Issue:
Comment résoudre les problèmes de connectivité de Security Cloud.
Cet article s'applique aux produits suivants :
- Eléments EPP pour Ordinateurs
- Éléments EPP pour serveurs
- Sécurité des clients de la suite d'affaires
- Sécurité du serveur Business Suite
Resolution:
Qu'est-ce que Security Cloud ?
Lorsque Security Cloud est activé sur les produits de terminal WithSecure, il se connecte à WithSecure Backend pour vérifier la réputation et d'autres objets. Les produits terminal WithSecure ont des mises à jour de base de données qui peuvent détecter les programme malveillant sans connexion au cloud, mais pour vérifier la réputation, nous avons besoin d'une connexion au cloud. Il y a le cache local, mais il vient d'abord du cloud, où se fait la liste blanche des faux positifs.
Lorsque Security Cloud est activé sur les produits de terminal WithSecure, il se connecte à WithSecure Backend pour vérifier la réputation et d'autres objets. Les produits terminal WithSecure ont des mises à jour de base de données qui peuvent détecter les programme malveillant sans connexion au cloud, mais pour vérifier la réputation, nous avons besoin d'une connexion au cloud. Il y a le cache local, mais il vient d'abord du cloud, où se fait la liste blanche des faux positifs.
La désactivation de Security Cloud n'est pas recommandée car de nombreuses fonctionnalités dépendent de Security Cloud, telles que :
- DeepGuard avec connexion cloud :
Les processus non signés signalés comme approuvés par ORSP seront exclus de la surveillance approfondie par DeepGuard
- DeepGuard sans connexion cloud :
Grosses pertes de performances dans les opérations des applications tierces
Les fichiers non signés ne seront pas exclus
Les fichiers non signés ne seront pas exclus
- Contrôle des applications avec connexion cloud :
Les règles dépendant de la cote de prévalence et de la réputation fonctionneront bien
- Contrôle des applications sans connexion cloud :
Les fichiers non signés signalés comme approuvés par l'ORSP seront exclus de l'analyse par les moteurs locaux
Les règles dépendant de la prévalence et de la réputation ne fonctionneront pas
La fonctionnalité n'est partiellement pas opérationnelle
Les règles dépendant de la prévalence et de la réputation ne fonctionneront pas
La fonctionnalité n'est partiellement pas opérationnelle
- Numérisation de fichiers avec connexion cloud :
Les fichiers non signés signalés comme approuvés par l'ORSP seront exclus de l'analyse par le moteur local
- Analyse de fichiers sans connexion cloud :
Les fichiers non signés ne seront pas exclus
Certaines performances perdent sur l'accès aux fichiers
Certaines performances perdent sur l'accès aux fichiers
- Protection de la navigation avec connexion cloud :
Fonctionne sans restriction
- Protection de la navigation avec connexion cloud :
Ne fonctionnera pas du tout car les fonctionnalités dépendent entièrement de Security Cloud
La fonctionnalité n'est partiellement pas opérationnelle
La fonctionnalité n'est partiellement pas opérationnelle
- Analyse du trafic Web avec connexion cloud :
Pour les URL signalées comme fiables et répandues par l'ORSP, le contenu renvoyé par le serveur sera analysé
- Analyse du trafic Web sans connexion cloud :
WTS analyse toutes les réponses de toutes les URL interceptées, causant de gros problèmes de performances
Gros problèmes de performances sur la navigation Web
Gros problèmes de performances sur la navigation Web
Comment fonctionne le cloud WithSecure Security ?
Le Security Cloud collecte des informations sur les applications et les sites Web inconnus, les applications malveillantes et les activités malveillantes qui exploit les informations des utilisateurs des sites Web. Lorsque vous vous abonnez à Security Cloud, nous recueillons des informations importantes afin de pouvoir vous fournir les services de sécurité auxquels vous êtes abonné et d'améliorer la sécurité de nos autres services. Pour cette raison, et pour le fonctionnement de nos services, nous devons collecter des informations de sécurité sur les fichiers inconnus, les activités suspectes des appareils ou les URL visitées.
