Cortex XDR - Das Linux-Kernelmodul hat wiederholte unsanfte Herunterfahren festgestellt

• Der Betriebsstatus des Cortex XDR-Agenten zeigt „Teilweise geschützt“ an.
• In the trapsd.log, the operational status is showing 20003 on multiple modules.

  • Current agent operational status {
    "antiLpeStatus": 20003,
    "antiexploitStatus": 0,
    "antimalwareStatus": 20003,
    "dseStatus": 20003,
    "edrStatus": 20003,
    "generalStatus": 0,
    "memoryStatus": 0
    }

• Daten zum Betriebsstatus zeigen , dass das Linux-Kernelmodul wiederholte unsanfte Herunterfahren erkannt hat

• Der Endpunkt wurde innerhalb einer Stunde mehrmals heruntergefahren

• Cortex XDR Agents 6.x
• Cortex XDR-Agenten 7.x
• Cortex XDR-Agenten 8.x
• Linux-Betriebssystem

Cortex XDR Agent verfügt über einen Schutzmechanismus, der aktiviert wird, wenn die Maschine innerhalb einer Stunde mehrmals unsachgemäß herunterfährt. In diesem Fall wird das Kernam-Modul (KM) entladen und der Agentenschutz läuft asynchron.

• Vor Cortex XDR 7.1 deaktiviert der Schutzmechanismus KM nach einem einmaligen unsanften Herunterfahren.
• Ab Cortex XDR 7.1 greift der Schutzmechanismus, wenn innerhalb der letzten Stunde zwei (2) oder mehr Abstürze aufgetreten sind.
• Mehrere Einträge in der Datei .load_lock verhindern das Laden des KM und Einträge müssen entfernt werden, damit KM erneut gestartet werden kann.

Option 1:

1. Führen Sie ein Upgrade des Cortex XDR-Agenten durch (Haupt- oder Nebenupgrade).
2. Das Upgrade erstellt die Datei .load_lock neu und hebt den Schutz vor unkontrolliertem Herunterfahren des Cortex XDR-Kerns auf.

Option 2: Manuelles Löschen der .load- Last

1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"):

    /opt/traps/bin/cytool status

2. Disable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime stop
   

3. Remove the load_lock file if it didn't automatically clear:

   rm "/etc/traps/km/.load_lock"

4. Enable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime start

5. Check the Agent's Operational Status again to ensure correct status:

   /opt/traps/bin/cytool status

• Nachdem die Agentendienste gestartet sind, wird die Sperrdatei „Last“ neu erstellt. Dies ist normal und sollte den Start des Cortex XDR-Kerns (Kernelmodul) ermöglichen, sofern er nicht mehrere (mindestens 2) unkontrollierte Herunterfahren in derselben Stunde erkennt.
• Beachten Sie, dass es bis zu 15 Minuten dauern kann, bis „Geschützt“ auf dem XDR-Mandanten korrekt angezeigt wird, auch wenn der Agent den Betriebsstatus „Funktional“ anzeigt.
• Wenn dieses Problem häufig auftritt, sollten Sie mit dem verwaltungs- zusammenarbeiten, um die zahlreichen unkontrollierten Herunterfahren zu beheben und ihr Auftreten zu minimieren bzw. zu verhindern.

Option 3: Deinstallieren Sie den Cortex XDR Agent und installieren Sie ihn erneut.