| Versión de MVISION | Disponibilidad general (DG) | Notas de la versión |
| MVISION EDR actualización de julio | 26 de julio de 2021 | Notas de la versión |
| MVISION EDR 3.5 | 13 de julio de 2021 | Notas de la versión |
| MVISION XDR | 17 de mayo de 2021 | Notas de la versión |
| MVISION EDR 3.4 | 27 de abril de 2021 | Notas de la versión |
| Nube de MVISION EDR Versión de diciembre |
5 de diciembre de 2020 | Notas de la versión |
| Cliente de EDR 3.3.0.625 | 1 de diciembre de 2020 | Notas de la versión |
| Nube de MVISION EDR Versión de noviembre |
6 de noviembre de 2020 | Notas de la versión |
| MVISION EDR 3.2 Hotfix 1 | 22 de septiembre de 2020 | Notas de la versión |
| MVISION EDR 3.2 | 12 de agosto de 2020 | Notas de la versión (Cliente y extensión 3.2.0.567.2) |
| MVISION EDR 3.1 | 21 de abril de 2020 | Notas de la versión SEÑALAR MVISION EDR es un producto en la nube. La fecha de disponibilidad general es la última versión. Las notas de la versión en la nube son acumulativas. |
| MVISION EDR 3.0 Hotfix 1 | 20 de diciembre de 2019 | |
| MVISION EDR | 22 de octubre de 2019 |
MVISION EDR problemas conocidos
Artículos técnicos ID:
KB91275
Última modificación: 27/09/2021
Última modificación: 27/09/2021
Entorno
McAfee MVISION EDR
McAfee MVISION XDR
McAfee MVISION XDR
Resumen
Actualizaciones recientes de este artículo
Contenido
Haga clic para expandir la sección que desee ver:
Volver al principio
| Fecha | Actualización |
| 7 de septiembre de 2021 | Se han agregado la SEC-36074 y SEC-46898 en la sección "problemas conocidos no críticos". |
| 27 de agosto de 2021 | Se ha agregado la SEC-50492 en la sección "problemas conocidos no críticos". |
| 23 de agosto de 2021 | Se ha eliminado la SEC-50092 porque se ha resuelto. |
| 27 de julio de 2021 | Se han agregado problemas conocidos SEC-50092, SEC-49207, SEC-49599, SEC-49287, SEC-46277, SEC-45793, SEC-46777 y SEC-48803 en la sección "problemas conocidos no críticos". |
| 1 de julio de 2021 | Se ha agregado la SEC-48028 en la sección "problemas conocidos críticos". |
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Contenido
Haga clic para expandir la sección que desee ver:
| Número de referencia | Artículo relacionado | Ha del Versión de MV-EDR |
Resuelto en Versión de MV-EDR |
Descripción del problema |
| SEC-48028 | KB94656 | 3.5 | - | SEÑALAR Este problema es aplicable para EDR 3.5 clientes y clientes que utilizan la funcionalidad S3. Emitirá Existe un problema en el que si se configura EDR para enviar trazas a ambos McAfee la nube de EDR Además, en el propio servicio S3 del cliente, no se envían rastros a McAfee EDR Cloud. El problema solo se ve cuando las credenciales de acceso S3 están configuradas incorrectamente (por ejemplo, una clave de acceso no válida). Si se muestra este problema, asegúrese de que las credenciales de AWS sean válidas y de que los servicios y la configuración de AWS estén correctamente configurados. SEÑALAR Se recomienda a los clientes que prueben cualquier credencial de IAM para asegurarse de que permitan que los objetos se escriban en el bucket S3 de destino y que monitor acceso y el uso del cubo S3. |
| Número de referencia | Artículo relacionado | Ha del Versión de MV-EDR |
Resuelto en Versión de MV-EDR |
Descripción del problema |
| SEC-36074 | - | Emitirá Las acciones de vulnerabilidad no se muestran en las acciones. Dependiendo SEC-50492. |
||
| SEC-46898 | - | Emitirá Lo MVISION EPO/EDR el cliente no puede cargar una instantánea. | ||
| SEC-50492 | - | Emitirá Las opciones de acción de SIEM no están disponibles en la lista desplegable EDR para Acciones de dispositivo en la interfaz de usuario de EDR. | ||
| SEC-49207 | - | Emitirá La búsqueda histórica falla con AR-1104 de forma intermitente a través de la interfaz de usuario durante una prueba de rendimiento mediante programación o script. | ||
