| Version MVISION | Disponibilité générale (GA) | Notes de publication |
| MVISION EDR mise à jour de juillet | 26 juillet, 2021 | Notes de publication |
| MVISION EDR 3.5 | 13 juillet 2021 | Notes de publication |
| MVISION XDR | 17 mai, 2021 | Notes de publication |
| MVISION EDR 3.4 | 27 avril 2021 | Notes de publication |
| MVISION EDR Cloud Version de décembre |
5 décembre 2020 | Notes de publication |
| Client EDR 3.3.0.625 | 1er décembre 2020 | Notes de publication |
| MVISION EDR Cloud Version de novembre |
6 novembre 2020 | Notes de publication |
| MVISION EDR 3.2 HotFix 1 | 22 septembre, 2020 | Notes de publication |
| MVISION EDR 3.2 | 12 août 2020 | Notes de publication (Client et extension 3.2.0.567.2) |
| MVISION EDR 3.1 | 21 avril, 2020 | Notes de publication Veuillez MVISION EDR est un produit cloud. La date de mise en disponibilité est la version la plus récente. Les Notes de publication du Cloud sont cumulatives. |
| MVISION EDR 3.0 HotFix 1 | 20 décembre 2019 | |
| MVISION EDR | 22 octobre, 2019 |
MVISION EDR des problèmes connus
Articles techniques ID:
KB91275
Date de la dernière modification : 23/09/2021
Date de la dernière modification : 23/09/2021
Environnement
McAfee MVISION EDR
McAfee MVISION XDR
McAfee MVISION XDR
Synthèse
Mises à jour récentes de cet article
Volet
Cliquez pour développer la section que vous souhaitez afficher :
Haut de la page
| Date | Mise à jour |
| 7 septembre, 2021 | Ajout de SEC-36074 et SEC-46898 dans la section « problèmes non critiques connus ». |
| 27 août 2021 | Ajout de SEC-50492 dans la section « problèmes non critiques connus ». |
| 23 août 2021 | Suppression de SEC-50092, car elle est résolue. |
| 27 juillet, 2021 | Ajout de problèmes connus SEC-50092, SEC-49207, SEC-49599, SEC-49287, SEC-46277, SEC-45793, SEC-46777 et SEC-48803 dans la section « problèmes non critiques connus ». |
| 1er juillet 2021 | Ajout de SEC-48028 dans la section « problèmes connus critiques ». |
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Volet
Cliquez pour développer la section que vous souhaitez afficher :
| Numéro de référence | Article connexe | Trouvé au Version MV-EDR |
Résolu dans Version MV-EDR |
Description du problème |
| SEC-48028 | KB94656 | 3.5 | - | Veuillez Ce problème est applicable pour EDR 3.5 clients et clients utilisant la fonctionnalité S3. Problème Un problème existe lorsque la configuration EDR est configurée pour envoyer des traçages à la fois au McAfee EDR Cloud Outre le service S3 du client, les traçages ne sont pas envoyés au Cloud McAfee EDR. Le problème ne se produit que lorsque les informations d’identification d’accès S3 sont mal configurées (par exemple, une clé d’accès non valide). Si ce problème se produit, assurez-vous que vos informations d’identification AWS sont valides et que vos services et paramètres AWS sont correctement configurés. Veuillez Nous recommandons aux clients de tester les informations d’identification IAM pour s’assurer qu’ils autorisent l’écriture d’objets dans le compartiment S3 cible et à la surveillance de l’accès et de l’utilisation des intervalles S3. |
| Numéro de référence | Article connexe | Trouvé au Version MV-EDR |
Résolu dans Version MV-EDR |
Description du problème |
| SEC-36074 | - | Problème Les actions relatives aux vulnérabilités ne s’affichent pas dans actions. Suspendu SEC-50492. |
||
| SEC-46898 | - | Problème Cette MVISION EPO/EDR le client ne parvient pas à charger un instantané. | ||
| SEC-50492 | - | Problème Les options d’action SIEM ne sont pas disponibles dans la liste déroulante EDR pour Actions sur les équipements dans l’interface utilisateur EDR. | ||
| SEC-49207 | - | Problème La recherche historique échoue avec AR-1104 par intermittence via l’interface utilisateur au cours d’un test de performances de programmation ou d’script. | ||
| SEC-49599 | - | Problème Lorsque ca est en attente de réponse à la requête, l’interface utilisateur affiche un message d’erreur : |
||
| SEC-46277 | - | Problème L’opérateur de suggestion automatique ne fonctionne pas pour la requête composée avec la ligne de requête. | ||
| SEC-49287 | - | Problème Lorsque vous appliquez des filtres pour effectuer l’analyse et les effacer ultérieurement, les résultats sont actualisés par le biais d’un appel d’API. | ||
| SEC-48803 | - | Problème L’utilisateur effectue l’une des actions suivantes :
|
||
| SEC-46777 | - | Problème Exclusion granulaire : l’exclusion avec des caractères d’échappement/spéciaux doit être nettoyée avant que la concordance soit établie. | ||
| SEC-45793 | - | - | Problème Dans le tableau de bord recherche historique, lorsque vous saisissez une requête commandLine, les suggestions ne s’affichent pas. | |
| SEC-43301 | - | 3.2.0 | - | Problème Lorsque vous utilisez l’API MVISION EDR, vous constatez que les événements de l’API dépassent les limites d’événement définies. Bien que les runbook de gestion des incidents fournis avec les API mentionnent des limites, il n’indique pas clairement comment définir des limites dans les nombres réels. L’API pour la limitation de débit est la suivante : Les limites de débit peuvent être appliquées aux actions suivantes :
{// Rate Limits default values. // Use API to change rate limits. // new case by tenant new-case = [ { max = 10 duration = "1 hour"} { max = 20 duration = "1 day"} ] // new evidence by case by tenant new-evidence-to-case = [{max = 10 duration = "1 hour"} ] // new evidence by tenant new-evidence = [{max = 10 duration = "1 hour"} ] } |
| SEC-41123 | - | 2.4.0.723 | - | Problème La réaction de redémarrage planifié peut ne pas fonctionner sur certaines plates-formes Linux (RHEL et SUSE) même si la réussite est renvoyée dans action Histoire. Permettre La réaction de redémarrage planifié utilise le service de planification Linux "at" pour planifier le redémarrage. Il se peut que ce service ne s’exécute pas par défaut sur toutes les plates-formes Linux. Résolution Installez le service "at" et assurez-vous que le |
| SEC-37830 | - | 3.3.0 | Problème L’action Histoire affiche « terminé » avec un message d’erreur après l’action « redémarrage planifié ». | |
| SEC-42307 | - | 3.4.0 | Problème Le système d’exploitation BigSur n’est pas répertorié sur l’interface utilisateur EDR. | |
| SEC-38300 | - | - | - | Problème Au moins deux onglets ouverts lors de l’utilisation de MVISION EDR, peut provoquer la déconnexion d’un utilisateur pour cause d’inactivité. Il en va de même pour tous les autres onglets qui utilisent des produits qui reposent sur le même service d’identité. Par exemple, MVISION ePO et MVISION Cloud. Permettre MVISION EDR vérifie les activités de manière indépendante dans chaque onglet. Après 20 minutes d’inactivité, MVISION EDR invalide le jeton, ce qui déconnecte l’utilisateur. Résolution La réduction du nombre ou la fermeture de tous les onglets ouverts qui restent inactifs pendant plus de 20 minutes réduit la probabilité d’une survenue de déconnexion. |
| SEC-28420 | EKS + 1 | EKS + 2 | Problème Lorsque vous exécutez des requêtes de recherche historiques contenant plus de 3 jours d’informations et que vous utilisez des filtres d’inclusion/exclusion, vous voyez l’erreur :
Résoudre Affinez votre requête. Incluez moins de 3 jours d’informations ou supprimez les filtres d’inclusion/exclusion. |
|
| SEC-35451 | Problème Aucun type d’événement n’est affiché pour une activité de processus dans l’affichage tableau de la section activité des processus du tableau de bord surveillance. Permettre Pour certaines activités de processus spécifiques qui se ferment dans le temps au démarrage du processus, le résultat peut être indiqué que cette activité a un horodatage antérieur au processus à l’origine de l’activité. L’interface utilisateur met en relation ce processus avec le même horodatage que l’heure de création du processus affichant deux événements sur la même ligne. Résolution Cliquez sur l’activité et affichez les différents événements associés à cette ligne dans le tableau. Vous pouvez alors consulter les détails des deux événements. |
