Versione MVISION | Disponibilità generale | Note sulla versione |
MVISION EDR aggiornamento di luglio | 26 luglio 2021 | Note sulla versione |
MVISION EDR 3.5 | 13 luglio 2021 | Note sulla versione |
MVISION XDR | 17 maggio 2021 | Note sulla versione |
MVISION EDR 3.4 | 27 aprile 2021 | Note sulla versione |
MVISION EDR cloud Rilascio dicembre |
5 dicembre 2020 | Note sulla versione |
Client EDR 3.3.0.625 | 1 dicembre 2020 | Note sulla versione |
MVISION EDR cloud Rilascio di novembre |
6 novembre 2020 | Note sulla versione |
MVISION EDR 3.2 Hotfix 1 | 22 settembre 2020 | Note sulla versione |
MVISION EDR 3.2 | 12 agosto 2020 | Note sulla versione (Client e estensione 3.2.0.567.2) |
MVISION EDR 3.1 | 21 aprile 2020 | Note sulla versione Nota MVISION EDR è un prodotto cloud. La data di GA è la versione più recente. I Note sulla versione cloud sono cumulativi. |
MVISION EDR 3.0 Hotfix 1 | 20 dicembre 2019 | |
MVISION EDR | 22 ottobre 2019 |
Problemi noti di MVISION EDR
Articoli tecnici ID:
KB91275
Ultima modifica: 23/09/2021
Ultima modifica: 23/09/2021
Ambiente
McAfee MVISION EDR
McAfee MVISION XDR
McAfee MVISION XDR
Riepilogo
Aggiornamenti recenti a questo articolo
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Torna all'inizio
Data | Aggiornamento |
7 settembre 2021 | Aggiunto SEC-36074 e SEC-46898 nella sezione "problemi noti non critici". |
27 agosto 2021 | Aggiunto SEC-50492 nella sezione "problemi noti non critici". |
23 agosto 2021 | Rimosso SEC-50092 perché è stato risolto. |
27 luglio 2021 | Sono stati aggiunti problemi noti: SEC-50092, SEC-49207, SEC-49599, SEC-49287, SEC-46277, SEC-45793, SEC-46777 e SEC-48803 nella sezione "problemi noti non critici". |
1 luglio 2021 | Aggiunto SEC-48028 nella sezione "problemi noti critici". |
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Contenuto
Fare clic per espandere la sezione che si desidera visualizzare:
Numero di riferimento | Articolo correlato | Trovato in MV-versione EDR |
Risolto in MV-versione EDR |
Descrizione del problema |
SEC-48028 | KB94656 | 3.5 | - | Nota Questo problema è applicabile per EDR 3.5 client e clienti che utilizzano la funzionalità S3. Problema Esiste un problema in cui se EDR è configurato per inviare tracce a entrambi i Cloud McAfee EDR e anche per il servizio S3 del cliente, le tracce non vengono inviate a McAfee EDR cloud. Il problema si verifica solo quando le credenziali di accesso S3 non sono configurate correttamente (ad esempio, chiave di accesso non valida). Se questo problema viene visualizzato, verificare che le credenziali di AWS siano valide e che i servizi e le impostazioni di AWS siano configurati correttamente. Nota Si consiglia ai clienti di verificare eventuali credenziali IAM per garantire che gli oggetti vengano scritti nel bucket S3 di destinazione e monitorare l'accesso e l'utilizzo del bucket S3. |
Numero di riferimento | Articolo correlato | Trovato in MV-versione EDR |
Risolto in MV-versione EDR |
Descrizione del problema |
SEC-36074 | - | Problema Le azioni di vulnerabilità non vengono visualizzate nelle azioni. In sospeso SEC-50492. |
||
SEC-46898 | - | Problema Il MVISION EPO/EDR il client non riesce a caricare un snapshot. | ||
SEC-50492 | - | Problema Le opzioni SIEM Action non sono disponibili sul menu a discesa EDR per Azioni dispositivo nell'interfaccia utente di EDR. | ||
SEC-49207 | - | Problema La ricerca cronologica non riesce con AR-1104 in modo intermittente tramite l'interfaccia utente durante un test delle prestazioni a livello di programmazione o script. | ||
SEC-49599 | - | Problema Quando il timeout di AC sta rispondendo al query, l'interfaccia utente visualizza un messaggio di errore: |
||
SEC-46277 | - | Problema L'operatore di suggerimento automatico non funziona per i query composti con riga di comando. | ||