| SEC-49599 | - | Emitirá Cuando se agota el tiempo de espera de CA a la consulta, la interfaz de usuario muestra un mensaje de error: |
||
| SEC-46277 | - | Emitirá El operador de sugerencia automática no funciona para consultas compuestas con CommandLine. | ||
| SEC-49287 | - | Emitirá Cuando se aplican filtros para realizar el análisis y posteriormente se borran, los resultados se actualizan a través de una llamada API. | ||
| SEC-48803 | - | Emitirá El usuario realiza una de las siguientes acciones:
|
||
| SEC-46777 | - | Emitirá Exclusión granular: la exclusión con caracteres de escape/especiales debe limpiarse antes de la coincidencia. | ||
| SEC-45793 | - | - | Emitirá En el panel búsqueda histórica, cuando se escribe una consulta de línea de comandos, las sugerencias no aparecen. | |
| SEC-43301 | - | 3.2.0 | - | Emitirá Cuando utilice la API de MVISION EDR, verá que los eventos de API superan los límites de eventos definidos. Aunque el runbook de administración de casos suministrado con las API menciona límites, no indica claramente cómo establecer límites en los números reales. La API para la limitación de velocidad es: Los límites de velocidad se pueden aplicar a estas acciones:
{// Rate Limits default values. // Use API to change rate limits. // new case by tenant new-case = [ { max = 10 duration = "1 hour"} { max = 20 duration = "1 day"} ] // new evidence by case by tenant new-evidence-to-case = [{max = 10 duration = "1 hour"} ] // new evidence by tenant new-evidence = [{max = 10 duration = "1 hour"} ] } |
| SEC-41123 | - | 2.4.0.723 | - | Emitirá Es posible que la reacción planificada de reinicio no funcione en algunas plataformas Linux (RHEL y SUSE), aunque se devuelva el éxito en la acción Historia. Cause La reacción planificada de reinicio utiliza el servicio de planificación Linux "at" para planificar el reinicio. Es posible que este servicio no se ejecute de forma predeterminada en todas las plataformas Linux. Solucionar Instale el servicio "at" y asegúrese de que el |
| SEC-37830 | - | 3.3.0 | Emitirá La acción Historia muestra como "completado" con un mensaje de error tras la acción "reinicio planificado". | |
| SEC-42307 | - | 3.4.0 | Emitirá El sistema operativo BigSur no figura en la interfaz de usuario de EDR. | |
| SEC-38300 | - | - | - | Emitirá Dos o más fichas abiertas al utilizar MVISION EDR, pueden hacer que se cierre la sesión de un usuario debido a la inactividad. Lo mismo se aplica a cualquier otra ficha que utilice productos que dependan del mismo servicio de identidad. Por ejemplo, MVISION ePO y MVISION Cloud. Cause MVISION EDR comprueba la actividad de forma independiente en cada ficha. Tras 20 minutos de inactividad, MVISION EDR invalida el token, que cierra la sesión del usuario. Solucionar Si se minimiza el número o se cierran las fichas abiertas que permanecen inactivas durante más de 20 minutos, se reduce la probabilidad de que se produzca una aparición de cierre de sesión. |
| SEC-28420 | EKS + 1 | EKS + 2 | Emitirá Cuando se ejecutan consultas de búsqueda históricas que contienen más de 3 días de información y se utilizan filtros de inclusión/exclusión, aparece el error:
Solution Restrinja su consulta. Incluya menos de 3 días de información o elimine los filtros de inclusión/exclusión. |
|
| SEC-35451 | Emitirá No se muestra ningún tipo de evento para una actividad de proceso en la vista de tabla de la sección actividad de proceso del panel de supervisión. Cause En el caso de una actividad de proceso específica que se produzca a la hora de inicio del proceso, el resultado puede ser que esta actividad tenga una marca de tiempo anterior al proceso que originó la actividad. La interfaz de usuario relaciona ese proceso con la misma marca de tiempo que la hora de creación del proceso que muestra dos eventos en la misma fila. Solucionar Haga clic en la actividad y vea los distintos eventos relacionados con esa fila en la tabla. A continuación, puede ver los detalles de ambos eventos. |
