセスがマシン上で動作していないように見える場合は、システムが最小システム要件を満たしていることを確認する必要があります。
以下も参照のこと
フィードバック