|||
| SEC-35418 | Problème Il y a un retard dans la visibilité des événements générés dans le poste client par le biais de la recherche historique d’un seul poste client. Permettre Les filtres de temps MVISION EDR utilisent l’heure spécifiée dans le poste client, qui est l’heure à laquelle l’activité s’est produite. Toutefois, il se peut qu’un poste client ait une configuration de temps incorrecte avant l’heure actuelle ou en arrière-plan. Si tel est le cas, les filtres tels que les 4 dernières heures n’affichent pas cette activité tant que l’heure actuelle n’est pas atteinte. Résoudre Corrigez l’heure configurée dans le terminal. |
|||
| SEC-35413 | Problème Le filtrage en fonction des « techniques observées » ou des « indicateurs suspects » dans le tableau de bord de surveillance n’affiche pas l’activité qui en est à l’origine. Cette situation se produit lorsqu’il n’existe aucune visibilité de l’interface utilisateur d’un événement dans l’activité du processus. Au lieu de cela, vous voyez : Permettre EDR a augmenté le nombre d’événements affichés dans la section activité des processus. Certaines d’entre elles peuvent toujours être manquantes. Elle ne met pas en relation l’activité suspecte avec une activité dans le ou les tableaux, car le contenu évolue avec une cadence supérieure à celle de l’interface utilisateur. Résoudre Assurez-vous qu’aucun filtre n’est appliqué au graphique. Si l’événement n’est toujours pas affiché, l’analyse doit rechercher toutes les activités pour identifier correctement le déclencheur de l’indicateur suspect. |
|||
| SEC-35355 | Problème Le filtrage par « techniques observées » ou « indicateurs suspects » dans le tableau de bord de surveillance peut ne pas afficher l’activité qui en est à l’origine. Cette situation peut se produire lorsque vous ne chargez pas toutes les activités appliquer les filtres appliqués dans le widget d’activité de processus. Au lieu de cela, vous voyez : Permettre Pour améliorer la vitesse d’affichage de l’activité des processus une fois qu’une nouvelle menace est sélectionnée dans le tableau de bord surveillance, l’interface utilisateur charge les données en deux phases. La phase initiale charge partiellement les données. Il hiérarchise les informations relatives aux généalogies des processus. Par conséquent, il se peut que l’activité qui provient d’une technique observée ou d’un indicateur suspect ne soit pas chargée. Résoudre Cliquez sur l' Afficher toutes les activités échéant. Toutes les charges de l’activité. Ensuite, filtrez à nouveau pour la technique observée requise. |
|||
| SEC-35377 SEC-35378 |
Client EDR 3.3.0.625 | Problème Cette Permettre Sur SUSE Linux Enterprise 15, Cette désapprobation peut également s’appliquer à d’autres distributions de Linux qui n’incluent plus la package net-Tools par défaut. Résoudre Étant |
||
| SEC-36169 | Client EDR 3.2.0.567 Mise à jour des données de contenu 3.2.0.313 |
Mise à jour des données de contenu 3.3.0.368 | Problème EDR snapshot Tool ne fonctionne pas correctement après une mise à jour de contenu EDR. Vous exécutez l’outil capture instantanée, mais l’outil ne parvient pas à prendre un instantané. L’erreur suivante s’affiche : Permettre Une mise à jour de contenu EDR laisse des définitions de travail contradictoires. Résoudre Supprimez le contenu du client EDR package du référentiel maître jusqu’à ce qu’un contenu mis à jour soit fourni. Sur les hôtes concernés à analyser, utilisez la réaction supprimer le fichier disponible dans |
|
| STLS-916 | Problème MVISION EDR ne peut pas se connecter au service Broker DXL configuré. Si vous recherchez le journal IPE des services Broker DXL, vous voyez l’erreur : Permettre Deux causes sont possibles :
|
|||
| SEC-33805 | Problème Les listes de serveurs ePO en double sont visibles dans la page Configuration, sous configurer les sources de données. Permettre Problèmes de connexion. Résoudre Actualisez l’interface utilisateur. Vous pouvez ignorer le problème. Ce problème est esthétique et n’affecte pas la fonction du produit. |
|||
| SEC-34655 | Problème Vous effectuez une action manuelle pour mettre en quarantaine ou mettre en quarantaine un équipement dans le tableau de bord investigation. Toutefois, l’État n’est pas mis à jour tant qu’il n’est pas actualisé. Ensuite, l’action mettre en quarantaine ne s’affiche pas après une action de mise en quarantaine. Permettre L’investigation n’actualise pas les options après une action. Résoudre Actualisez l’interface utilisateur. |
|||
| SEC-33791 | Problème Une fois que vous avez basculé d’une menace à l’autre dans l’écran de surveillance, l’activité de processus affiche le message suivant : Il charge ensuite l’activité de processus correcte. Permettre L’ingénierie a mis à jour le widget pour se charger plus rapidement et en plusieurs phases, ce qui est à l’origine du problème. Résoudre Attendez que l’activité du processus se charge complètement. |
|||
| SEC-31708 | 3.2.0.567 | Problème: Les investigations par e-mail de phishing n’affichent pas ou n’ajoutent pas d’artefacts. (Etats-Unis NE | ||
| SEC-31410 | 3.2.0.567 | 3.2.0.571 | Issue: Le processus client EDR ( Résolution Désactivez les mises à jour de contenu sans assistance sur le Stratégie EDR, Généralisé onglet. |
|
| 3.0.0.404 | 3.2.0.567 | Problème Impossible de mettre fin à la quarantaine dans un poste client utilisant un réseau privé virtuel (VPN) Solution :
|
||
| 3.1.0.478 | 3.2.0.567 | Problème Vous voyez une utilisation processeur élevée et un ralentissement sur les clients Windows 32 bits. Résolution Désactivez le traçage pour les postes clients concernés. Ou, si vous rencontrez des problèmes avec des processus spécifiques, excluez-les. Pour plus d’informations sur la réalisation de ces modifications, reportez-vous au Guide produit. Résoudre Ce problème est résolu dans 3.2.0.567. |
||
| 3.1.0.478 | Problème Au cours de la mise à niveau du client EDR sur Windows 7, un message contextuel s’affiche pendant quelques secondes avec le titre : Ce message n’a pas d’incidence sur l’installation. Le produit s’installe avec succès. Permettre Les détections interservices interactives du service Windows sont activées. Ce service est désactivé par défaut et n’est disponible que sur Windows 7. Résolution Désactivez temporairement le service Windows Détections interactives des services lors de la mise à niveau du client EDR. |
|||
| 3.1.0.478 | Mise à jour des données de contenu 3.2.0.308 | Problème EDR mise à jour des données de contenu 3.0 ne parvient pas à télécharger lorsque le client EDR 3.1 ou version ultérieure est installé. Permettre Mise à jour des données de contenu 3.0 ne reconnaît pas la version 3.1 ou version ultérieure. Résolution Archivage de la mise à jour des données de contenu la plus récente 3.1 ou version ultérieure au référentiel maître. La mise à jour est disponible à partir du catalogue de logiciels ePO. |
||
| 3.0.0.404 | 3.1.0.478 | Problème La taille de la base de données de traçage EDR dépasse la taille maximale configurée dans la stratégie. La base de données se trouve à l’adresse : |
||
| KB92292 | Extensions MACC 8.2.6 et 8.3. | Problème Cette Permettre Contrôle d’exécution de McAfee dans MACC 8.x ajout de règles de contrôle d’exécution par défaut et de groupes de règles McAfee. Ces groupes de règles doivent être mis à jour pour permettre l’exécution de la nouvelle version. Résolution Reportez-vous à l’article correspondant. Résoudre Ce problème est résolu avec la libération des extensions MACC 8.2.6 et 8.3. |
||
| Le contenu de la prévention contre les exploits ENS, publié en mars 2020 ou version ultérieure, corrige ce problème. | Problème Echec de l’exécution d’une réaction EDR dans le terminal. Permettre Une option dans ENS empêche EDR d’exécuter certains Résolution Ajoutez un exclusion au service EDR dans la stratégie de prévention contre les exploits ENS :
|
|||
| 3.0.0.355 | 3.1.0.478 | Problème Sur Windows 10 build 1607 (RS1), les applications telles que Microsoft Office, Adobe Acrobat Reader et Chrome, ne démarrent pas. Solution 1 : Installez toutes les mises à jour Windows pour build 1607 (RS1). Solution 2 :
Veuillez Si cette option est désactivée, le client EDR ne détecte pas lorsqu’un processus injecte un autre processus. |
||
| 3.0.0.355 | Problème: L’installation de certaines applications qui effectuent des déplacements, des suppressions ou des modifications de fichiers intensifs affiche les erreurs et ne se termine pas. Permettre Le client EDR verrouille ces fichiers au cours de l’installation. Solution 1 : Désactivez la plug-in de traçage au cours de l’installation. Solution 2 : Ajoutez le programme d’installation ou le processus qui l’exécute sur les fichiers ignorés dans Stratégie de traçage. |
|||
| 3.0.0.355 | 3.2.0.567 | Problème Lorsque vous mettez en quarantaine un terminal connecté à un réseau privé virtuel (VPN), le poste client devient injoignable. Vous ne pouvez pas envoyer la réaction pour mettre fin à la quarantaine. Solution :
|
||
| 3.0.0.404 | 3.0.0.432 | Problème La fonctionnalité de commentaires sur le réseau est activée par défaut. Les résultats sont des collectes inutiles dans les terminaux et du trafic inutile dans le réseau du client. Résolution Pour ePO en local, ouvrez toutes les stratégies de la suite active EDR dans ePO et enregistrez chacune d’elles sans apporter de modifications. Cette action désactive la configuration de la verbosité. Pour les environnements de MVISION ePO, cloner ma stratégie par défaut, modifier, enregistrer sans apporter de modifications, puis l’affecter à tous vos postes clients. |
||
| 3.0.0.355 | 3.0.0.404 | Problème Sur Windows Redstone 5 et versions ultérieures, Internet Explorer ou le bord peut perdre la connexion Internet lors de l’utilisation d’un fichier de configuration proxy. Cependant, les autres navigateurs comme Chrome ou Firefox continuent de fonctionner correctement. Résolution Entrez manuellement vos paramètres de proxy dans Internet Explorer ou dans le bord. |
||
| 3.0.0.432 | Problème Le service EDR ne démarre pas si MVISION EDR est installé sur un poste client sur lequel ENSM est installé. Résolution Support technique dispose d’une script pour corriger le problème. Contactez le support technique pour obtenir cette script. |
|||
| Résolu par la mise à niveau vers MA 5.6.3 | Problème Les fichiers de script de la configuration automatique de proxy, tels que Dans ce cas, Internet Explorer pouvez toujours utiliser le fichier proxy. PAC, mais MA (en supposant que ses paramètres de proxy sont configurés pour Rapports MA aucune proxy utilisable n’a été trouvée dans mcscript. log. Résolution Redémarrez le poste client. |
|||
| Problème Dans MVISION ePO, les clients Mac et Linux EDR ne sont pas encore pris en charge. Résoudre Non disponible. Pour obtenir des informations sur l’environnement, consultez KB91345-plates-formes prises en charge pour MVISION EDR. |
||||
| 3.1.0.478 | Problème Le service client MVISION EDR cesse de fonctionner si vous installez ou mettez à niveau le client MVISION Endpoint après son installation sur un système Windows. Résoudre Redémarrez le service en redémarrant le système d’exploitation. |
|||
| 3.0.0.404 | Problème Lors de l’installation du client EDR, Visual C++ Redistributable Package supprime les fichiers binaires pour les architectures non cibles. SPECIFIQUE Ce problème est un problème d’exécution de Microsoft dans Visual C++ Redistributable Package. Résoudre Appliquer le distribuable mis à jour disponible à l’adresse suivante : https://support.microsoft.com/en-us/help/3138367/update-for-visual-c-2013-and-visual-c-redistributable-package |
|||
| Issue: Impossible d’installer le client MVISION EDR avec ENS 10.6.2/6.3 en Linux en raison de l’échec des dépendances : Vous voyez l’erreur : Résoudre Mise à niveau vers ENS 10.6.4 ou version ultérieure. |
||||
| 3.0.0.404 | Problème Les tableaux de bord de recherche historique ou historique peuvent afficher des informations incorrectes sur l’équipement. Les informations incorrectes incluent par exemple la version du système d’exploitation, les adresse MAC ou les marqueurs ePO. | |||
| Problème Cette Consistent et Non filtres dans la Recherche historique Tableau de bord, ne filtrez pas les alertes et Détections |
||||
| Problème Hiérarchie dans l’arborescence des processus, à partir du widget activité de processus. Permettre Le processus de parent n’est pas présent. En conséquence, la vue séquentielle et chronologie de l’activité de processus n’affiche pas correctement l’arborescence des processus. Résolution Sélectionnez un autre instance de détection pour la même menace dans la section équipement du tableau de bord surveillance. |
||||
| Problème Lorsque vous désactivez les options de Commentaires de télémétrie, l’option Commentaires nécessite que vous acceptiez le partage des données de télémétrie. Si vous ne l’acceptez pas, le bouton envoyer de la section Commentaires n’est pas activé. Résoudre Activer les paramètres de télémétrie :
|
||||
| Problème Des alertes dupliquées sont visibles. Lorsqu’une injection de processus est détectée comme une menace dans le tableau de bord de surveillance, le processus de l’injecteur et le processus injecté sont affichés comme des menaces potentielles. Ils peuvent donc être perçus comme des menaces en double. | ||||
| Il 3.0.0.175 | Problème [Agent] Lorsque vous désactivez ou activez la trace plug-in, les traces ne sont pas envoyées au cloud tant que vous n’avez pas redémarré le terminal. Résoudre Si vous activez la plug-in de traçage sur un poste client à l’aide de la stratégie MVISION EDR Endpoint après l’avoir désactivée précédemment, vous devez redémarrer le poste client pour que les données de traçage soient de nouveau envoyées. L’activité de terminal n’est pas surveillée tant que le redémarrage n’est pas terminé. |
|||
| MVISION EDR extension version 3.0.0.758 | Problème Impossible d’ouvrir MVISION page d’accueil à partir d’ePO site. Le lien MVISION EDR page d’accueil du menu McAfee ePO ne fonctionne pas. Résoudre Pour accéder à la page MVISION EDR, accédez à l’URL https://ui.soc.mcafee.com. Résoudre: Corrigé dans la version du client MVISION EDR 3.0.0.175. |
|||
| Problème Une fois l’installation terminée, les paramètres du serveur extension EDR affichent un Erreur de délai d’expiration de l’hôte. Connexion SIEM dans les paramètres MVISION EDR disponibles dans les paramètres serveur de McAfee ePO afficher la connexion en tant que : Résoudre Lorsque le SIEM est correctement configuré, ce paramètre passe à Connexion réussie comme prévu. |
||||
| Problème Le nom de l’équipement ne s’affiche pas sous Equipements concernés, Session détails de la menace au Espace de travail surveillance. Résoudre Suivez les étapes de déploiement décrites dans le Guide d’installation ou l’Assistant interface utilisateur. Si le client MVISION EDR est déployé dans les postes clients avant une fois le flux d’installation de extension terminé, certaines informations sur l’équipement peuvent ne pas s’afficher. Il se peut que des informations telles que le nom d’hôte ou l’adresse IP ne s’affichent pas dans le panneau des équipements du tableau de bord de surveillance. Pour résoudre le problème, redémarrez l’équipement qui n’est pas répertorié. |
Haut de la page
Informations connexes
Pour contacter le Support technique, connectez-vous au portail ServicePortal et allez sur la page Création d'une demande de service à l'adresse https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR :
- Si vous êtes un utilisateur enregistré, saisissez votre Nom d'utilisateur et votre Mot de passe, puis cliquez sur Se connecter.
- Si vous n'êtes pas enregistré, cliquez sur S'enregistrer et remplissez les champs requis. Votre mot de passe et vos instructions de connexion vous seront adressés par e-mail.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro
