Taegis Endpoint Agent 既知の問題🔗
Windows🔗
重要
Deep Process Inspection に関する問題が発生している場合、トラブルシューティングの一環として、サードパーティ製セキュリティ製品をアンインストールし、問題の切り分けやログの収集を行い、根本原因の特定に役立ててください。これは一時的な対応であり、問題の切り分けを行い、チームが修正策を特定できるようにするためのものです。
互換性の問題は、複数のセキュリティ製品が同じポイントでオペレーティングシステムにフックし、動作の競合を引き起こすことが原因である場合が多いです。Secureworksは、サードパーティベンダーやその他の関係者と連携し、競合の特定と解決を行う必要がある場合があります。
AMSIおよびコード整合性に関する警告メッセージ🔗
Taegis Endpoint Agent Antimalware Scan Interface (AMSI) プロバイダーDLLは、OSによって外部スクリプトの評価/スキャンが必要なプロセスにロードされます。これらのプロセスの一部は、Microsoft DLLのみのロードを許可するCode Integrity (CI) によって制限されている場合があります。Taegis Endpoint Agent AMSIプロバイダーDLLはMicrosoftによって開発・署名されていないため、カーネルによってこれらのプロセスへのロードがブロックされます。このような場合、外部から確認可能なETWや監査イベントが生成されることがあります。これは、CIで制限されたプロセスがAMSI DLLと連携する際の想定された動作です。
この競合が発生した場合、テレメトリーの損失は最小限にとどまります。
バージョン1.2.xおよび2.x.xの互換性の問題🔗
Windows Taegis Endpoint Agent バージョン1.2.x以降では、より多くのインストルメンテーションが導入されており、特にセキュリティ製品との競合が発生する可能性が高くなっています。以下のセクションでは、互換性に関する透明性を高めるための情報を提供します。
テスト済み互換製品🔗
当社が直接テストし、動作を確認した製品:
- Bitdefender
- Windows Defender
- CrowdStrike
- FortiClient(エージェントバージョン2.1.xでテスト済み)
テレメトリーによる互換性の証拠🔗
Secureworks® バックエンドの Secureworks® Taegis™ XDR テレメトリーに基づき、問題なく動作していることが確認できている製品:
- Qualys Agent
- Sophos File Scanner
- Sophos Network Threat Protection
- zScaler
- Lansweeper
- Confer (Carbon Black Defense)
- Checkpoint Endpoint Security
- SentinelOne
既知の非互換製品🔗
互換性の問題が確認されている製品:
- ControlUp
- Forcepoint Websense
- Palo Alto Cortex XDR
- 一部の構成でWindows Defenderが有効なコンピュータ上で動作する64ビットFirefox(エージェントバージョン2.1.2で修正済み)
注意
Deep Process Inspectionを無効にすることで、BSODやマシンの動作不能につながる相互運用性の問題のトラブルシューティングが可能になる場合があります。詳細はAgent Group PoliciesのDeep Process Inspectionをご参照ください。
競合の可能性が高い製品🔗
現場からの報告に基づき、問題が発生する可能性が高いと考えられる製品:
- CylancePROTECT
旧バージョンの既知の問題🔗
旧バージョンの既知の問題を表示
バージョン2.0.8 コードインジェクションの問題🔗
Windows Server 2016でDeep Process Inspectionが有効な場合、再起動後に hook already exists エラーでコードインジェクションが失敗する可能性があります。これはバージョン2.0.10で修正されています。
バージョン2.0.4 リモートアンインストールの問題🔗
Taegis™ XDR Endpoint Agent バージョン2.0.4のリモートアンインストールが一貫して動作しません。これはバージョン2.1.2で修正されています。
バージョン1.2.84および2.0.x テレメトリー量の増加🔗
Windows Taegis Endpoint Agent バージョン1.2.84および2.0.xは、Windowsマシンの構成によっては、1.0.xエージェントシリーズよりも多くのテレメトリーを生成する場合があります。
バージョン1.2.84 断続的な接続性の問題🔗
バージョン1.2.84で、パッチKB5035854、KB5035853、KB5035853、KB5035845を適用している場合、断続的なネットワーク接続の問題が発生することがあります。これは後続バージョンで修正されています。
バージョン1.2.82 プロキシ設定時の通信失敗🔗
Windows Taegis Endpoint Agent バージョン1.2.82では、設定されたプロキシ経由での通信が失敗した場合のフォールバックがありません。これは後続バージョンで修正されています。
バージョン1.2.44 ファイルコピーのパフォーマンス低下🔗
Windows Taegis Endpoint Agent バージョン1.2.44では、エージェントがインストールされたホストからのファイルコピーでパフォーマンスが低下する場合があります。これはバージョン1.2.84以降で修正されています。
バージョン1.0.24 Windowsセキュリティアップデートによる接続性の問題🔗
Microsoftは、2022年10月のWindowsセキュリティアップデートによってクライアントおよびサーバープラットフォームでSSL/TLSハンドシェイクの失敗を引き起こす問題に対処するため、非セキュリティの臨時(OOB)アップデートをリリースしました。
Windowsからの情報: 「一部の種類のSecure Sockets Layer (SSL) およびTransport Layer Security (TLS) 接続に影響する可能性のある問題を修正しました。これらの接続ではハンドシェイクの失敗が発生する場合があります。開発者向けには、影響を受ける接続は、1つの入力バッファ内で複数のフレームの後に5バイト未満の部分フレームを送信する可能性があります。接続が失敗した場合、アプリは SEC_E_ILLEGAL_MESSAGE エラーを受け取ります。」
この問題は以下のリリースで確認されており、Windowsは以下のOOBアップデートを推奨しています。
| リリース | 臨時アップデート | リンク |
|---|---|---|
| Windows 10 | KB5020435 | Microsoft Update Catalog |
| Windows 11 | KB5020387 | Microsoft Update Catalog |
| Server 2016 | KB5020439 | Microsoft Update Catalog |
| Server 2019 | KB5020438 | Microsoft Update Catalog |
| Server 2022 | KB5020436 | Microsoft Update Catalog |
接続性やその他の問題が発生している場合は、チャットまたはサポートチケットを通じて製品サポートチームまでご連絡ください。
バージョン1.0.24 Veeam Backup and Recovery、サーバー、DC環境での既知の競合🔗
Windows用Taegis Endpoint Agent バージョン1.0.24以前をVeeamバックアップを利用するWindows Server上で実行すると、ジョブ数によってはパフォーマンス低下、システムクラッシュ、再起動が発生する場合があります。この問題は、Taegis Endpoint Agent バージョン1.0.26をインストールし、以下の手順でServer Tierグループポリシーを割り当てることで、ほとんどの環境で解決されています。
- 新規インストールまたは再インストールの場合、必要に応じてServer Tierを割り当てた新しいグループを作成し、ポリシーを割り当て、インストール時にグループ登録キーを使用してください。
- すでにエージェントがインストールされている場合、必要に応じてServer Tierを割り当てた新しいグループを作成し、ポリシーを割り当て、エージェントをそのグループに再割り当てしてください。
Windows Server上でVeeam Backup and Recoveryとともに旧バージョンのTaegis Endpoint Agentを実行することは推奨しません。
macOS🔗
旧バージョンの既知の問題🔗
旧バージョンの既知の問題を表示
1.4.9🔗
- トレイおよびアプリは
/Library/Logs/への書き込みを行わなくなりました。unified loggerを使用してご確認ください。これは軽微な問題であり、診断のためにこれらのログを参照する必要はほとんどありません。 - トラブルシュート診断で、設定が標準プロファイルに含まれていない場合、MDM構成に関するエラーが表示されることがあります。
Linux🔗
旧バージョンの既知の問題🔗
旧バージョンの既知の問題を表示
1.3.9🔗
- エージェントバージョン1.3.9とUbuntu 24.04の既知の互換性問題:BPFまたはカーネルモジュールのいずれもロードされません。これは1.4.2で修正されています。
- カーネル6.8を実行しているディストリビューションでは、eBPFまたはカーネルモジュールがロードされない可能性が高いです。これは後続バージョンで修正されています。
1.0.x🔗
- CentOSおよびRHEL 7向けLinuxエージェントバージョン<1.1ではSecure Bootをサポートしていません。バージョン1.1.x以降では、Secure Boot有効なRHELおよびCentOS OSをサポートしています。
一般的な既知の問題🔗
- 以下のRHELカーネルについてはCVE対応ができません。RHELはこれらのカーネルをパッケージ配布から除外したため、ドライバをコンパイルするためのカーネルソースを取得できません。これらのカーネルをご利用の場合は、できるだけ早くアップデートすることを推奨します。
| RHELカーネル | CVEリンク | 備考 |
|---|---|---|
| RHEL8, kernel: 4.18.0-305.76.1.el8_4.x86_64 | https://access.redhat.com/errata/RHSA-2023:0531 | rtカーネルを参照していますが、このバージョンのすべてのカーネルに影響があると考えています |
| RHEL8, kernel: 4.18.0-193.98.1.el8_2.x86_64 | https://access.redhat.com/errata/RHSA-2023:0395 | |
| RHEL9, kernel: 5.14.0-70.43.1.el9_0.x86_64 | https://access.redhat.com/errata/RHSA-2023:0526 | rtカーネルを参照していますが、このバージョンのすべてのカーネルに影響があると考えています |