Cortex XDR: el módulo del kernel de Linux detectó apagados repetidos y sin gracia

• El estado operativo del agente Cortex XDR muestra protección parcial
• In the trapsd.log, the operational status is showing 20003 on multiple modules.

  • Current agent operational status {
    "antiLpeStatus": 20003,
    "antiexploitStatus": 0,
    "antimalwareStatus": 20003,
    "dseStatus": 20003,
    "edrStatus": 20003,
    "generalStatus": 0,
    "memoryStatus": 0
    }

• Los datos de estado operativo muestran que el módulo del kernel de Linux detectó apagados repetidos y sin gracia

• El punto final se apagó varias veces en una hora

• Agentes Cortex XDR 6.x
• Agentes Cortex XDR 7.x
• Agentes Cortex XDR 8.x
• Sistema operativo Linux

Cortex XDR Agent tiene un mecanismo de protección que se activa cuando la máquina se apaga sin problemas varias veces en una hora. Cuando esto ocurre, el módulo Kernam (KM) se descarga y la protección del agente se ejecuta de forma asincrónica.

• Antes de Cortex XDR 7.1, el mecanismo de protección desactivaba KM después de un único apagado incorrecto.
• A partir de Cortex XDR 7.1, el mecanismo de protección se activa cuando ocurren dos (2) o más fallas en la última hora.
• Varias entradas en el archivo .load_lock impedirán que se cargue el KM y será necesario eliminarlas para permitir que el KM se inicie nuevamente.

Opción 1:

1. Realizar una actualización del agente Cortex XDR (actualización mayor o menor).
2. La actualización recreará el archivo .load_lock y liberará la protección de apagado incorrecto en el núcleo Cortex XDR.

Opción 2: Eliminar manualmente el archivo de bloqueo carga

1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"):

    /opt/traps/bin/cytool status

2. Disable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime stop
   

3. Remove the load_lock file if it didn't automatically clear:

   rm "/etc/traps/km/.load_lock"

4. Enable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime start

5. Check the Agent's Operational Status again to ensure correct status:

   /opt/traps/bin/cytool status

• Una vez que se inician los servicios del agente, se vuelve a crear el archivo de bloqueo de carga . Esto es normal y debería permitir que el núcleo Cortex XDR (módulo del kernel) se inicie a menos que detecte varios apagados incorrectos (al menos 2) en la misma hora.
• Tenga en cuenta que incluso si el Agente muestra el Estado operativo: Funcional, puede tomar hasta 15 minutos para que se refleje correctamente Protegido en el Inquilino XDR.
• Si este problema ocurre con frecuencia, debe trabajar con el administrador del servidor para solucionar los múltiples apagados incorrectos y minimizar/evitar que ocurran.

Opción 3: Desinstale y vuelva a instalar el agente Cortex XDR.