SEC-49287 | - | Problema Quando si applicano i filtri per eseguire l'analisi e successivamente cancellarli, i risultati vengono aggiornati tramite una chiamata API. | ||
SEC-48803 | - | Problema L'utente esegue una delle seguenti operazioni:
|
||
SEC-46777 | - | Problema Esclusione granulare: l'esclusione con caratteri di Escape/Special deve essere ripulita prima della corrispondenza. | ||
SEC-45793 | - | - | Problema Nella dashboard di ricerca cronologica, quando si digita un query di riga di comando, i suggerimenti non vengono visualizzati. | |
SEC-43301 | - | 3.2.0 | - | Problema Quando si utilizza l'API MVISION EDR, si osserva che gli eventi dell'API superano i limiti definiti per gli eventi. Sebbene la runbook di gestione dei casi fornita con le API menzioni i limiti, non indica chiaramente come impostare i limiti nei numeri reali. L'API per la limitazione delle tariffe è: I limiti di velocità possono essere applicati a queste azioni:
{// Rate Limits default values. // Use API to change rate limits. // new case by tenant new-case = [ { max = 10 duration = "1 hour"} { max = 20 duration = "1 day"} ] // new evidence by case by tenant new-evidence-to-case = [{max = 10 duration = "1 hour"} ] // new evidence by tenant new-evidence = [{max = 10 duration = "1 hour"} ] } |
SEC-41123 | - | 2.4.0.723 | - | Problema La reazione di riavvio pianificata potrebbe non funzionare su alcune piattaforme di Linux (RHEL e SUSE) anche se il successo viene restituito in azione Storia. Causa La reazione di riavvio pianificata utilizza il Linux servizio di pianificazione "at" per pianificare il riavvio. Questo servizio potrebbe non essere eseguito per impostazione predefinita su tutte le piattaforme di Linux. Soluzione alternativa Installare il servizio "at" e assicurarsi che il |
SEC-37830 | - | 3.3.0 | Problema L'azione Storia Mostra come "completato" con il messaggio di errore dopo l'azione "riavvio pianificato". | |
SEC-42307 | - | 3.4.0 | Problema Il sistema operativo BigSur non è quotato sull'interfaccia utente EDR. | |
SEC-38300 | - | - | - | Problema Due o più schede aperte durante l'utilizzo di MVISION EDR possono causare la disconnessione di un utente a causa di inattività. Lo stesso vale per qualsiasi altra scheda che utilizza i prodotti che si basano sullo stesso servizio di identità. Ad esempio, MVISION ePO e MVISION Cloud. Causa MVISION EDR verifica l'attività in modo indipendente in ciascuna scheda. Dopo 20 minuti di inattività, MVISION EDR invalida il token, che disconnette l'utente. Soluzione alternativa Riducendo al minimo il numero o chiudendo le schede aperte che rimangono inattive per più di 20 minuti, la probabilità di un'occorrenza di disconnessione viene ridotta. |
SEC-28420 | EKS + 1 | EKS + 2 | Problema Quando si eseguono query di ricerca cronologiche contenenti più di 3 giorni di informazioni e si utilizzano filtri Includi/Escludi, viene visualizzato l'errore:
Soluzione Restringi il query. Includi meno di 3 giorni di informazioni o Rimuovi i filtri Includi/Escludi. |
|
SEC-35451 | Problema Non viene visualizzato alcun tipo di evento per un'attività di processo nella visualizzazione tabella della sezione attività processo dalla dashboard di monitoraggio. Causa Per alcune attività di processo specifiche che si verificano in modo ravvicinato all'inizio del processo, il risultato può essere che tale attività abbia un timestamp precedente al processo che ha originato l'attività. L'interfaccia utente si riferisce a tale processo con lo stesso timestamp dell'ora del processo creata che visualizza due eventi nella stessa riga. Soluzione alternativa Fare clic sull'attività e visualizzare i diversi eventi correlati a tale riga nella tabella. Quindi, è possibile visualizzare i dettagli di entrambi gli eventi. |
|||
SEC-35418 | Problema Si è verificato un ritardo nella visibilità degli eventi generati nell'endpoint mediante la ricerca cronologica di un solo endpoint. Causa MVISION EDR i filtri temporali utilizzano il tempo specificato nell'endpoint che è il momento in cui si è verificata l'attività. Tuttavia, un endpoint potrebbe avere una configurazione di tempo errata che è in anticipo rispetto all'ora corrente o dietro di esso. In caso contrario, i filtri, ad esempio per le ultime 4 ore, non mostrano tale attività fino al raggiungimento dell'ora corrente. Soluzione Correggere l'ora configurata nell'endpoint. |
|||
SEC-35413 | Problema Il filtraggio per "tecniche osservate"/"indicatori sospetti" nel dashboard di monitoraggio non Mostra l'attività corrispondente che l'ha originata. Questa situazione si verifica quando non è presente visibilità dell'interfaccia utente di un evento nell'attività del processo. Invece si vede: Causa EDR ha aumentato il numero di eventi visualizzati nella sezione attività del processo. Ma alcuni di loro possono ancora mancare. Non correla l'attività sospetta a un'attività nel grafico o nelle tabelle perché il contenuto si evolve con una cadenza superiore a quella dell'interfaccia utente. Soluzione Assicurarsi che non vi siano filtri applicati al grafico. Se l'evento non viene ancora visualizzato, l'analisi deve indagare su tutte le attività per identificare correttamente il trigger dell'indicatore sospetto. |
|||
SEC-35355 | Problema Il filtraggio per "tecniche osservate" o "indicatori sospetti" nel dashboard di monitoraggio potrebbe non mostrare l'attività corrispondente che l'ha originata. Questa situazione può verificarsi quando non si caricano tutte le attività Applica filtri che sono stati applicati nel widget attività processo. Invece si vede: Causa Per migliorare la velocità di visualizzazione dell'attività del processo una volta selezionata una nuova minaccia nel dashboard di monitoraggio, l'interfaccia utente carica i dati in due fasi. La fase iniziale carica parzialmente i dati. Assegna priorità alle informazioni di genealogia del processo. Di conseguenza, l'attività che ha originato una tecnica osservata o un indicatore sospetto potrebbe non essere caricata. Soluzione Fare clic sul pulsante Mostra tutte le attività opzione. Tutte le attività vengono caricate. Quindi filtrare nuovamente per la tecnica osservata richiesta. |
|||
SEC-35377 SEC-35378 |
Client EDR 3.3.0.625 | Problema Il Causa Su SUSE Linux Enterprise 15, Questa deprecazione potrebbe essere applicata anche ad altre distribuzioni Linux che non includono più il pacchetto NET-Tools per impostazione predefinita. Soluzione Perché |
||
SEC-36169 | Client EDR 3.2.0.567 Aggiornamento dei dati del contenuto 3.2.0.313 |
Aggiornamento dei dati del contenuto 3.3.0.368 | Problema Lo strumento snapshot EDR non funziona correttamente dopo un aggiornamento dei contenuti EDR. Si esegue lo strumento di snapshot, ma lo strumento non riesce a eseguire un snapshot. Viene visualizzato il seguente errore: Causa Un aggiornamento dei contenuti EDR lascia le definizioni dei processi in conflitto. Soluzione Rimuovere il pacchetto di contenuti client EDR dall'archivio principale fino a quando non viene fornito un contenuto aggiornato. Sugli host interessati da esaminare, utilizzare la reazione Rimuovi file disponibile in |
|
STLS-916 | Problema MVISION EDR non è in grado di connettersi al broker DXL configurato. Se si osserva il registro IPE dei broker DXL, viene visualizzato l'errore: Causa Esistono due possibili cause:
|
|||
