Cortex XDR - Linux 커널 모듈이 반복적인 비정상적인 종료를 감지했습니다.

• Cortex XDR 에이전트 작동 상태가 부분적으로 보호됨으로 표시됨
• In the trapsd.log, the operational status is showing 20003 on multiple modules.

  • Current agent operational status {
    "antiLpeStatus": 20003,
    "antiexploitStatus": 0,
    "antimalwareStatus": 20003,
    "dseStatus": 20003,
    "edrStatus": 20003,
    "generalStatus": 0,
    "memoryStatus": 0
    }

• 운영 상태 데이터는 Linux 커널 모듈이 반복적인 비정상적인 종료를 감지했음을 보여줍니다.

• 엔드포인트가 1시간 안에 여러 번 종료되었습니다.

• Cortex XDR 에이전트 6.x
• Cortex XDR 에이전트 7.x
• Cortex XDR 에이전트 8.x
• 리눅스 운영체제

Cortex XDR Agent에는 머신이 한 시간에 여러 번 비정상적으로 종료될 때 작동하는 보호 메커니즘이 있습니다. 이런 경우 Kernam 모듈(KM)이 언로드되고 에이전트 보호가 비동기적으로 실행됩니다.

• Cortex XDR 7.1 이전에는 보호 메커니즘이 비정상적인 종료가 한 번 발생하면 KM을 비활성화했습니다.
• Cortex XDR 7.1부터 지난 1시간 동안 두 개(2) 이상의 충돌이 발생하면 보호 메커니즘이 작동합니다.
• .load_lock 파일에 여러 항목이 있으면 KM이 로드되지 않으므로 KM을 다시 시작할 수 있도록 항목을 제거해야 합니다.

옵션 1:

1. Cortex XDR 에이전트의 업그레이드를 수행합니다(주요 또는 사소한 업그레이드).
2. 업그레이드하면 .load_lock 파일이 다시 생성되고 Cortex XDR 코어의 비정상적 종료 보호 기능이 해제됩니다.

옵션 2: 로드 잠금 파일을 수동으로 삭제합니다.

1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"):

    /opt/traps/bin/cytool status

2. Disable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime stop
   

3. Remove the load_lock file if it didn't automatically clear:

   rm "/etc/traps/km/.load_lock"

4. Enable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime start

5. Check the Agent's Operational Status again to ensure correct status:

   /opt/traps/bin/cytool status

• 에이전트 서비스 시작 후start-up 로드 잠금 파일이 다시 생성됩니다. 이는 정상적인 현상이며 Cortex XDR 코어(커널 모듈)가 같은 시간에 여러 번(최소 2회)의 비정상적인 종료를 감지하지 않는 한 시작될 수 있도록 허용해야 합니다.
• 에이전트가 작동 상태: 작동을 표시하더라도 XDR 테넌트에 보호됨이 제대로 반영되려면 최대 15분이 걸릴 수 있습니다.
• 이 문제가 자주 발생하는 경우 서버 admin 와 협력하여 예기치 못한 종료가 여러 번 발생하는 원인을 파악하고 이러한 문제가 발생하지 않도록 최소화하거나 방지해야 합니다.

옵션 3: Cortex XDR Agent를 제거했다가 다시 설치합니다.