In dit blog help ik jullie met een hardnekkig probleem wat sinds April afgelopen jaar de kop op kan steken bij het updaten van Trellix. We behandelen hoe je kunt uitzoeken op welke systemen de update niet goed is gegaan, wat de oorzaak kan zijn, en hoe je het vervolgens oplost.
Het probleem ontstaat bij de updates vanaf 10.7.x (April 2023). Het kan gebeuren dat het ENS platform wordt geüpdatete, maar dat daarbij de module Threat Prevention niet meegenomen wordt. Dan heb je dus ineens twee versies die niet op elkaar aansluiten. Bij MyDigitals noemen we deze mismatch in versienummers het “scheeflopen van de update”. Gevolg van het probleem is dat je systeem niet of nauwelijks beschermd is. En dat wil je natuurlijk niet. Dit gebeurt overigens niet altijd. Het is dus eerst belangrijk om uit te zoeken of, en zo ja op welke machines, de update niet goed is verlopen. Dat doe je zo:
Stap 1. De “scheeflopers” vinden
Om uit te vinden op hoeveel, en welke apparaten de update niet goed is verlopen, kun je een query maken:
1. Ga naar Queries & Reports en maak een nieuwe Query aan
2. Kies voor de optie “Systems” onder “System Management”. Als het goed is, staat deze standaard geselecteerd.
3. Kies voor de Boolean Pie Chart vorm. Daarmee kun je namelijk de juiste criteria aan de query verbinden
4. Configureer de criteria als volgt:
a. “equals or greater than” de huidige ENS productversie
b. “equals or greater than” de huidige productversie van Threat Prevention
5. Kies in de volgende stap extra kolommen die je aan de tabel wilt toevoegen:
a. Product Version ENS
b. Product Version Threat Prevention
c. Reboot pending?
6. In de volgende stap pas je een filter toe. Je kunt er hierbij voor kiezen of je voor alles, alleen servers of alleen workstations de resultaten wilt zien.
7. (Optioneel) Sla de query op voor het geval je ‘m nog een keer nodig hebt
8. Run de query
Je ziet nu een taartdiagram met een rood en een groen gedeelte. Het rode gedeelte geeft aan op hoeveel apparaten de versies niet met elkaar kloppen, en de update dus scheef is gelopen. Als je op dit onderdeel van het diagram klikt, krijg je deze apparaten in de tabelvorm te zien. Dan kunnen we nu door naar de volgende stap: de oorzaak bepalen. Dat kunnen er twee zijn.
Stap 2. De oorzaak bepalen
Met de tabel uit stap 1 kun je verder uitzoeken waar het mis is gegaan. Als eerst wil je de kolom “Reboot Pending” checken. Staat deze voor een specifiek apparaat op True, dan is er een goede kans dat dit de oplossing van het probleem is. Reboot het apparaat en kijk of zowel ENS als Threat Prevention nu worden geüpdatete naar de nieuwste versie. Was dit het geval? Dan ben je nu klaar.
Staat “Reboot Pending” op False en heb je nog steeds te maken met verschillende versies? Dan ligt de oorzaak in het ontbreken van de juiste Azure Code Sign patches. Sinds de update van April 2023, vereist Trellix deze patches. En terwijl we dit gaan oplossen, wil je natuurlijk wel dat je apparaat beveiligd blijft. Met de onderstaande stappen zet je Trellix op een juiste manier terug naar de vorige versie, en zorg je dat de Azure Code Sign patches zijn geïnstalleerd.
1. Gebruik een tag met de Assign Client Task, om de systemen waar je aan gaat werken uit te sluiten van het normale update-proces voor de nieuwste versies.
2. Check of het apparaat wél wordt meegenomen in het update-proces wat de voorgaande versie installeert. Voor de oplossing, moeten we de vorige versie namelijk helemaal schoon installeren.
3. Download de Trellix Endpoint Removal Tool van de Trellix product downloadpagina en check deze in, in je Repository
4. Maak vervolgens een nieuwe deployment task aan via de “Client Task Catalog” met de volgende eigenschappen:
a. Een duidelijke, herkenbare naam voor jezelf
b. Selecteer de Removel Tool uit de productlijst
c. In het Command Line veld zet je: --accepteula --ENS –NOREBOOT
5. Wijs de taak in de System Tree toe. Je kunt kiezen voor de “Run Immediately”- of de “Daily”-variant.
6. Maak nu een nieuwe Client Task Assignment met de bijbehorende tag uit stap 1. Zo weet je zeker dat je deze nieuwe taak alleen gaat uitvoeren op de juiste systemen, èn dat de installatie uit stap 2 ook alleen op deze apparaten wordt uitgevoerd.
7. Run de task. Dit deïnstalleert ENS maar niet de gehele Trellix Agent (die hebben we nog nodig).
8. Download en installeer de meest recente Azure Code Sign patches.
9. Reboot het apparaat om de deïnstallatie van ENS, èn de installatie van de Azure Code Sign patches goed af te ronden.
Nu wordt, door de taak uit stap 2, de vorige versie van ENS geïnstalleerd. Het systeem is dan in ieder geval weer beveiligd.
Stap 3. Updaten naar nieuwe versie
Vanuit deze situatie kun je verder met het updateproces naar de nieuwste versie. Daarvoor zijn nog een paar stappen nodig:
1. Controleer of de Azure Code Sign patches goed geïnstalleerd zijn en verifieer alle versienummers.
2. Verwijder de tags en tasks die je hierboven in stap 2 aan het apparaat hebt toegewezen.
3. Het apparaat wordt nu weer meegenomen in het reguliere update-proces.
Zo. Dat waren een heel aantal stappen, maar dit is de meest betrouwbare manier om zeker te weten dat je Trellix ENS èn Threat Prevention modules helemaal bijgewerkt zijn en de volledige, 100% bescherming bieden.
Wil je als eerste meer ins & outs over het beheer van Trellix? Schrijf je dan in voor mijn Trellix-nieuwsbrief op LinkedIn.
En loop je ergens tegenaan bij het updaten en beheren van je Trellix-omgeving? Stuur ons een mailtje of bel ons en we helpen je verder. Ook als je (nog) niet met ons samenwerkt.
Meer weten?
Max van der Veer helpt je graag verder. Je kunt hem bereiken op: max@mydigitals.nl