SEC-33805 | Problema Nella pagina configurazione sono visibili elenchi duplicati di server ePO, in configurazione origini dati. Causa Problemi di connessione. Soluzione Aggiornare l'interfaccia utente. È possibile ignorare il problema. Questo problema è cosmetico e non influisce sulla funzione del prodotto. |
|||
SEC-34655 | Problema È possibile intraprendere un'azione manuale per mettere in quarantena o porre fine alla quarantena di un dispositivo nell'dashboard di indagine. Tuttavia, lo stato non viene aggiornato fino al suo aggiornamento. Quindi, l'azione fine quarantena non viene visualizzata dopo un'azione di quarantena. Causa L'indagine non aggiorna le opzioni dopo un'azione. Soluzione Aggiornare l'interfaccia utente. |
|||
SEC-33791 | Problema Dopo aver switch tra le minacce nella schermata di monitoraggio, l'attività di processo Visualizza il messaggio: Viene quindi caricata l'attività di processo corretta. Causa Engineering ha aggiornato il widget per caricare più velocemente e in fasi, causando questo problema. Soluzione Attendere che l'attività del processo venga caricata completamente. |
|||
SEC-31708 | 3.2.0.567 | Problema: Le indagini via phishing email non visualizzano o aggiungono artefatti. (Stati Uniti SOLO | ||
SEC-31410 | 3.2.0.567 | 3.2.0.571 | Issue: Il processo client EDR ( Soluzione alternativa Disattivare gli aggiornamenti dei contenuti non presidiati nel Policy EDR, Generale scheda. |
|
3.0.0.404 | 3.2.0.567 | Problema Impossibile terminare la quarantena in un endpoint che utilizza una VPN Soluzione:
|
||
3.1.0.478 | 3.2.0.567 | Problema Viene visualizzato un elevato utilizzo della CPU e rallentamento sui client Windows a 32 bit. Soluzione alternativa Disattivare la traccia per gli endpoint interessati. In alternativa, se si verificano problemi con processi specifici, escluderli. Per ulteriori informazioni su come apportare le modifiche, consultare la guida del prodotto. Soluzione Questo problema è stato risolto in 3.2.0.567. |
||
3.1.0.478 | Problema Durante l'upgrade del client EDR su Windows 7, viene visualizzato un messaggio popup per alcuni secondi con il titolo: Questo messaggio non influisce sull'installazione. Il prodotto viene installato correttamente. Causa I rilevamenti dei servizi interattivi Windows Service sono attivati. Questo servizio è disattivato per impostazione predefinita ed è disponibile solo in Windows 7. Soluzione alternativa Disattivare temporaneamente il servizio Windows Rilevamenti di servizi interattivi durante l'upgrade del client EDR. |
|||
3.1.0.478 | Aggiornamento dei dati del contenuto 3.2.0.308 | Problema Aggiornamento dei dati del contenuto EDR 3.0 non riesce a download quando il client EDR 3.1 o versione successiva è installato. Causa Aggiornamento dei dati del contenuto 3.0 non riconosce la versione 3.1 o versioni successive. Soluzione alternativa Archivia l'aggiornamento dei dati del contenuto più recente 3.1 o versioni successive all'archivio principale. L'aggiornamento è disponibile nel catalogo software ePO. |
||
3.0.0.404 | 3.1.0.478 | Problema Il database di traccia EDR aumenta di dimensioni superiori alla dimensione massima configurata nel policy. Il database è disponibile all'indirizzo: |
||
KB92292 | Estensioni di MACC 8.2.6 e 8.3. | Problema Il Causa Controllo esecuzione McAfee in MACC 8.x sono state aggiunte regole di controllo esecuzione predefinite e gruppi di regole di McAfee. Questi gruppi di regole devono essere aggiornati per consentire l'esecuzione della versione più recente. Soluzione alternativa Consultare l'articolo correlato. Soluzione Questo problema è stato risolto con il rilascio delle estensioni di MACC 8.2.6 e 8.3. |
||
I contenuti di prevenzione exploit di ENS rilasciati nel 2020 marzo, o versioni successive, risolvano questo problema. | Problema Non è possibile eseguire una reazione EDR nell'endpoint. Causa Un'opzione in ENS impedisce all'EDR di eseguire alcune Soluzione alternativa Aggiungi un'esclusione al servizio EDR nella policy di prevenzione exploit di ENS:
|
|||
3.0.0.355 | 3.1.0.478 | Problema In Windows 10 build 1607 (RS1), non è possibile avviare applicazioni quali Microsoft Office, Adobe Acrobat Reader e Chrome. Soluzione alternativa 1: Installare tutti gli aggiornamenti di Windows per build 1607 (RS1). Soluzione alternativa 2:
Nota Disattivando questa opzione, il client EDR non rileva quando un processo inserisce un altro processo. |
||
3.0.0.355 | Problema: L'installazione di alcune applicazioni che eseguono spostamenti, Traslochi o modifiche di file intensivi, Visualizza errori e non riesce a essere completata. Causa Il client EDR blocca questi file durante l'installazione. Soluzione alternativa 1: Disattivare la plug-in di traccia durante l'installazione. Soluzione alternativa 2: Aggiungere il programma di installazione o il processo che lo esegue nei file ignorati nella Policy traccia. |
|||
3.0.0.355 | 3.2.0.567 | Problema Quando si mette in quarantena un endpoint connesso a una VPN, l'endpoint diventa irraggiungibile. Non è possibile inviare la reazione per terminare la quarantena. Soluzione alternativa:
|
||
3.0.0.404 | 3.0.0.432 | Problema La funzionalità di verbosità della rete è attivata per impostazione predefinita. I risultati sono raccolta non necessaria negli endpoint e traffico non necessario nella rete del cliente. Soluzione alternativa Per ePO locale, aprire tutte le policy EDR attive in ePO e salvarle tutte senza apportare modifiche. Questa azione consente di disattivare la configurazione del livello di dettaglio. Per gli ambienti MVISION ePO, clonare il policy predefinito, modificare, salvare senza modifiche, quindi assegnarlo a tutti gli endpoint. |
||
3.0.0.355 | 3.0.0.404 | Problema In Windows Redstone 5 e versioni successive, Internet Explorer o Edge potrebbero perdere la connessione a Internet quando si utilizza un file di configurazione di proxy. Tuttavia, altri browser come Chrome o Firefox continuano a funzionare correttamente. Soluzione alternativa Immettere manualmente le impostazioni di proxy in Internet Explorer o Edge. |
||
3.0.0.432 | Problema Il servizio EDR non viene avviato se MVISION EDR è installato in un endpoint con ENSM installato. Soluzione alternativa Assistenza tecnica dispone di un script per risolvere il problema. Contattare l'assistenza per ottenere questo script. |
|||
Risolto mediante l'upgrade a MA 5.6.3 | Problema Configurazione automatica proxy script file, ad esempio In questa situazione, Internet Explorer possibile utilizzare ancora il file proxy. PAC, ma ma (supponendo che le relative impostazioni di proxy siano configurate per Rapporti di MA non è stato trovato alcun proxy utilizzabile in file mcscript. log. Soluzione alternativa Riavviare l'endpoint. |
|||
Problema In MVISION ePO, i client Mac e Linux EDR non sono ancora supportati. Soluzione Non disponibile. Per informazioni sull'ambiente, consultare KB91345-piattaforme supportate per MVISION EDR. |
||||
3.1.0.478 | Problema Il servizio client MVISION EDR smette di funzionare se si installa o si effettua l'upgrade del client di MVISION Endpoint dopo che è stato installato in un sistema di Windows. Soluzione Riavviare il servizio riavviando il sistema operativo. |
|||
3.0.0.404 | Problema Durante l'installazione del client EDR, Visual C++ Redistributable Package rimuove i file binari per le architetture non bersaglio. Specificamente Questo problema è un problema di Microsoft Runtime in Visual C++ Redistributable Package. Soluzione Applicare il distribuibile aggiornato disponibile all'indirizzo: https://support.microsoft.com/en-us/help/3138367/update-for-visual-c-2013-and-visual-c-redistributable-package |