|||
| SEC-35418 | Emitirá Se produce un retraso en la visibilidad de los eventos generados en el Endpoint a través de la búsqueda histórica de solo un Endpoint. Cause Los filtros de hora de MVISION EDR utilizan la hora especificada en el Endpoint, que es la hora a la que se produjo la actividad. No obstante, un Endpoint podría tener una configuración de hora incorrecta que esté por delante de la hora actual o que esté detrás de él. Si lo hace, los filtros como durante las últimas 4 horas no mostrarán esa actividad hasta que se alcance la hora actual. Solution Corrija la hora configurada en el Endpoint. |
|||
| SEC-35413 | Emitirá Al filtrar por "técnicas o indicadores sospechosos" en el panel de supervisión no se muestra la actividad correspondiente que la originó. Esta situación se produce cuando no hay visibilidad de la interfaz de usuario de un evento en la actividad de proceso. En su lugar, verá lo siguiente: Cause EDR ha aumentado el número de eventos que se muestran en la sección actividad de procesos. Sin embargo, algunos de ellos aún pueden faltar. No relaciona la actividad sospechosa con una actividad en el gráfico o las tablas porque el contenido evoluciona con una cadencia más alta que la interfaz de usuario. Solution Asegúrese de que no haya filtros aplicados al gráfico. Si el evento sigue sin aparecer, el análisis debe investigar toda la actividad para identificar adecuadamente el desencadenador del indicador sospechoso. |
|||
| SEC-35355 | Emitirá Es posible que el filtrado por "técnicas observadas" o "indicadores sospechosos" en el panel de supervisión no muestre la actividad correspondiente que lo originó. Esta situación puede producirse cuando no se cargan todos los filtros de aplicación de actividades que se han aplicado en el widget actividad de proceso. En su lugar, verá lo siguiente: Cause Para mejorar la velocidad de visualización de la actividad de proceso una vez que se selecciona una nueva amenaza en el panel supervisión, la interfaz de usuario carga los datos en dos fases. La fase inicial carga los datos de forma parcial. Prioriza la información de genealogy de procesos. Como resultado, es posible que la actividad que originó una técnica o indicador sospechoso no se haya cargado. Solution Haga clic en la Mostrar todas las actividades Option. Todas las cargas de actividades. A continuación, vuelva a filtrar la técnica necesaria. |
|||
| SEC-35377 SEC-35378 |
Cliente de EDR 3.3.0.625 | Emitirá Lo Cause En SUSE Linux Enterprise 15, Este desuso también puede aplicarse a otras distribuciones de Linux que ya no incluyan el paquete de herramientas de red de forma predeterminada. Solution Porque |
||
| SEC-36169 | Cliente de EDR 3.2.0.567 Actualización de datos de contenido 3.2.0.313 |
Actualización de datos de contenido 3.3.0.368 | Emitirá La herramienta de instantáneas de EDR no funciona correctamente después de una actualización de contenido EDR. Ejecuta la herramienta instantánea, pero la herramienta no puede realizar una instantánea. Aparecerá el siguiente error: Cause Una actualización de contenido de EDR deja definiciones de trabajos en conflicto. Solution Elimine el paquete de contenido del cliente de EDR del repositorio principal hasta que se proporcione un contenido actualizado. En los hosts afectados que se van a investigar, utilice la reacción de eliminación de archivo disponible en |
|
| STLS-916 | Emitirá MVISION EDR no se puede conectar con el agente de DXL configurado. Si busca en el registro de IPE de DXL brokers, verá el error: Cause Existen dos causas posibles:
|
|||
| SEC-33805 | Emitirá Las listas duplicadas de los servidores de ePO se muestran en la página Configuración, en configurar orígenes de datos. Cause Problemas de conexión. Solution Actualice la interfaz de usuario. Puede ignorar el problema. Este problema es cosmético y no afecta a la función del producto. |
|||
| SEC-34655 | Emitirá Se realiza una acción manual para poner en cuarentena o poner en cuarentena un dispositivo en el panel de investigación. No obstante, el estado no se actualizará hasta que se actualice. A continuación, la acción fin de cuarentena no se muestra tras una acción de cuarentena. Cause La investigación no actualiza las opciones tras una acción. Solution Actualice la interfaz de usuario. |
|||
| SEC-33791 | Emitirá Tras cambiar entre amenazas en la pantalla supervisión, la actividad del proceso muestra el mensaje: A continuación, carga la actividad de proceso correcta. Cause Ingeniería ha actualizado el widget para que se cargue con mayor rapidez y en fases, lo que provoca este problema. Solution Espere hasta que la actividad de proceso se cargue por completo. |
|||
| SEC-31708 | 3.2.0.567 | Emitirá: Las investigaciones a través del correo electrónico de phishing no muestran ni agregan artefactos. (EE. UU. SÓLO | ||
| SEC-31410 | 3.2.0.567 | 3.2.0.571 | Tengoproblema El proceso del cliente de EDR ( Solucionar Desactive las actualizaciones de contenido desatendidas en la Directiva de EDR, Obtener pestaña. |
|
| 3.0.0.404 | 3.2.0.567 | Emitirá No se puede terminar la cuarentena en un Endpoint que utiliza una red privada virtual (VPN) Solución:
|
||
| 3.1.0.478 | 3.2.0.567 | Emitirá Puede ver un uso elevado de la CPU y ralentizar los clientes Windows de 32 bits. Solucionar Desactive el rastreo de los endpoints afectados. Si experimenta problemas con procesos específicos, excluyalos. Consulte la guía del producto para obtener más información sobre cómo realizar estos cambios. Solution Este problema se ha resuelto en 3.2.0.567. |
||
| 3.1.0.478 | Emitirá Durante la ampliación del cliente de EDR en Windows 7, se muestra un mensaje emergente durante unos segundos con el título: Este mensaje no afecta a la instalación. El producto se instala correctamente. Cause Las detecciones de servicios interactivos del servicio de Windows están activadas. Este servicio está desactivado de forma predeterminada y solo está disponible en Windows 7. Solucionar Desactivar temporalmente el servicio de Windows Detecciones de servicios interactivos durante la ampliación del cliente de EDR. |
|||
| 3.1.0.478 | Actualización de datos de contenido 3.2.0.308 | Emitirá Actualización de datos de contenido de EDR 3.0 no se descarga cuando el cliente de EDR 3.1 o posterior está instalado. Cause Actualización de datos de contenido 3.0 no reconoce la versión 3.1 o posterior. Solucionar Incorporación de la última actualización de datos de contenido 3.1 o posterior al repositorio principal. La actualización está disponible en el catálogo de software de ePO. |
||
| 3.0.0.404 | 3.1.0.478 | Emitirá La base de datos de rastreo de EDR crece más que el tamaño máximo configurado en la Directiva. La base de datos se encuentra en: |
||
| KB92292 | Extensiones de MACC 8.2.6 así 8.3. | Emitirá Lo Cause Control de ejecución de McAfee en MACC 8.x se han agregado las reglas de control de ejecución predeterminadas y los grupos de reglas McAfee. Es necesario actualizar estos grupos de reglas para permitir la ejecución de la nueva versión. Solucionar Consulte el artículo relacionado. Solution Este problema se ha corregido con la publicación de extensiones de MACC 8.2.6 así 8.3. |
||
