McAfee Active Response 2.x Problemas conocidos

Artículos técnicos ID: KB88196
Última modificación: 27/09/2021

Entorno

McAfee Active Response (MAR) 2.x

Resumen

Actualizaciones recientes de este artículo

Fecha	Actualización
31 de agosto de 2021	Se ha agregado una referencia para PERINOLA-16435
23 de junio de 2021	Se ha agregado una referencia para PERINOLA-16419, PERINOLA-16416 Se ha actualizado la SEC-40958
8 de junio de 2021	Se ha agregado PERINOLA-16297.
3 de junio de 2021	Agregada la SEC-40958 a no crítico.

Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.

Contenido
Haga clic para expandir la sección que desee ver:

Problemas críticos conocidos

Número de referencia	Artículo relacionado	Encontrado en la versión de MAR	Solucionado en la versión de MAR	Descripción del problema
PERINOLA-16297		2.4.3	2.4.4	Emitirá Tras ampliar ePO 5.10 para actualizar el 9, se muestra el siguiente error al navegar a cualquier página de Active Response en ePO: Se ha producido un error inesperado. Solution Instalar MAR 2.4.4.
TSET-5237		2.4	2.4.3	Emitirá La respuesta activa deja de responder (se bloquea) cuando ENS 10.6.1 Diciembre de 2019 Update o ENS 10.7 La actualización de febrero se ha instalado en el entorno. Solution Instalar MAR 2.4.3.
		2.4		Emitirá La instalación de MAR falla en un Endpoint limpio (sin ENS) si la versión ENS disponible en la rama actual del repositorio principal de ePO es 10.7. Cause MAR depende de ENS. Si ENS no está ya instalado en el Endpoint, el instalador de MAR extrae los paquetes TP y ATP del repositorio principal. La instalación de ENS 10.7 falla en ese caso, lo que provoca que la instalación de MAR falle. Solution Instalar ENS 10.7 antes de activar la instalación de MAR.
ENSW-27358		2.4	2.4.2	Emitirá MAR no se puede instalar ni ampliar por encima de ENS 10.7 Liberar para admitir compilaciones de evaluación posteriores a la compilación 10.7.0.541. Solution Ampliar a MAR 2.4.2.
N/D		2.4		Emitirá El servidor registrado de Active Response no se activa y muestra Error Activating the license, try again later. Solution Asegúrese de que la ubicación del servidor configurado sea válida. A continuación, utilice la cmdagent en el appliance y forzar manualmente la sincronización McAfee Agent de los componentes de Data Exchange Layer (DXL) y Threat Intelligence Exchange (empate). El servidor de MAR puede responder a la solicitud. ASPECTO El servidor registrado de Active Response no se actualiza automáticamente si se ha editado y guardado manualmente. Si el servidor registrado de Active Response se ha editado manualmente, se debe eliminar y volver a crear durante la ampliación.
1257901		2.4		Emitirá Al mismo tiempo, demasiadas búsquedas complejas pueden provocar una saturación del montón JVM. Esta situación detiene el ElasticSearch Servicio (ES) para almacenar los resultados de búsqueda y muestra None of the configured nodes are available errores en registros. Solution Amplíe los límites del montón de JVM mediante la adición de ES_HEAP_SIZE=2g en la parte superior de /usr/share/elasticsearch/bin/elasticsearch. Restringir tamaño del montón de ES cambiando /etc/init.d/elasticsearch en la línea 8 para export ES_HEAP_SIZE=2g. Reinicie el servicio ejecutando service elasticsearch restart.
1256879		2.4		Emitirá Servidor de Active Response 2.4 la ampliación no puede dejar el servicio desinstalado cuando se inserta una respuesta activa heredada 2.3 appliance. Solution Compruebe el procedimiento de migración de una sola vez requerido que se detalla en la MAR 2.4 Guía de instalación. Volver a desplegar Active Response Server 2.3 para recuperar la funcionalidad y el contenido personalizado.
	KB90915	2.4		Emitirá Al ampliar desde una instalación de varios servidores (2.3 y versiones anteriores) a una configuración de un solo servidor (2.4 y posteriores), debe migrar el contenido configurado para evitar perderlo. Solución: Consulte el artículo relacionado.
1244782	KB90784	2.2	2.3	Emitirá Instalando MAR 2.2.x a través de ePolicy Orchestrator falla cuando Endpoint Security 10.6 está instalado. Solution Corregido en cliente de MAR 2.3.
1241963		2.3	2.3 HF4 2.4 HF1	Problema: instalar o ampliar un producto de McAfee en un sistema con SysCore con prevención de exploits de Endpoint Security o prevención de exploits de prevención de intrusiones en host activada. A continuación, aparecerá una pantalla azul o el sistema dejará de responder (se bloquea). Solucionar Desactive la función de prevención de exploit antes de instalar o ampliar el software. Solution Corregido en 2.3 Hotfix 4 y 2.4 Hotfix 1 (RTS).
1176118		2.3	2.3 HF1	Problema: espacio de trabajo no recibe los eventos de corrección automáticamente para los endpoints de Mac. Debe descartar manualmente el evento. Solucionar Aplique una corrección. A continuación, compruebe si los procesos se han cerrado correctamente en el gráfico de rastreo para cada host. A continuación, descarte la amenaza manualmente. O bien, ver el registro de eventos de amenaza para los eventos relevantes y descartar manualmente los eventos.
		2.3		Emitirá El complemento de rastreo se desactiva de forma predeterminada al ampliar a MAR 2.3 solo en macOS. Solution Desplácese hasta la Directiva y activar con las opciones activar complementos para endpoints de macOS. Haga clic en Menú, Directiva, Catálogo de directivas. Seleccione la ficha Trace. Compruebe el complemento de activar para endpoints de macOS (Beta ).
1214069		2.2	2.3	Problema: se identifica una amenaza en la lista Amenazas potenciales. A continuación, elimine uno o varios de sus hosts afectados de la Árbol de sistemas antes de llevar a cabo una acción de corrección. No obstante, verá que la amenaza no se elimina de la lista de amenazas potenciales. Solution Elimine los hosts afectados que sepa que ya no son problemáticos. Utilice la Salir acción en el área de trabajo para esta eliminación.
1208348		2.2		Problema: el espacio de trabajo MAR deshabilita la acción Detener y eliminar en archivos conocidos de confianza. No obstante, si el archivo es de confianza para certificados de McAfee o para el servicio de protección de confianza y validación de McAfee, la reputación del archivo en el área de trabajo aparecerá como No establecida. Asimismo la acción detener y quitar está activada. Solution Cuando un Detener y eliminar la acción se lleva a cabo desde el área de trabajo, la RemoveFileSafe la reacción del catálogo de Active Response se ejecuta en el Endpoint. Esta reacción se detiene y elimina únicamente aquellos archivos que no son de confianza mediante certificados de McAfee o McAfee VTP.
1210099		2.2		Emitirá Cuando active Response Server se queda sin espacio de almacenamiento, las funciones del catálogo, la búsqueda avanzada y el área de trabajo dejan de funcionar. El problema no se ha incluido en el estado de Salud. Solución: asegúrese de que se cumplen los requisitos mínimos para el servidor de Active Response. Cuando experimenta problemas de búsqueda avanzada en el catálogo, pero no tiene mensajes de error en estado Salud, compruebe el servidor en busca de poca capacidad de almacenamiento.
1214051		2.2		Emitirá Lo USBConnectedStorageDevices el recopilador muestra datos incorrectos para Mac endpoints cuando se conecta una unidad USB virtual. Solo muestra USBMSC Identificador (no único) como el campo ID de proveedor. Solución: no hay ninguna disponible. Pero la presencia de esta información podría ser indicador de que hay un dispositivo USB virtual presente.
1207202		2.0.1	2.1	Emitirá activar Trace en el cliente de MAR 2.0.1 y Abra Outlook. Outlook tarda mucho tiempo en abrirse y verá que el Endpoint se ralentiza y sufre problemas de rendimiento. Solution Ampliar a MAR 2.1.
		2.0		Emitirá MAR 2.x se ha desplegado mediante Orchestrator 5.3. Sin embargo, si amplía a Orchestrator 5.9, verá que los certificados de servidor de MAR ya no son válidos y se deben volver a generar. Solución: Desplácese a Configuración del servidor, Active Response. Haga clic en Editar. Pulsar Regenerar tiendas. De esta forma, se actualizarán los certificados de Active Response. Haga clic en Guardar.
1209426		2.1.2	2.2.0	Emitirá El instalador del agregador de Active Response publicado en el paquete correspondiente a MAR 2.1.0 es defectuoso. Solución alternativa: ponga en práctica la solución alternativa correspondiente. Si va a ampliar desde marzo 2.0 o anterior, utilice la versión de Aggregator 2.0.1. Si va a ampliar desde marzo 2.0.1, no amplíe el agregador. Deje el 2.0.1 Versión. Si va a realizar una nueva implementación de MAR 2.1.0, utilice la versión de Aggregator 2.0.1. Todos los demás componentes deben ser de la versión de MAR 2.1.0. Versión de agregador 2.0.1 está disponible en la Sitio web de descargas de productos y ePO Administrador de software.
1205281		2.1.0	2.2.0	Emitirá Instalación del MAR 2.1.0 el paquete de extensiones falla cuando las extensiones Threat Intelligence Exchange (corbata) y Data Exchange Layer (DXL) ya están instaladas en ePO. Solucionar Para evitar que se produzca un error de instalación cuando las extensiones de DXL y de empate ya están instaladas en ePO, siga estos pasos para instalar el MAR 2.1.0 paquete de extensiones: Amplíe todas las extensiones de DXL (indicadas a continuación) a las versiones incluidas en el MAR 2.1.0 paquete de extensiones: Bróker de DXL Cliente de DXL Cliente de DXL Mgt Amplíe la extensión de empate (indicada a continuación) a la versión contenida en el MAR 2.1.0 paquete de extensiones: Servidor de TIE Instalación del MAR 2.1.0 paquete de extensiones.
