Cortex XDR -Linux 内核模块检测到重复的非正常关机

• Cortex XDR 代理运行状态显示部分受保护
• In the trapsd.log, the operational status is showing 20003 on multiple modules.

  • Current agent operational status {
    "antiLpeStatus": 20003,
    "antiexploitStatus": 0,
    "antimalwareStatus": 20003,
    "dseStatus": 20003,
    "edrStatus": 20003,
    "generalStatus": 0,
    "memoryStatus": 0
    }

• 运行状态数据显示Linux 内核模块检测到重复的非正常关机

• 端点在一小时内被关闭多次

• Cortex XDR 代理 6.x
• Cortex XDR 代理 7.x
• Cortex XDR 代理 8.x
• Linux 操作系统

Cortex XDR Agent 具有保护机制，当机器在一小时内多次非正常关闭时，该机制就会启动。发生这种情况时，Kernam 模块 (KM) 会被卸载，并且代理保护会异步运行。

• 在 Cortex XDR 7.1 之前，保护机制会在一次非正常关机后禁用 KM。
• 从 Cortex XDR 7.1 开始，当过去一小时内发生两 (2) 次或更多次崩溃时，保护机制就会启动。
• .load_lock 文件中的多个条目将阻止 KM 加载，需要删除这些条目才能允许 KM 重新启动。

选项 1：

1. 执行 Cortex XDR 代理的升级（主要升级或次要升级）。
2. 升级将重新创建.load_lock 文件并释放 Cortex XDR 核心上的非正常关机保护。

选项 2：手动删除加载 lock 文件

1. Check the Agent's Operational Status (devices with a locked Kernel Module will show "Operational Status: Kernel Module Locked" whereas a healthy device will show "Operational Status: Functional"):

    /opt/traps/bin/cytool status

2. Disable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime stop
   

3. Remove the load_lock file if it didn't automatically clear:

   rm "/etc/traps/km/.load_lock"

4. Enable the Cortex XDR Agent with cytool commands:

   /opt/traps/bin/cytool runtime start

5. Check the Agent's Operational Status again to ensure correct status:

   /opt/traps/bin/cytool status

• 代理服务启动后，将重新创建加载 lock 文件。这是正常现象，它应该允许 Cortex XDR 核心（内核模块）启动，除非它在同一小时内检测到多次（至少 2 次）非正常关机。
• 请注意，即使代理显示运行状态：功能正常，也可能需要长达 15 分钟才能正确反映 XDR 租户上的受保护状态。
• 如果此问题经常发生，您应该与服务器管理员合作解决多次非正常关机问题并尽量减少/防止此类事件的发生。

选项 3：卸载并重新安装 Cortex XDR Agent。