| El contenido de prevención de exploit de ENS publicado en marzo de 2020, o posterior, corrige este problema. | Emitirá Una reacción de EDR no se puede ejecutar en el Endpoint. Cause Una opción de ENS impide que EDR ejecute algunos Solucionar Agregue una exclusión al servicio EDR en la Directiva prevención de exploit de ENS:
|
|||
| 3.0.0.355 | 3.1.0.478 | Emitirá En Windows 10 compilación 1607 (RS1), las aplicaciones como Microsoft Office, Adobe Acrobat Reader y Chrome no se inician. Solución alternativa 1: Instale todas las actualizaciones de Windows para la compilación 1607 (RS1). Solución 2:
SEÑALAR Al desactivar esta opción, el cliente de EDR no detecta cuando un proceso inyecta otro proceso. |
||
| 3.0.0.355 | Emitirá: La instalación de algunas aplicaciones que realizan movimientos intensivos de archivos, eliminaciones o cambios, muestra errores y no se completa. Cause El cliente de EDR bloquea estos archivos durante la instalación. Solución alternativa 1: Desactive el complemento de rastreo durante la instalación. Solución 2: Agregue el instalador o proceso que lo ejecuta en los archivos ignorados en la Directiva de rastreo. |
|||
| 3.0.0.355 | 3.2.0.567 | Emitirá Al poner en cuarentena un Endpoint conectado a una red privada virtual (VPN), el Endpoint queda inaccesible. No puede enviar la reacción para finalizar la cuarentena. Solución provisional:
|
||
| 3.0.0.404 | 3.0.0.432 | Emitirá La función de nivel de detalle de la red está activada de forma predeterminada. Los resultados son una recopilación innecesaria en los endpoints y el tráfico innecesario en la red del cliente. Solucionar En el caso de ePO local, abra todas las directivas de EDR activas en ePO y guarde cada una de ellas sin realizar ningún cambio. Esta acción desactiva la configuración de detalle. En el caso de los entornos MVISION ePO, Clone mi directiva predeterminada, editar, guardar sin cambios y, a continuación, asignarla a todos los endpoints. |
||
| 3.0.0.355 | 3.0.0.404 | Emitirá En Windows Redstone 5 y posteriores, Internet Explorer o Edge podrían perder la conexión a Internet al utilizar un archivo de configuración de proxy. No obstante, otros navegadores como Chrome o Firefox siguen funcionando correctamente. Solucionar Introduzca manualmente la configuración de proxy en Internet Explorer o Edge. |
||
| 3.0.0.432 | Emitirá El servicio EDR no se inicia si MVISION EDR está instalado en un Endpoint con ENSM instalado. Solucionar Soporte técnico tiene un script para corregir el problema. Póngase en contacto con el soporte para obtener esta script. |
|||
| Corregido por la ampliación a MA 5.6.3 | Emitirá Configuración automática de proxy script archivos, como En esta situación, Internet Explorer puede seguir utilizando el archivo proxy. PAC, pero MA (suponiendo que su configuración de proxy esté configurada para Informes de MA no se ha encontrado ningún proxy utilizable en mcscript. log. Solucionar Reinicie el Endpoint. |
|||
| Emitirá En MVISION ePO, los clientes de Mac y Linux EDR aún no son compatibles. Solution No disponible. Para obtener información sobre el entorno, consulte KB91345: plataformas compatibles con MVISION EDR. |
||||
| 3.1.0.478 | Emitirá El servicio de MVISION EDR cliente deja de funcionar si instala o amplía el cliente de MVISION Endpoint después de instalarlo en un sistema de Windows. Solution Reinicie el servicio reiniciando el sistema operativo. |
|||
| 3.0.0.404 | Emitirá Durante la instalación del cliente de EDR, el paquete redistribuible de Visual C++ elimina los archivos binarios de las arquitecturas que no son de destino. Diseñado Este problema es un problema de tiempo de ejecución de Microsoft en el paquete redistribuible de Visual C++. Solution Aplique el distribuible actualizado disponible en: https://support.microsoft.com/en-us/help/3138367/update-for-visual-c-2013-and-visual-c-redistributable-package |
