排除TETRA定義更新故障

簡介

本文檔描述了為調查終端為何無法從Cisco TETRA定義更新伺服器更新TETRA定義而應遵循的步驟。

「電腦」詳細資訊下面會顯示「安全終端控制檯上出現的「定義上次更新失敗」，如下所示。

 

疑難排解

思科Windows安全終端需要持續連線到TETRA定義伺服器才能下載更新。

下載TETRA定義的常見錯誤包括：

• 無法解析伺服器地址
• 驗證SSL證書失敗（包括證書吊銷清單檢查）
• 下載過程中中斷
• 無法連線到代理伺服器
• 無法向代理伺服器進行身份驗證

如果在嘗試下載TETRA定義時出現故障，則下次嘗試將在下次更新間隔或使用者啟動手動更新時發生。

在安全終端控制檯上檢查終端報告的連線

安全端點控制檯顯示端點是否定期連線。  確保您的終端處於活動狀態，並且處於最近的「上次看到」狀態。如果端點沒有通過安全端點控制檯簽入，則表明端點未處於活動狀態或存在一些連線問題。 

思科平均每天發佈4個定義更新，如果終端在當天的任何時候未能下載更新，則聯結器會發佈故障錯誤。考慮此頻率，僅當終端始終連線，並且始終與TETRA伺服器具有穩定的網路連線，則終端才會報告為「在策略內」。 

「上次檢視時間」狀態位於「電腦詳細資訊」頁面上，如下圖所示：

如果終端正在連線，並且報告定義未下載但控制檯看到錯誤，則問題可能是間歇性的。  如果「上次檢視時間」和「上次更新定義」之間的時間差異較大，則可能執行進一步調查。

檢查終端上的連線 

終端使用者可以使用UI介面檢查連線。 

開啟Cisco Secure Client會顯示連線狀態。  

終端未連線並報告連線問題時，可使用ConnectivityTool。  這包含在生成支援包的IPSupportTool中。

檢查終端上的TETRA定義

思科安全客戶端提供有關終端聯結器載入的當前TETRA定義的資訊。  終端使用者可以開啟客戶端並檢查安全端點的設定。  在「統計資訊」頁籤上，TETRA的當前定義可用。

 

此外，當前的TETRA定義詳細資訊由AmpCLI工具在終端上報告。  該命令示例如下：

PS C:\Program Files\Cisco\AMP\8.1.7.21417> .\AmpCLI.exe posture
{"agent_uuid":"5c6e64fa-7738-4b39-b201-15451e33bfe6","connected":true,"connector_version":"8.1.7","engines":[{"definitions":[{"last_successful_update":1684423727,"name":"Tetra","timestamp":1684387929,"version":90604}],"enabled":true,"name":"Tetra"},{"enabled":false,"name":"Spero"},{"enabled":false,"name":"Ethos"},{"definitions":[{"name":"BP","timestamp":1684352756,"version":8405}],"enabled":true,"name":"BP"},{"definitions":[{"name":"SCS","timestamp":1684352755,"version":8405}],"enabled":true,"name":"SCS"}],"last_scan":1684429124,"last_scan_status":true,"protect_file_mode":true,"protect_process_mode":true,"running":true}

將顯示每個引擎的定義版本，包括TETRA。  在上面的輸出中，這是版本90604。  這可以與管理>AV定義摘要下的安全終端控制檯進行比較。  該頁的示例如下所示。

 

如果版本仍落後並且聯結器狀態已連線，則可以執行定義的更新或檢查終端與TETRA伺服器的連線。

在端點上強制TETRA定義更新

終端使用者可以模擬和檢查TETRA下載進度。  使用者要觸發更新，需要在策略中設定該選項。  在Advanced Settings > Client User Interface策略設定頁面下，需要為使用者觸發的定義啟用Allow user to update TETRA definitions設定。

在Cisco Secure Client中，終端使用者可以開啟客戶端並檢查安全終端的設定。  使用者可以點選「立即更新」以觸發如下所示的TETRA定義更新：

如果您運行的是面向終端的AMP聯結器版本7.2.7及更高版本，您可以使用新的交換機「 — forceupdate」強制聯結器下載TETRA定義。 

C:\Program Files\Cisco\AMP\8.1.7.21417\sfc.exe -forceupdate

強制執行更新後，可以再次檢查TETRA定義以檢視是否發生更新。  如果仍然沒有進行更新，則需要檢查與TETRA伺服器的連線。  

檢查終端上的TETRA定義伺服器連線

終端策略包括終端聯絡以下載定義的定義伺服器。  

電腦詳細資訊頁面包括更新伺服器。  下圖顯示了更新伺服器的顯示位置：

 

在公共雲上，終端可以連線到的所需伺服器名稱列在Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations下

直接連線驗證

在終端上，可以運行以下命令以檢查對更新伺服器的DNS查詢：

PS C:\Program Files\Cisco\AMP> Resolve-DnsName -Name tetra-defs.amp.cisco.com
Name                       Type TTL Section IPAddress
----                       ---- --- ------- ---------
tetra-defs.amp.cisco.com   A    5   Answer  192.XXX.X.XX
tetra-defs.amp.cisco.com   A    5   Answer  192.XXX.X.X
tetra-defs.amp.cisco.com   A    5   Answer  192.XXX.X.X

如果解析了IP，則可以測試與伺服器的連線。  有效的響應將如下所示：

PS C:\Program Files\Cisco\AMP> curl.exe -v https://tetra-defs.amp.cisco.com
* Trying 192.XXX.X.X:443...
* Connected to tetra-defs.amp.cisco.com (192.XXX.X.X) port 443 (#0)
* schannel: disabled automatic use of client certificate
* ALPN: offers http/1.1
* ALPN: server did not agree on a protocol. Uses default.
* using HTTP/1.x
> GET / HTTP/1.1
> Host: tetra-defs.amp.cisco.com
> User-Agent: curl/8.0.1
> Accept: */*
>
* schannel: server closed the connection
< HTTP/1.1 200 OK
< Date: Fri, 19 May 2023 19:13:35 GMT
< Server:
< Last-Modified: Mon, 17 Apr 2023 15:48:54 GMT
< ETag: "0-5f98a20ced9e3"
< Accept-Ranges: bytes
< Content-Length: 0
< Connection: close
< Content-Type: text/html; charset=UTF-8
<
* Closing connection 0
* schannel: shutting down SSL/TLS connection with tetra-defs.amp.cisco.com port 443

如果無法建立連線來驗證與CRL伺服器的憑證(例如commercial.ocsp.identrust.com或validation.identrust.com)，則會出現以下錯誤：

PS C:\Program Files\Cisco\AMP> curl.exe -v https://tetra-defs.amp.cisco.com

* Trying 192.XXX.X.XX:443...
* Connected to tetra-defs.amp.cisco.com (192.XXX.X.XX) port 443 (#0)
* schannel: disabled automatic use of client certificate
* ALPN: offers http/1.1
* schannel: next InitializeSecurityContext failed: Unknown error (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.
* Closing connection 0
* schannel: shutting down SSL/TLS connection with tetra-defs.amp.cisco.com port 443
curl: (35) schannel: next InitializeSecurityContext failed: Unknown error (0x80092013) - The revocation function was unable to check revocation because the revocation server was offline.

代理驗證

如果終端配置為使用代理，則可以檢查最後一個錯誤狀態。  運行下面的PowerShell可能會返回TETRA更新嘗試的最後一個錯誤。

PS C:\Program Files\Cisco\AMP> (Select-Xml -Path local.xml -XPath '//tetra/lasterror').Node.InnerText

上一個錯誤代碼	問題	動作
4294965193	無法建立與代理的連線	檢查與代理的網路連線
4294965196	無法通過代理進行身份驗證	檢查代理的身份驗證憑據
4294965187	已連線代理且下載失敗	檢查代理日誌以瞭解下載問題

其他資訊

• 如果您看到終端始終無法下載TETRA定義，儘管完成了上述檢查，請在調試模式下啟用聯結器，時間間隔等於策略中定義的更新間隔，並生成支援捆綁包。當聯結器處於調試模式時，請注意同時捕獲Wireshark資料包捕獲。資料包捕獲的時間間隔必須等於策略中定義的更新時間間隔。收集完此資訊後，請隨此資訊一起開啟Cisco TAC案例以進行進一步調查。 

從AMP for Windows聯結器收集診斷資料