|||
Issue: Impossibile installare MVISION EDR client con ENS 10.6.2/6.3 in Linux a causa di dipendenze non riuscite: Viene visualizzato l'errore: Soluzione Effettua l'upgrade a ENS 10.6.4 o versioni successive. |
||||
3.0.0.404 | Problema Le dashboard di monitoraggio o Ricerca cronologica potrebbero visualizzare informazioni errate sul dispositivo. Informazioni errate includono come i tag versione del sistema operativo, indirizzo MAC o ePO. | |||
Problema Il Includono e Escludere filtri nella Ricerca storica Dashboard, non filtrare gli avvisi e Rilevamenti |
||||
Problema La gerarchia nella struttura dei processi dal widget attività processo si interrompe. Causa Il processo padre non è presente. Di conseguenza, la visualizzazione sequenziale e cronologica nell'attività di processo non Mostra correttamente la struttura dei processi. Soluzione alternativa Selezionare un'altra istanza di rilevamento per la stessa minaccia dalla sezione dispositivo nel dashboard di monitoraggio. |
||||
Problema Quando si disattivano le opzioni di feedback telemetria, l'opzione feedback richiede l'accettazione della condivisione dei dati di telemetria. Se l'utente non lo accetta, il pulsante Invia nella sezione commenti non è attivato. Soluzione Attiva impostazioni di telemetria:
|
||||
Problema Vengono visualizzati avvisi duplicati. Quando viene rilevata un'iniezione di processo come una minaccia nel dashboard di monitoraggio, il processo di iniettore e il processo iniettato vengono mostrati come minacce potenziali. Così, possono essere percepiti come minacce duplicate. | ||||
Client 3.0.0.175 | Problema [Agent] Quando si disattiva o si attiva la plug-in di traccia, le tracce non vengono inviate al cloud fino a quando non si riavvia l'endpoint. Soluzione Se si attiva la plug-in di traccia su un endpoint tramite il MVISION EDR endpoint policy dopo che è stata disattivata in precedenza, è necessario riavviare l'endpoint per avere nuovamente i dati di traccia inviati. L'attività dell'endpoint non viene monitorata fino al completamento del riavvio. |
|||
Versione dell'estensione MVISION EDR 3.0.0.758 | Problema Impossibile aprire MVISION Homepage da on-Prem ePO. Il collegamento MVISION EDR Homepage dal menu McAfee ePO non funziona. Soluzione Per accedere alla pagina MVISION EDR, accedi all'URL https://ui.soc.mcafee.com. Soluzione: Risolto in MVISION EDR versione client 3.0.0.175. |
|||
Problema Dopo l'installazione, le impostazioni del server di estensione EDR visualizzano un Errore di timeout dell'host. Connessione SIEM nelle impostazioni di MVISION EDR disponibili nelle impostazioni del server in McAfee ePO Mostra connessione come: Soluzione Quando SIEM è configurato correttamente, questa impostazione cambia in Connessione riuscita come previsto. |
||||
Problema Il nome del dispositivo non viene visualizzato in Dispositivi interessati, Sessione dettagli minaccia in Monitoraggio dell'area di lavoro. Soluzione Seguire la procedura di distribuzione come descritto nella Guida all'installazione o nella procedura guidata dell'interfaccia utente. Se il client MVISION EDR viene distribuito negli endpoint prima il flusso di installazione dell'estensione viene completato, alcune informazioni sul dispositivo potrebbero non essere visualizzate. Le informazioni, ad esempio host nome o indirizzo IP, potrebbero non essere visualizzate nel riquadro dispositivo del dashboard di monitoraggio. Per risolvere il problema, riavviare il dispositivo non incluso nell'elenco. |
Torna all'inizio
Informazioni correlate
Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
- Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue:
English United StatesSpanish Spain
French
Italian
Portuguese Brasileiro