Cortex XDR - Le module du noyau Linux a détecté des arrêts répétés et anormaux

• L'état opérationnel de l'agent Cortex XDR indique qu'il est partiellement protégé
• In the trapsd.log, the operational status is showing 20003 on multiple modules.

  • Current agent operational status {
    "antiLpeStatus": 20003,
    "antiexploitStatus": 0,
    "antimalwareStatus": 20003,
    "dseStatus": 20003,
    "edrStatus": 20003,
    "generalStatus": 0,
    "memoryStatus": 0
    }

• Les données sur l'état opérationnel indiquent que le module du noyau Linux a détecté des arrêts répétés et anormaux

• Le point de terminaison a été arrêté plusieurs fois en une heure

• Agents Cortex XDR 6.x
• Agents Cortex XDR 7.x
• Agents Cortex XDR 8.x
• Système d'exploitation Linux

Cortex XDR Agent dispose d'un mécanisme de protection qui se déclenche lorsque la machine s'arrête de manière intempestive plusieurs fois par heure. Lorsque cela se produit, le module Kernam (KM) est déchargé et la protection de l'agent s'exécute de manière asynchrone.

• Avant Cortex XDR 7.1, le mécanisme de protection désactivait KM après un seul arrêt intempestif.
• À partir de Cortex XDR 7.1, le mécanisme de protection se déclenche lorsque deux (2) pannes ou plus se produisent au cours de la dernière heure.
• Plusieurs entrées dans le fichier .load_lock empêcheront le chargement du KM et les entrées doivent être supprimées pour permettre au KM de redémarrer.

Option 1 :

1. Effectuer une mise à niveau de l'agent Cortex XDR (mise à niveau majeure ou mineure).
2. La mise à niveau recréera le fichier .load_lock et libérera la protection contre l'arrêt indésirable sur le cœur Cortex XDR.

Option 2 : supprimer manuellement le fichier . charge lock

1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"):

    /opt/traps/bin/cytool status

2. Disable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime stop
   

3. Remove the load_lock file if it didn't automatically clear:

   rm "/etc/traps/km/.load_lock"

4. Enable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime start

5. Check the Agent's Operational Status again to ensure correct status:

   /opt/traps/bin/cytool status

• Une fois les services de l'agent démarrés, le fichier de verrouillage de charge sera recréé. C'est normal et cela devrait permettre au noyau Cortex XDR (module du noyau) de démarrer, sauf s'il détecte plusieurs arrêts intempestifs (au moins 2) dans la même heure.
• Notez que même si l'agent affiche l'état opérationnel : fonctionnel, il peut falloir jusqu'à 15 minutes pour refléter correctement la protection sur le locataire XDR.
• Si ce problème se produit souvent, vous devez collaborer avec l' admin du serveur pour résoudre les multiples arrêts indésirables et minimiser/empêcher qu'ils ne se produisent.

Option 3 : désinstaller et réinstaller l'agent Cortex XDR.