McAfee – Trellix. Оновлення сертифікатів [UA]

Інформація для замовників/користувачів Trellix (McAfee).

Останнім часом  почастішали випадки звернень із помилками розгортання/оновлення продуктів.
Це пов’язано із заміною (оновленням) сертифікатів McAfee та Musaruba.

Більше подробиць про зміни внаслідок ребрендингу дивіться у KB95499 (REGISTERED – Trellix Solutions Rebranding)

А я хочу поділитися з вами шпаргалкою по усуненню проблем з оновленнями рішень Trellix

1. Якщо ви керуєте захистом через хмарний MVISION ePO
Заміна сертифікатів Agent через оновлення пакету MsgBusCertUpdater вже відбулася автоматично.
Можливо додатково знадобиться оновити кореневі сертифікати на окремих Windows системах див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

 

2. Якщо ви керуєте захистом через класичний (наземний) еРО
В першу чергу необхідно розгорнути оновлення пакету Agent MsgBus cert updater 5.7.7.435 див. KB95958
Можливо додатково знадобиться оновити кореневі сертифікати на окремих Windows системах див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

 

3. Якщо у вас проблеми з розгортанням/оновленням некерованих (unmanage/standalone) систем

  • Для Windows

Зупинити служби агенту, зробити бекап каталогу \ProgramData\McAfee\Agent\certstore, скопіювати сертифікати з пакету Agent MsgBus cert updater 5.7.7.435 у каталог \ProgramData\McAfee\Agent\certstore , запустити служби агенту
Можливо знадобиться оновити кореневі сертифікати на окремих ОС див. KB87096 та KB91697
Якщо і після цього будуть помилки з оновленням AmCore – спробуйте оновлення MS Visual C++ Runtime 2015 див. KB95756

  • Для NIX/macOS

Зупинити службу агенту, зробити бекап каталогу /var/McAfee/agent/certstore, скопіювати сертифікати з пакету Agent MsgBus cert updater 5.7.7.435 у каталог /var/McAfee/agent/certstore , запустити службу агенту див. допис у Trellix Community

 

– – – – – – – – – – – – – – – – – – //   Бонусний контент:

Приклад виправлення проблеми з оновленням  Trellix ENS  for Linux на unmanaged/standalone системі:

Отже вчора мені потрібно було розгорнути ENSL на одній із тестових систем. Звучить просто.

  • Перевірив чи підтримується обраний дистрибутив та версія ядра KB87073
  • Завантажив актуальні (крайні) версії TA 5.7.7 and ENSL 10.7.12-495
  • Встановив спершу ТА, потім ENSL

  • Перевірив версію DAT, отримав 999 (стокова, детектить тільки eicar)

  • Поліз в логи ENSL щоб побачити помилку 508

  • Поліз в логи Agent, побачив проблеми з сертифікатами MsgBus

  • Перезапустив служби mfetpd (ENSL) та cma (Agent), спробував оновити DAT вручну #./mfetpcli –runtask –index 3

  • Перезавантажив систему, заварив чайку, люки, зарився в документацію KB95924, KB94895, KB91697, KB95756, KB87096, KB95958 – чіткого рішення не виявив
  • Видалив ENSL та Agent, перезавантажив систему, встановив усе заново, спробував оновитись – знов отримав ту ж помилку
  • Завантажив пакет Agent MsgBus cert updater 5.7.7.435, розпакував #unzip MsgBusCertsUpdater.zip -d ./certs
  • Зупинив служби ENSL та Agent #sudo service mfetpd stop && sudo service cma stop
  • Вирішив спробувати замінити сертифікати Trellix Agent вручну #sudo cp ./certs *.cer /var/McAfee/agent/certstore 

  • Запустив служби Agent та ENSL  #sudo service cma start && sudo service mfetpd start
  • Знов ініціював вбудовану задачу оновлення DAT #./mfetpcli –runtask –index 3 , цього разу успішно

  • Перевірив стан MsgBus  – стабільно, помилок по сертифікатам нема

  •  Отримав оновлений робочий ENSL

  • Перевірив роботу OAS

// – – – – – – – – – – – – – – – – – –   кінець бонусного контенту

Сподіваюся, це полегшить ваше життя з Trellix.

Будьте здорові, уважні та обережні.
Вірте в ЗСУ.

Слава Україні.

#OptiData #InformationSecurity #Security
#Інформаційнабезпека #безпека
#Trellix #McAfee #ePO #Agent #MsgBus

VR

Advertisement

Tags: , , , , , , , , , ,

About Vlad

My name is Vlad. From 2016 I am Technical Lead of OptiData team. I do implementation and support of Trellix (McAfee) solutions. I like dynamic malware analysis. Also I make education courses for our customers. pastebin.com/u/VRad slideshare.net/Glok17 VR

Trackbacks / Pingbacks

  1. Week 46 – 2022 – This Week In 4n6 - 13/11/2022

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: