IBM Support

QRadar EDR (旧 ReaQta): --proxy パラメータを使用して Windows エージェントをインストール後に ISOLATION (隔離)の機能が正常に動作しない事象について

Troubleshooting


Problem

インストール時の文字列で --proxy パラメータを使用して Windows エージェントをインストール後、ダッシュボード上の Isolation (隔離)の機能が正常に動作しません。

Symptom

管理者がインストール時の文字列で --proxy パラメータを使用して Windows エージェントをインストール後、ダッシュボード上( Endpoints ページ)へ登録された該当エージェントの Endpoint details にある ISOLATE ボタンを押下した後に以下の事象が発生する場合があります。
 
  • ダッシュボード上で「 Endpoint unreachable 」のメッセージが表示されたままになる。
    image-20230511093422-2
  • ISOLATE ボタンをキャンセルすることができない。
    image-20230511094442-5
  • エンドポイントのステータスがオフラインになる場合がある。
  • 再起動を行っても事象が改善されない。
  • ReaQta の GUI インストーラー、およびコマンドラインのどちらを使用してエージェントのインストールを行っても事象が発生する。
  • 事象発生後、ダッシュボード上のハートビートが更新されず、エンドポイントのイベントも検知されない。
  • マシン上のファイアーウォール・ルール(インバウンド/アウトバウンド)に keeper.exe が存在しない。
  • ReaQta でサポートされている透過型のプロキシを使用しても事象が発生する。

Cause

 --proxy パラメータを使用してエージェントのインストールを行い、ISOLATE を実行すると、Isolation がプロキシへの接続をブロックして事象を引き起こす(隔離させる機能が正常に動作しない)可能性があります。

Environment

Windows

Resolving The Problem

次の手順は扱いに注意が必要な内容のため、管理者が ISOLATE ボタンを押下した後に該当のマシンを隔離することができず、その後マシンの接続を確立できない場合にのみ、以下のワークアラウンドを行うことを推奨します。
  1. 前述の「 Symptom 」に記載された事象が発生していること確認します。
  2. 事象が発生したマシンにログインします。
  3. マシン上の Windows ファイアーウォール・ルールから「 keeper.exe 」に関連するルールを削除します。
    ( keeper.exe が見つからない場合は、次の手順に進んでください。)
    image-20230511104630-1
  4. 以下のレジストリ・エントリのバックアップを行います。
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\SubLayer
    参考情報: Windowsでレジストリをバックアップおよび復元する方法
    注: バックアップは、操作を行う前に必ず行ってください。
    注2: 手順 5. 以降は、Isolation を適用できず、その後マシンに接続トラブルがある場合にのみ行う必要があります。
  5. 管理者権限で コマンドライン( cmd.exe )から以下のコマンドを実行します。
    NetSh.exe WFP Show State
    現在の作業ディレクトリに「 wfpstate.xml 」という名前のファイルが作成されます。
    image-20230511110021-1
    image-20230511110415-2
    このファイルには、ReaQta が作成した「 rqt 」で始まる WFP ルールが含まれています。
    例: <filterKey>{a8531896-1b7b-4f62-af51-dbf865c00b41}</filterKey>
    image-20230516103219-4
  6. 以下のフォルダーから「 rqt 」に関するフィルター・キー ID をすべて削除します。
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE\Parameters\Policy\Persistent\Filter
    注: 以下のフィルター・キーは、rqt に関連する一部の例です。rqt に関連するキーはすべて削除する必要があります。image-20230516110357-1
  7. すべての rqt エントリを削除後、マシンを再起動します。
    image-20230511114237-2
  8. 管理者はダッシュボード上( Endpoints ページ -> 該当のエンドポイントを選択 -> Endpoint details )で以下の状態を確認し、マシンの接続が正常に行われていることを確認してください。
     ・ISOLATE ボタンが正常に戻っているか?( Endpoint unreachable が表示されないことを確認する。)
    image-20230511114527-3
     ・エンドポイントがオンラインになっているか?
    image-20230511115458-1
     ・Hive サーバーがエンドポイントのイベントを取得しているか?
    image-20230511115727-2
     ・ハートビートが正常に動作しているか? (「 Last Heartbeat 」に「 Session ended 」の 5 分前の時刻が表示されているか確認する。)
    image-20230511115906-3
現時点で、IBM 開発チームはこの問題に取り組んでおり、将来のリリースで改善する予定です。この問題の詳細についてはこちらをご確認ください。

Document Location

Worldwide

本文書は、米国 IBM 社の資料を翻訳した参考文書です。翻訳元の文書は、Related Information の翻訳元 (英語) リンクよりご参照ください。

[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSVOEH","label":"IBM Security ReaQta"},"ARM Category":[{"code":"a8m3p000000hBSPAA2","label":"Administrative Tasks-\u003EUsers"}],"ARM Case Number":"","Platform":[{"code":"PF033","label":"Windows"}],"Version":"All Versions"}]

Document Information

Modified date:
23 May 2023

UID

ibm16994635

Page Feedback