1193660		2.0	2.1.0	Emitirá Orchestrator 5.9.0 muestra de MAR incorrectamente 2.0 Estado de comprobación de mantenimiento.
1198057		2.0	2.1.0	Problema: trabaja en un entorno con un mínimo de 50 amenazas potenciales registradas. Cuando mueva el filtro de hora a 90 días, verá el error: HTTP 404 Not Found Solution Este problema se ha resuelto en MAR 2.1.0.
1148152		2.0	2.1	Emitirá Debido a un problema con la forma en que control AAC administra los recursos, la instalación de MAR 2.0 los clientes pueden fallar en los endpoints Windows en los que están instalados otros productos de McAfee. Solución: reinicie el endpoint e inicie la instalación de nuevo.
		2.0		Emitirá En Microsoft Windows versiones 7, 8.1y 10 es posible que el Endpoint experimente una degradación del rendimiento durante el arranque y el apagado si el último ENS 10.2.1 el paquete no está instalado. Solution Asegúrese de que los endpoints se actualicen a ENS 10.2.1 antes de la instalación.
		2.0		Emitirá Las extensiones de ayuda para Threat Intelligence Exchange (empate) y Data Exchange Layer (DXL) que son relevantes para una MAR 2.0 el despliegue no se incluye en el MAR 2.0 paquete de extensiones. (Se incluye la extensión de ayuda de MAR.) Solución: instale las extensiones de Ayuda de DXL y TIEmanualmente desde el Administrador de software de ePolicy Orchestrator (ePO).
1163497		2.0	2.0.1	Emitirá MAR, el cliente informa de amenazas de falsos positivos para problemas relacionados con procesos que generan los eventos de proceso y red, sistema de archivos o Windows registro que se producen debido a un funcionamiento normal. Causa: la lista de amenazas potenciales del área de trabajo de Active Response se rellena con procesos detectados en los endpoints que han llamado la atención del cliente de MAR. El cliente de MAR supervisa principalmente los eventos de procesos, eventos de red, eventos de sistema y Windows eventos de registro. Por ejemplo, el explorer.exe el proceso puede aparecer como una posible amenaza en el área de trabajo si ha producido eventos de registro de proceso, red, sistema de archivos o Windows. Aunque se espera que explorer.exe puede realizar de forma legítima estas operaciones, MAR no puede determinar si la actividad es legítima. Solución: puede haber casos en los que un proceso en apariencia de confianza presente un comportamiento malicioso. Compruebe lo siguiente: ¿El proceso de confianza es lo que se supone que es? Software malintencionado podría suplantar el proceso. ¿El proceso tiene un hash válido? ¿El archivo se ejecuta desde la ruta correcta? ¿Existen eventos de inyección de código de otros procesos que podrían afectar al proceso de confianza?
		2.0		Emitirá Después de realizar la Convertir en conocido de confianza acción en una amenaza, la amenaza no desaparece de la lista de amenazas potenciales. Causa: las amenazas que se solucionan mediante el establecimiento de la reputación de TIE como Conocido de confianza pueden seguir produciendo eventos en los endpoints. Aunque es posible que el usuario desee asumir que estos procesos en ejecución son seguros, los procesos siguen generando eventos de MAR. El motivo se debe a que otros procesos podrían utilizar el proceso de confianza de un modo malicioso. Solution Para centrarse en actividades recientes, utilice el selector de tiempo del área de trabajo. Oculte de la lista de amenazas potenciales los eventos que se hayan marcado como de confianza conocido. Además, transcurridos 90 días desde la primera vez que se vio el proceso de confianza, se eliminará del área de trabajo. NOTA: si el proceso de confianza vuelve a aparecer en el área de trabajo como una amenaza, significa que existe actividad nueva que el responsable de la respuesta debería inspeccionar.
		2.0		Problema: cuando se utiliza la acción de detener y eliminar mediante el espacio de trabajo de respuesta activo, el proceso creado mediante la ejecución de un archivo remoto se cierra. No obstante, se elimina el archivo remoto de las unidades o carpetas de red compartidas. Los archivos incluidos son aquellos que no se almacenan de forma local en el Endpoint, sino que están vinculados lógicamente al Endpoint. Por ejemplo, Windows carpetas compartidas conectadas al Endpoint como unidades. Cause Por diseño, Active Response no puede acceder a archivos compartidos de red debido a las restricciones de seguridad. Solución alternativa: si se instala MAR en el servidor de archivos vinculado al endpoint donde se detecta la amenaza, es posible usar una búsqueda de Active Response para localizar el archivo y eliminarlo.

Volver al principio

Problemas no críticos conocidos

Número de referencia	Artículo relacionado	Encontrado en la versión de MAR	Solucionado en la versión de MAR	Descripción del problema
PERINOLA-16435		2.3.x y posteriores		Emitirá El recopilador de Userprofiles no devuelve la información de grupo adecuada para los clientes Windows 7 y Windows 8.
PERINOLA-16416	KB94600	2.4.X1		Emitirá McAfee Active Response extensión del área de trabajo depende de la Puente en la nube extensiones. Al ampliar el servidor de EPO desde cualquier compilación anterior a 5.10 CU10 y vaya a configuración del servidor, seleccione la ficha puente en la nube, verá el error: Error: no se ha podido cargar. Estado 500. Esto se ve con la versión CloudBridge 1.3.0.104. Solution Consulte el artículo relacionado para obtener más detalles.
PERINOLA-16419	KB94635	2.4.X1		Emitirá Al seleccionar la host de amenazas para comprobar los detalles de la amenaza potencial, la escala de tiempo de la amenaza muestra "Error al obtener datos" Solution Consulte el artículo relacionado para obtener más detalles.
SEC-40958	KB94634	2.4.X1		Emitirá Cuando se selecciona una amenaza potencial, no se muestra la información de la host afectada en el área de trabajo. O aparece el error: Error al obtener datos Solution McAfee empresa está investigando este problema en este momento. Consulte el artículo relacionado para obtener más detalles.
PERINOLA-16313		2.4.4		Emitirá La instalación se inicia y se detiene en 79% si el seguimiento está desactivado. El sistema permanece en este estado de forma indefinida. Si reinicia el sistema, activar rastrear en Endpoint y vuelva a intentarlo. La instalación se completará. Solucionar Desactive el rastreo antes de la ampliación y vuelva a activarrla una vez finalizada la ampliación.
TSDE-6053		2.4.3.106 -Workspace		Emitirá ATD 4.10 no es compatible con 2.4.3.106 extensión de HF3 si se ha ampliado desde la versión anterior del área de trabajo de MAR. Solucionar Elimine y vuelva a instalar el 2.4.3.106 Extensión de área de trabajo de HF3 (RTS).
1163125		2.0		Emitirá Si un ejecutable (.exe) el archivo está firmado por varios certificados, la información de un único certificado se muestra en el evento. Solución alternativa: puede utilizar la opción Save to File de la escala de tiempo de rastreo para ver la información sobre el certificado que firma la cadena principal, si está disponible.
1167621		2.0		Problema: la acción de marcar una amenaza como Conocido malicioso o De confianza desde el administrador de EDR falla para una amenaza ejecutada en un cliente conectado a Global Threat Intelligence (GTI). Cuando se desconecta un Endpoint del servidor de corbata local, que forma parte del MAR 2.0 despliegue, es posible que el usuario siga pudiendo tomar medidas de confianza conocidas o hacer acciones maliciosas conocidas desde el área de trabajo. Si el servidor de TIE está operativo, intentará replicar este cambio de reputación en todos los endpoints. Sin embargo, cualquier Endpoint que se haya desconectado del servidor de corbata local no recibirá esta actualización de reputación y no se ejecutarán las acciones de limpieza de EMPATEs. Solucionar Los endpoints se pueden desconectar de la VINCULAción local, pero están conectados al servicio de reputación de GTI. En este caso, el cambio de reputación local no resulta eficaz en el Endpoint hasta que el Endpoint se vuelve a conectar al servidor de corbata local.
