排除安全终端Mac/Linux连接器故障18

下载选项

  • PDF     (433.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (80.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (67.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2024 年 4 月 16 日
文档 ID:220575

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍适用于macOS和Linux的安全终端连接器的故障18。

    故障18:连接器事件监控过载

    行为保护引擎可改善连接器对系统活动的可视性;随着可视性的提高,连接器的系统活动监控更可能被系统上的活动量吞没。如果出现这种情况,连接器将引发故障18并进入降级模式;有关故障18的详细信息,请参阅macOSLinux 的Cisco安全终端连接器故障文章。在连接器上,可在Secure Endpoint CLI中使用status 命令以查看连接器是否以降级模式运行,以及是否出现任何故障。如果发生故障18,则在Secure Endpoint CLI中运行status 命令会显示具有以下两种严重性之一的故障:

    1. 故障18(严重性为严重)
      ampcli> status
Status:                 Connected
Mode:                   Degraded
Scan:                   Ready for scan
Last Scan:              2023-06-19 02:02:03 PM
Policy:                 Audit Policy for FireAMP Linux (#1)
Command-line:           Enabled
Orbital:                Disabled
Behavioural Protection: Protect
Faults:                 1 Major
Fault IDs:      18
                ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.

    2. 故障18(严重性为严重)
      ampcli> status
Status:                 Connected
Mode:                   Degraded
Scan:                   Ready for scan
Last Scan:              2023-06-19 02:02:03 PM
Policy:                 Audit Policy for FireAMP Linux (#1)
Command-line:           Enabled
Orbital:                Disabled
Behavioural Protection: Protect
Faults:                 1 Critical
Fault IDs:      18
                ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
      3.

    连接器事件监控超载:严重性

    当以严重性为严重性引发故障18时,这意味着连接器事件监视超载,但仍可以监视较小的一组系统事件。连接器切换到“严重性”级别,并监控较少的事件,这些事件相当于早于1.22.0版的Linux连接器和1.24.0版的macOS连接器中的可用监控事件。如果系统事件泛洪时间较短,并且事件监控负载减少到可接受的范围,则清除故障18,并且连接器继续监控所有系统事件。如果系统事件泛洪变差,并且事件监控负载增加至临界量,则会以临界严重性引发故障18,并且连接器切换到临界严重性

    连接器事件监控超载:严重严重性

    当故障18的严重性为严重时,这意味着连接器面临着大量系统事件,使连接器处于危险状态。连接器切换到更严格的严重级别。在此状态下,连接器仅监控关键事件,以允许连接器进行清理并专注于恢复。如果事件泛洪最终减少到更可接受的范围,则故障将完全清除,连接器将恢复监控所有系统事件。

    故障操作指南

    如果连接器出现过严重程度为严重或严重的故障18,则必须采取一些步骤以调查和解决该问题。解决故障18的步骤因故障发生的时间和原因而异:

    1. 在全新安装连接器时引发故障18
    2. 故障18是在最近对操作系统进行更改后引发的
    3. 故障18是自发产生的

    4. 在将已安装的连接器重新调配计算机或将连接器更新至版本(Linux) 1.22.0+或(macOS) 1.24.0+时引发故障18

      5.

    案例1:全新安装

    如果发现新安装连接器时出现故障18和降级模式,则必须首先确保系统满足最低系统要求。在确认要求满足或超过最低要求后,如果故障仍然存在,您必须检查系统上最活跃的进程。可以在终端中使用 top 命令(或类似命令)查看Linux系统上当前的活动进程。 如果已知占用最多CPU的进程是良性的,则可以创建新的进程排除项,以排除这些进程被监控的流量。 

    示例 情景:

    假设全新安装后,通过安全终端CLI显示故障18和降级模式。在Ubuntu计算机上运行top 命令将显示以下活动进程:

    Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie %Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process 4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal- 117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound 34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound 1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg 34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound 2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell 132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events 6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon 741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd 969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint 2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc 1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd 3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp 4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp 5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq 6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns 8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri 10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq

    我们看到有一个非常活跃的进程,在本例中称trusted_process 为。在本例中,我熟悉此流程,而且它值得信任,因此没有理由怀疑此流程。要清除故障18,可以将受信任的进程添加到门户中的进程排除项中。 请参阅配置和确定Cisco安全终端排除文章,了解创建排除的最佳实践。

    案例2:最近更改

    如果最近对操作系统进行了更改(例如安装新程序),则当这些新更改增加系统活动时,可能会出现故障18和降级模式。请使用全新安装案例中介绍的相同补救策略,但应查找与最近更改相关的进程,如由全新安装的程序运行的新进程。

    案例3:恶意活动

    行为保护引擎会增加受监控的系统活动的类型。这使连接器可以更全面地了解系统,并使其能够检测更复杂的行为攻击。但是,监控大量系统活动也会使连接器面临更大的拒绝服务(DoS)攻击风险。如果连接器不堪重负的系统活动并进入发生故障18的降级模式,它仍会继续监控系统关键事件,直到整体系统活动减少。 系统事件可见性的降低降低了连接器保护您计算机的能力。 请务必立即调查系统是否存在恶意进程。在系统中使用 top 命令(或类似命令)查看当前活动的进程,如果确定任何可能的恶意进程,则采取适当操作补救情况。

    案例4:连接器要求

    行为保护引擎可提高连接器保护计算机活动的能力;但是,要这样做,它必须消耗比先前版本更多的资源。如果频繁发生故障18,则不会出现导致负载过重的良性进程,并且计算机上似乎没有任何恶意进程,则必须确保系统满足最低系统要求

    另请参阅

    修订历史记录

    版本 发布日期 备注
    2.0
    16-Apr-2024
    添加了故障18的详细信息
    1.0
    12-Jul-2023
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品