回復方法を使用して隔離されたセキュアエンドポイントの問題をトラブルシューティングする
内容
概要
このドキュメントでは、分離モードからインストールされたセキュアエンドポイントコネクタを使用してエンドポイントを回復するプロセスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- セキュアエンドポイントコネクタ
- セキュアエンドポイントコンソール
- エンドポイント分離機能
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Secure Endpointコンソールバージョンv5.4.2021092321
- Secure Endpoint Windowsコネクタバージョンv7.4.5.20701
- セキュアエンドポイントMac接続バージョンv1.21.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントで説明する手順は、エンドポイントデバイスがこの状態のままになり、分離モードを無効にできない場合に役立ちます。
エンドポイントの分離は、コンピュータ上のネットワークアクティビティ(INおよびOUT)をブロックして、データの流出やマルウェアの伝播などの脅威を防止する機能です。次のサイトで入手できます。
- バージョン7.0.5以降のWindowsコネクタをサポートする64ビットバージョンのWindows
- Macコネクタのバージョン1.21.0以降をサポートするMacバージョン。
エンドポイント分離セッションは、コネクタとシスコクラウド間の通信に影響を与えません。エンドポイントには、セッション前と同じレベルの保護と可視性があります。アクティブなエンドポイント分離セッションがアクティブな間にコネクタが問題のIPアドレスをブロックすることを回避するために、アドレスのIP分離許可リストを設定できます。エンドポイント分離機能の詳細については、ここを参照してください。
分離の停止
コンピュータでエンドポイントの分離を停止する場合は、セキュアエンドポイントのコンソールまたはコマンドラインから次の手順を実行します。
コンソールからの分離セッションの停止
分離セッションを停止し、すべてのネットワークトラフィックをエンドポイントに復元する。
ステップ 1:コンソールで、[Management] > [Computers] に移動します。
ステップ 2:分離を停止するコンピューターを見つけて、クリックして詳細を表示します。
ステップ 3:図に示すように、[Stop Isolation] ボタンをクリックします。
ステップ 4:エンドポイントで隔離機能を停止した理由についてコメントを入力します。
コマンドラインからの分離セッションの停止
隔離されたエンドポイントがシスコクラウドへの接続を失い、コンソールから隔離セッションを停止できない場合。このような状況では、ロック解除コードを使用して、コマンドラインからローカルにセッションを停止できます。
ステップ 1:コンソールで、[Management] > [Computers] に移動します。
ステップ 2:分離を停止するコンピューターを見つけて、クリックして詳細を表示します。
ステップ 3:次の図に示すように、[Unlock Code] をメモします。
ステップ 4:図に示すように、[Account] > [Audit Log] に移動して[Unlock Code] を見つけることもできます。
ステップ 5: 隔離されたコンピュータで、管理者特権を使用してコマンドプロンプトを開きます。
手順 6: コネクタがインストールされているディレクトリに移動します
Windows:C:\Program Files\Cisco\AMP\[バージョン番号]
Mac:/opt/cisco/amp
手順 7:stopコマンドを実行します。
Windows: sfc.exe -n [unlock code]
Mac: ampcli isolate stop [unlock code]
回復のトラブルシューティング
すべての手段を使い果たしても、Secure Endpointコンソールから、またはロック解除コードを使用してローカルに、隔離されたエンドポイントを回復できない場合は、緊急回復方法を使用して隔離されたエンドポイントを回復できます。
Macリカバリ:
分離設定を削除し、セキュアエンドポイントサービスを再起動します
sudo rm /Library/Application\ Support/Cisco/Secure\ Endpoint/endpoint_isolation.xml
sudo launchctl unload /Library/LaunchDaemons/com.cisco.amp.daemon.plist
sudo launchctl load /Library/LaunchDaemons/com.cisco.amp.daemon.plistWindowsの回復:
コマンドラインからのリカバリ分離方法
エンドポイントデバイスが隔離されたままになり、セキュアエンドポイントコンソールまたはアンロックコードを使用して隔離を無効にできない場合は、次の手順を実行します。
ステップ 1:コネクタユーザインターフェイスまたはWindows Servicesを使用して、コネクタサービスを停止します。
ステップ 2:Secure Endpoint Connectorサービスを見つけて、サービスを停止します。
ステップ 3:隔離されたコンピュータで、管理者特権を使用してコマンドプロンプトを開きます。
ステップ 4:次の図に示すように、コマンドreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /fを実行します。
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Immunet Protect" /v "unlock_code" /f
ステップ 5:「The operation completed successfully」というメッセージは、操作が完了したことを示します。(「Error: Access is denied」という別のメッセージが表示された場合は、コマンドを実行する前にSecure Endpointコネクタサービスを停止する必要があります)。
手順 6:Secure Endpointコネクタサービスを開始します。
隔離れたエンドポイントで、[System Configuration] > [Boot] > [Boot options] に移動し、図に示すように[Safe boot] を選択します。
コマンドラインを使用しないリカバリ分離方法
エンドポイントデバイスが分離でスタックし、セキュアエンドポイントコンソールまたはロック解除コードを使用して分離を無効にできない場合、またはコマンドラインを使用できない場合は、次の手順を実行します。
ステップ 1:コネクタユーザインターフェイスまたはWindows Servicesを使用して、コネクタサービスを停止します。
ステップ 2:図に示すように、コネクタがインストールされているディレクトリ(C:\Program Files\Cisco\AMP\)に移動し、ファイルjobs.dbを削除します。
3.コンピュータを再起動します。
また、コンソールにIsolationイベントが表示されている場合は、[Error Details] に移動して、図に示すようにエラーコードとその説明を確認できます。
確認
エンドポイントが分離から戻っているか、または分離されていないことを確認するには、図に示すように、セキュアエンドポイントコネクタのユーザインターフェイスに[Isolation]ステータスが[Not Isolated] と表示されていることを確認します。
Secure Endpointコンソールから、[Management] > [Computers] に移動し、問題のコンピュータを見つけたら、クリックして詳細を表示できます。図に示すように、[Isolation]ステータスに[Not Isolated] が表示されます。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
02-Nov-2022 |
追加:Macバージョン、Mac stopコマンド、Mac回復方法 |
1.0 |
19-Aug-2022 |
初版 |
フィードバック