		2.0		Problema: no aparecen detalles de reputación en la parte derecha del área de trabajo. El servidor de TIE rellena el panel de detalles de la amenaza del área de trabajo. Si se produce un error en el servidor de TIE a fin de proporcionar información al área de trabajo, el espacio de trabajo intenta rellenar los hashes de la amenaza en los detalles de amenaza con información de TMP. (Un ejemplo de por qué falla el servidor de TIE a fin de proporcionar información es un problema de comunicación entre TIE y ePO). El resto de campos estarán vacíos en los detalles de la amenaza.
		2.0		Emitirá Lo NetworkFlow El recopilador no puede detectar conexiones de bucle de retroceso de la conexión abierta o cerrada. Esta limitación tiene dos efectos. Por un lado, los desencadenadores configurados para detectar eventos de red en el tráfico de bucle invertido no se activan. En el otro lado, la búsqueda de Active Response no muestra estos tipos de conexiones cuando se utiliza el recopilador de NetworkFlow. Solución: esta limitación está provocada por la forma en que se implementa la pila de TPC/IP de Windows y por decisiones de diseño de Active Response.
1235857		2.2	2.3	Emitirá Cuando amplíe su Mac a 10.13.4, aparecerá el siguiente error en el estado del producto de McAfee Shield: Active Response: Not Working Este error indica una incompatibilidad con AAC debido a la duplicación de símbolos para sha256 actualizar. Solución: Corregido en cliente de MAR 2.3. La compatibilidad con AAC se resolverá con ENSM 10.5
1267676		2.4	2.4.1	Emitirá Instalación de MAR 2.4.x en Mac Mojave (10.14) es correcta, pero las directivas no se implementan, y MAR no informa a ePO. Cause Mac Mojave utiliza FMP, que es de 64 bits. MAR es una aplicación de 32 bits y no se integra con FMP. Solution Instalar MAR 2.4.1.
15984		2.4.2		Emitirá La instalación de MAR falla en un Endpoint limpio (sin ENS) si la versión ENS disponible en la rama actual del repositorio principal de ePO es 10.7. MAR depende de ENS (TP y ATP). Por lo tanto, si ENS no está ya instalado en el Endpoint, el instalador de MAR intentaría instalar TP y ATP y extraer los paquetes del repositorio principal. El instalador de MAR no instala ENS 10.7 en ese caso, se produce un error en la instalación de MAR. Solution Instalar ENS 10.7 antes de activar la instalación de MAR.

Volver al principio

Información relacionada

Para ponerse en contacto con el Soporte técnico, inicie sesión en ServicePortal y vaya a Crear una solicitud de servicio en https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:

Si está registrado, introduzca su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
Si no está registrado, haga clic en Registrarse y rellene los campos obligatorios. Recibirá por correo electrónico la contraseña y las instrucciones para iniciar sesión.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Known Issue/Product Defect
McAfee Active Response 2.x

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

German
English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

McAfee Active Response 2.x Problemas conocidos

Entorno

Resumen

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

McAfee Active Response 2.x Problemas conocidos

Entorno

Resumen

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title