|||
| Tengoproblema No se puede instalar el cliente de MVISION EDR con ENS 10.6.2/6.3 en Linux debido a las dependencias fallidas: Verá el error: Solution Ampliar a ENS 10.6.4 o posterior. |
||||
| 3.0.0.404 | Emitirá Los paneles de supervisión o búsqueda histórica podrían Mostrar información incorrecta sobre el dispositivo. La información incorrecta incluye, por ejemplo, la versión del sistema operativo, el dirección MAC o las etiquetas de ePO. | |||
| Emitirá Lo Entre así Exclude filtros en la Búsqueda histórica Panel, no filtre las alertas y Detecciones |
||||
| Emitirá La jerarquía del árbol de procesos se rompe en el widget actividad de proceso. Cause El proceso principal no está presente. Como resultado, la vista secuencial y de escala de tiempo de la actividad procesar no muestra el árbol de procesos correctamente. Solucionar Seleccione otra instancia de detección para la misma amenaza desde la sección dispositivo en el panel supervisión. |
||||
| Emitirá Cuando se desactivan las opciones de comentarios de telemetría, la opción de comentarios requiere la aceptación del uso compartido de datos de telemetría. Si no lo acepta, el botón Enviar de la sección Comentarios no estará activado. Solution Activar configuración de telemetría:
|
||||
| Emitirá Se ven las alertas duplicadas. Cuando se detecta una inyección de procesos como una amenaza en el panel de supervisión, el proceso del inyector y el proceso insertado se muestran como amenazas potenciales. Por lo tanto, se pueden percibir como amenazas duplicadas. | ||||
| Cliente 3.0.0.175 | Emitirá [Agent] Cuando se desactiva o se activar el complemento de rastreo, los rastros no se envían a la nube hasta que se reinicie el Endpoint. Solution Si activar el complemento de rastreo en un Endpoint a través de la Directiva de Endpoint de MVISION EDR una vez que estaba desactivada anteriormente, debe reiniciar el Endpoint para que se vuelvan a enviar los datos de rastreo. La actividad de Endpoint no se supervisa hasta que se completa el reinicio. |
|||
| Versión de extensión de MVISION EDR 3.0.0.758 | Emitirá No se puede abrir la página de inicio de MVISION desde ePO local. El vínculo de la Página principal de MVISION EDR del menú de McAfee ePO no funciona. Solution Para acceder a la página MVISION EDR, vaya a la URL https://ui.soc.mcafee.com. Solution: Se ha corregido en MVISION EDR versión del cliente 3.0.0.175. |
|||
| Emitirá Tras la instalación, la configuración del servidor de extensiones EDR muestra un Error de tiempo de espera del host. Conexión de SIEM en la configuración de MVISION EDR disponible en configuración del servidor en McAfee ePO Mostrar conexión como: Solution Cuando SIEM se configura correctamente, esta opción cambia a Conexión correcta según lo previsto. |
||||
| Emitirá El nombre del dispositivo no se muestra en Dispositivos afectados, Sesión de detalles de amenaza del Área de trabajo supervisión. Solution Siga los pasos de despliegue descritos en la guía de instalación o en el Asistente de la interfaz de usuario. Si el cliente de MVISION EDR está desplegado en los endpoints hasta completa el flujo de instalación de la extensión; es posible que no se muestre parte de la información del dispositivo. Es posible que no se muestre información como el nombre o la dirección IP del host en el dispositivo panel del panel de supervisión. Para solucionar el problema, reinicie el dispositivo que no se ha enumerado. |
Volver al principio
Información relacionada
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en Iniciar sesión.
- Si no es un usuario registrado, haga clic en Registrarse y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas:
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro
