Begin december heeft Trellix een issue bekendgemaakt dat kan ontstaan na een upgrade naar Trellix Endpoint Security (ENS) versie 10.7.19. In bepaalde situaties blijkt ENS na deze update niet of slechts gedeeltelijk te functioneren.
We zien dat veel Trellix-klanten hier nog niet van op de hoogte zijn. Daarom willen we je informeren over wat er aan de hand is, hoe je kunt controleren of jouw omgeving geraakt is en hoe je dit kunt oplossen.
Wat is er aan de hand?
Na installatie of upgrade naar ENS 10.7.19 kan het voorkomen dat ENS op endpoints niet goed start. De software lijkt correct geïnstalleerd, maar in de praktijk kan het zijn dat:
beveiligingscomponenten niet goed starten
endpoints niet of onvolledig rapporteren naar ePO
de bescherming slechts gedeeltelijk actief is
De oorzaak ligt in een conflict met onderliggende Windows-componenten (Microsoft DLL-bestanden). Dit probleem is niet altijd zichtbaar via duidelijke foutmeldingen in ePO en kan daardoor onopgemerkt blijven.
Welke bestanden zijn beschikbaar?
Rondom deze update zijn twee bestanden beschikbaar gesteld door Trellix:
ENSW_DUP1075.zip
Dit is een algemene update/patch voor ENS.
ePO_Remediate_ENS_1.0.1.71.zip
Dit is een repair-tool waarmee je kunt controleren of endpoints geraakt zijn en het probleem kunt herstellen.
Voor het probleem rondom ENS 10.7.19 gebruik je met name de repair-tool ePO_Remediate_ENS_1.0.1.71.
Wat doet de repair-tool?
Dit tooltje, dat je via ePO kunt uitrollen, kan:
controleren of een endpoint last heeft van het ENS-probleem
het probleem automatisch herstellen
de status terugsturen naar ePO via een custom property
Hierdoor kun je per endpoint zien of er een probleem is vastgesteld en of de reparatie succesvol is uitgevoerd.De officiële Trellix-uitleg is te vinden via:https://thrive.trellix.com/s/article/000014988
Hoe controleer je of jouw omgeving geraakt is?
Download het bestand ePO_Remediate_ENS_1.0.1.71.zip.
Upload dit package in ePO via: Menu → Software → Master Repository
Maak een Product Deployment Task aan.
Gebruik bij de command line parameters: –test_and_send_prop=1
(Let op: maak je gebruik van Custom Property 1, vervang de 1 dan voor een Custom Property-nummer wat nog vrij is, zodat je je huidige waarde niet overschrijft)Schedule de taak en stuur daarna een Agent Wakeup Call.
Na de eerstvolgende agent-communicatie zie je per endpoint een status terug in ePO, bijvoorbeeld:
ENS_BAD-REPAIR_REQUIRED
Dit systeem heeft het probleem.
ENS_OK-ISSUE_NOT_FOUND
Dit systeem is niet geraakt.
Op basis hiervan kun je bepalen welke systemen aandacht nodig hebben.
Hoe voer je een repair uit?
Voor de systemen waarbij een probleem is vastgesteld:
Maak een nieuwe Product Deployment Task aan met hetzelfde repair-tool.
Gebruik nu als parameter: –fix_and_send_prop=2
(Let op: ook hier is het belangrijk om gebruik te maken van een beschikbare Custom Property, als 2 al in gebruik is)Richt de taak alleen op de getroffen systemen.
Schedule de taak en stuur opnieuw een Agent Wakeup Call.
Na afloop rapporteert elk endpoint de uitkomst terug naar ePO. Bij een succesvolle reparatie zie je onder andere:
ENS_OK-REPAIR_SUCCESS
Wat gebeurt er na de repair?
De foutieve Windows-componenten worden hersteld.
ENS-services starten weer correct.
Endpoints rapporteren weer normaal naar ePO.
Je krijgt inzicht in de status via custom properties en eventueel tags.
Blijft een endpoint na de repair problemen geven, dan is aanvullende actie nodig, zoals verdere analyse of een herinstallatie van ENS.
Trellix ondersteuning
Kom je er nog steeds niet uit? Neem dan contact op met onze Trellix Support-afdeling via support@mydigitals.nl of 085-018 5761. We helpen je graag stap voor stap verder.
En voor de FAQ
FAQ 1: Moet naar 10.7.19 upgraden of nog even wachten?
Antwoord: Trellix publiceert geen expliciete lijst met CVE’s of kwetsbaarheden die met ENS 10.7.19 worden verholpen. Wel geldt dat updates cumulatief zijn en Trellix adviseert om altijd de meest recente versie te gebruiken.
Ons advies is daarom:
Heb je nog niet geüpdatet naar ENS 10.7.19, dan adviseren wij dit wel te doen.
Voer na de upgrade altijd de controle- en repair-stappen uit zoals hierboven beschreven.
Op die manier zorg je ervoor dat ENS correct draait en endpoints daadwerkelijk beschermd zijn.
FAQ 2: Komt dit probleem vaak voor?
Antwoord: Bij onze Trellix klanten (Managed & Support) is dit probleem nog niet voorgekomen. Toch vinden we het belangrijk dat jullie op de hoogte zijn van deze issues om problemen die bij een niet of half werkende ENS te voorkomen.
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl