Introducción
Este documento describe la falla 18 en el conector de terminal seguro para macOS y Linux.
Falla 18: La supervisión de eventos del conector está sobrecargada
El motor de protección del comportamiento mejora la visibilidad del conector en la actividad del sistema; con este aumento de visibilidad, la supervisión de la actividad del sistema del conector es más probable que se vea abrumada por la cantidad de actividad del sistema. Si esto sucede, el conector provoca el fallo 18 e ingresa en el modo degradado; para obtener detalles del fallo 18, consulte los artículos de errores de Cisco Secure Endpoint Connector para macOS y Linux. En el conector, el status comando se puede utilizar en la CLI de terminal seguro para ver si el conector se está ejecutando en modo degradado y si se produce algún error. Si se genera el error 18, la ejecución del status comando en la CLI de terminal seguro muestra el error con una de las dos gravedades posibles:
- Falla 18 con gravedad mayor
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Major
Fault IDs: 18
ID 18 - Major: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
- Falla 18 con gravedad crítica
ampcli> status
Status: Connected
Mode: Degraded
Scan: Ready for scan
Last Scan: 2023-06-19 02:02:03 PM
Policy: Audit Policy for FireAMP Linux (#1)
Command-line: Enabled
Orbital: Disabled
Behavioural Protection: Protect
Faults: 1 Critical
Fault IDs: 18
ID 18 - Critical: Connector event monitoring is overloaded. Investigate the most active processes for malicious activity, you can also create exclusions for the most active benign processes to reduce monitoring load.
La supervisión de eventos de conector está sobrecargada: gravedad mayor
Cuando el fallo 18 se provoca con una gravedad mayor, esto significa que la supervisión de eventos del conector está sobrecargada pero todavía puede supervisar un conjunto más pequeño de eventos del sistema. El conector cambia a una gravedad mayor y monitorea menos eventos equivalentes a la supervisión que estaba disponible en los conectores Linux anteriores a 1.22.0 y los conectores macOS anteriores a 1.24.0. Si la inundación de eventos del sistema es corta y la carga de monitoreo de eventos disminuye nuevamente a un rango aceptable, entonces el fallo 18 se borra y el conector reanuda la supervisión de todos los eventos del sistema. Si la inundación de eventos del sistema empeora y la carga de monitoreo de eventos aumenta a una cantidad crítica, entonces el fallo 18 se eleva con una gravedad crítica y el conector cambia a una gravedad crítica.
La supervisión de eventos de conector está sobrecargada: gravedad crítica
Cuando el fallo 18 se plantea con una gravedad crítica, esto significa que el conector está experimentando una cantidad abrumadora de eventos del sistema que pone en riesgo el conector. El conector cambia a una gravedad crítica más restrictiva. En este estado, el conector solo supervisa los eventos críticos para permitir que el conector se limpie y se centre en la recuperación. Si la avalancha de eventos finalmente vuelve a disminuir a un rango más aceptable, entonces la falla se borra por completo y el conector reanuda la supervisión de todos los eventos del sistema.
Guía de acción de fallas
Si el conector genera alguna vez la falla 18 con una gravedad importante o crítica, se deben tomar algunos pasos para investigar y resolver el problema. Los pasos para resolver el fallo 18 varían en función de cuándo y por qué se ha producido el fallo:
- El error 18 se produjo en una instalación nueva del conector
- El fallo 18 se produjo después de cambios recientes en el sistema operativo
- La falla 18 se planteó espontáneamente
-
La falla 18 surgió al reaprovisionar una máquina con el conector ya instalado o al actualizar el conector a la versión (Linux) 1.22.0+ o (macOS) 1.24.0+
Caso 1: Instalación nueva
Si se observa un fallo 18 y un modo degradado fuera de una instalación nueva del conector, primero debe asegurarse de que su sistema cumple con los requisitos mínimos del sistema. Después de comprobar que los requisitos cumplen o superan los requisitos mínimos, si el error persiste, debe investigar los procesos más activos del sistema. Puede ver los procesos activos actuales en un sistema Linux utilizando el top comando (o similar) en el terminal. Si se sabe que los procesos que consumen la mayor cantidad de CPU son benignos, puede crear nuevas exclusiones de procesos para excluir esos procesos de la supervisión.
