Endpoint non visibili sulla console Oneview in Threatdown

Endpoint non visibili sulla console Oneview in Threatdown

Se un endpoint non compare nella sezione dedicata della console OneView, la causa può essere una delle seguenti:

  1. l’installazione non è riuscita e l’Endpoint Agent non si è avviato correttamente;
  2. l’endpoint è stato eliminato, in questo caso è necessario esaminare il registro eventi;
  3. la comunicazione dell’Endpoint Agent è bloccata;
  4. l’Endpoint Agent è stato avviato e sta comunicando, ma la registrazione non è riuscita;
  5. l’endpoint ha interrotto la comunicazione ed è stato rimosso dalla console a causa di impostazioni di policy endpoint inattive.

Verifiche da effettuare

Per garantire la comunicazione con la console Oneview, è necessario modificare il firewall. Consulta: Requisiti di accesso alla rete e impostazioni del firewall per Nebula.

Per Windows, testa la connessione tramite lo strumento da riga di comando; su Linux, testa la connessione utilizzando questi Comandi Linux.

Casi

  1. Se gli endpoint Windows richiedono certificati per connettersi alla console Oneview, controlla e aggiorna i certificati.
  2. Se gli endpoint Windows non si sincronizzano automaticamente con la console Oneview, posizionarsi all’interno della cartella ed eseguire il comando per la sincronizzazione:
    cd C:\Program Files\Malwarebytes Endpoint Agent\UserAgent
    EACmd.exe –syncnow
  3. Gli endpoint macOS devono utilizzare un file .pkg non modificato per l’installazione e la connessione: verifica che il file di installazione non sia stato rinominato.
  4. Sugli endpoint è presente un altro antivirus che blocca l’avvio dei servizi di ThreatDown: verificare che i seguenti servizi risultino attivi:
    1. Malwarebytes Endpoint Agent Monitor
    2. Malwarebytes Services
    3. Threatdown Endpoint Agent oppure Malwarebytes Endpoint Agent
  5. A volte, il servizio MBEndpointAgent potrebbe non avviarsi all’avvio del computer: verifica che le seguenti impostazioni siano attive:

Questa impostazione presente nella policy sezione Endpoint Agent concede più tempo per l’avvio dei servizi, evitando così i timeout dei servizi (quindi potresti concedere tempo aggiuntivo per l’avvio del servizio).

Questa impostazione presente nella policy sezione Endpoint Agent aggiunge un nuovo servizio Endpoint Agent Monitor (EAServiceMonitor.exe) che monitora e riavvia il servizio Endpoint Agent (MBCloudEA.exe) se va offline o viene arrestato.

Impostare correttamente i criteri di gruppo:

  1. Scaricare StartMB.zip ed estrarre il file in StartMB.bat (lo script via GPO assicura che l’agent venga lanciato anche in ambienti dove altri metodi potrebbero fallire)
  2. Aprire l’Editor Criteri di gruppo locali come amministratore.
    1. Digita gpedit.msc nella barra di ricerca su Windows e fai clic con il pulsante destro del mouse → Esegui come amministratore
  3. Espandi “Configurazione Computer”, successivamente “Impostazioni di Windows”
  4. Nella sezione “Scripts” troverai gli script (Avvio/Arresto)
  5. Fare doppio clic su avvio
  6. Nelle “Proprietà” di avvio, nella scheda Script, fare clic su “Aggiungi
    1. Seleziona “Sfoglia” e trova lo script StartMB.bat
    2. Premi OK
    3. clic su “Applica”nella finestra Proprietà di avvio
    4. Premi OK per uscire
  7. Esci dall’editor dei criteri di gruppo

Da questo momento, al riavvio, il servizio Endpoint Agent si avvierà senza problemi.