Situación de ejemplo:
Supongamos que después de una instalación nueva, se muestran el fallo 18 y el modo degradado a través de la CLI de terminal seguro. Al ejecutar el top comando en una máquina Ubuntu, se mostraron estos procesos activos:
Tasks: 223 total, 5 running, 218 sleeping, 0 stopped, 0 zombie %Cpu(s): 29.4 us, 34.3 sy, 0.0 ni, 36.2 id, 0.0 wa, 0.0 hi, 0.1 si, 0.0 st MiB Mem : 7943.0 total, 3273.9 free, 2357.6 used, 2311.5 buff/cache MiB Swap: 2048.0 total, 2048.0 free, 0.0 used. 5141.2 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 34896 user1 20 0 18136 3292 3044 R 96.7 0.0 0:04.89 trusted_process 4296 user1 20 0 823768 52020 38900 R 48.0 0.6 0:10.90 gnome-terminal- 117 root 20 0 0 0 0 I 12.3 0.0 0:01.86 kworker/u64:6-events_unbound 34827 root 20 0 0 0 0 I 10.3 0.0 0:00.47 kworker/u64:2-events_unbound 1880 user1 20 0 353080 101600 70164 S 6.3 1.2 0:30.37 Xorg 34576 root 20 0 0 0 0 R 6.3 0.0 0:01.46 kworker/u64:1-events_unbound 2089 user1 20 0 3939120 251332 104008 S 3.0 3.1 0:23.25 gnome-shell 132 root 20 0 0 0 0 I 1.3 0.0 0:02.67 kworker/2:2-events 6951 root 20 0 1681560 213536 74588 S 1.3 2.6 0:41.30 ampdaemon 741 root 20 0 253648 13352 9280 S 0.3 0.2 0:01.54 polkitd 969 root 20 0 153600 3788 3512 S 0.3 0.0 0:00.36 prlshprint 2291 user1 20 0 453636 29388 20060 S 0.3 0.4 0:03.75 prlcc 1 root 20 0 169608 13116 8524 S 0.0 0.2 0:01.95 systemd 2 root 20 0 0 0 0 S 0.0 0.0 0:00.01 kthreadd 3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp 4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp 5 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 slub_flushwq 6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 netns 8 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri 10 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
Vemos que hay un proceso muy activo, llamado trusted_process en este ejemplo. En este caso estoy familiarizado con este proceso y es de confianza, no hay razón para sospechar de este proceso. Para solucionar el error 18, el proceso de confianza se puede agregar a una exclusión de proceso en el portal. Consulte el artículo Configure and Identification Cisco Secure Endpoint Exclusions para obtener información sobre las prácticas recomendadas al crear exclusiones.
Caso 2: cambios recientes
Si ha realizado cambios recientes en el sistema operativo, como la instalación de un programa nuevo, se puede observar el modo de fallo 18 y degradado si estos cambios aumentan la actividad del sistema. Utilice la misma estrategia de corrección que se describe en el caso de la instalación nueva; no obstante, busque procesos relacionados con los cambios recientes, como un nuevo proceso ejecutado por un programa recién instalado.
Caso 3: Actividad maliciosa
El motor de protección conductual aumenta los tipos de actividad del sistema que se supervisan. Esto proporciona al conector una perspectiva más amplia del sistema y le permite detectar ataques de comportamiento más complejos. Sin embargo, la supervisión de una mayor cantidad de actividad del sistema también expone al conector a un mayor riesgo de ataques de denegación de servicio (DoS). Si el conector se ve saturado por la actividad del sistema e ingresa en el modo degradado con falla 18, continúa monitoreando los eventos críticos del sistema hasta que se reduce la actividad general del sistema. Esta pérdida de visibilidad de eventos del sistema reduce la capacidad del conector para proteger su equipo. Es fundamental que investigue el sistema inmediatamente en busca de procesos maliciosos. Utilice el top comando (o similar) de su sistema para ver los procesos activos actuales y tome las medidas adecuadas para remediar la situación si se identifica algún proceso posiblemente malicioso.
Caso 4: Requisitos del conector
El motor de protección del comportamiento mejora la capacidad del conector para proteger la actividad de la máquina; sin embargo, para ello, debe consumir más recursos que en versiones anteriores. Si el fallo 18 se genera con frecuencia, no hay procesos benignos que causen una carga pesada y no parece que haya ningún proceso malicioso actuando en la máquina, debe asegurarse de que su sistema cumple los requisitos mínimos del sistema.
Vea también
Comentarios