Security Cloud ne surveille pas votre utilisation d'Internet et ne collecte pas d'informations sur les sites Web qui ont déjà été analysés ou sur les applications dangereuses installées sur votre ordinateur.
Comment puis-je résoudre les problèmes de connectivité liés à Security cloud ?
Lorsque vous activez Security Cloud, vous devez également mettre en liste blanche les domaines suivants sur votre pare-feu, car les terminaux doivent communiquer avec Security Cloud.
- *.f-secure.com
- *.fsapi.com
Remarque : Les domaines mentionnés ci-dessus doivent être ajoutés à la liste blanche de votre pare-feu ou proxy. Si vous avez activé un proxy dans votre environnement, le client le lit via le service de découverte et tente de se connecter à *.fsapi.com via celui-ci.
Le client écrit ces informations dans le registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"valeur"=(REG_SZ):http://proxy.example.intern:3128
"accès"=(REG_DWORD):1
Le client écrit ces informations dans le registre :
[HKEY_LOCAL_MACHINE\SOFTWARE\F-Secure\Ultralight\Settings\proxy]
"valeur"=(REG_SZ):http://proxy.example.intern:3128
"accès"=(REG_DWORD):1
Exemple lorsque les requêtes réseau ne parviennent pas à se connecter au back-end F-Secure, à partir de fsscorplug.log, vous verrez comment le client tente de se connecter à l'un de nos serveurs back-end et échoue :
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C45E27C50 5 Impossible de résoudre le proxy : proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 111 (5) pour la tâche http 0000023C45E9AC20, durée 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 111
2021-11-12 17:40:31.751 [15c0.1d1c] I : fs :: xrssdk :: DoormanCache :: mise à jour : le temps de recharge du portier est désactivé, ttl : 15, fserr : 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C468C1D90 28 L'opération a expiré après 1006 millisecondes avec 0 octet reçu
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 201 (28) pour la tâche http 0000023C45E76790, temps 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 201
2021-11-12 17:48:02.964 [15c0.1fe8] I : ipc_impl :: stopRpcServer : serveur MSRPC arrêté
Le journal peut contenir fserr 101 ou 218 qui sont de véritables pannes de réseau.
Le journal affiche certains résultats du cache, car les requêtes sont stockées pendant 2 heures dans le cache, ce qui signifie que si vous venez d'autoriser nos domaines dans le pare-feu, le client utilisera toujours les requêtes de cache pendant encore 2 heures. Le nettoyage du cache permet d'obtenir des résultats plus rapides pour tester la connectivité. vous pouvez nettoyer le cache directement depuis le client comme suit :
2021-11-12 17:40:30.152 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C45E27C50 5 Impossible de résoudre le proxy : proxy.example.intern
2021-11-12 17:40:30.152 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 111 (5) pour la tâche http 0000023C45E9AC20, durée 4 ms
2021-11-12 17:40:30.152 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 111
2021-11-12 17:40:31.751 [15c0.1d1c] I : fs :: xrssdk :: DoormanCache :: mise à jour : le temps de recharge du portier est désactivé, ttl : 15, fserr : 0
2021-11-12 17:43:02.424 [15c0.1d1c] .W: CurlQuery::completeWithStatus : échec sur le handle 0000023C468C1D90 28 L'opération a expiré après 1006 millisecondes avec 0 octet reçu
2021-11-12 17:43:02.424 [15c0.1d1c] .W: fs :: xrssdk :: HTTPQueryTask :: update_http_stats : erreur http 201 (28) pour la tâche http 0000023C45E76790, temps 1006 ms
2021-11-12 17:43:02.424 [15c0.1d1c] .W : ipc_impl :: on_async_complete_ex : appel winrpc terminé erreur 201
2021-11-12 17:48:02.964 [15c0.1fe8] I : ipc_impl :: stopRpcServer : serveur MSRPC arrêté
Le journal peut contenir fserr 101 ou 218 qui sont de véritables pannes de réseau.
Le journal affiche certains résultats du cache, car les requêtes sont stockées pendant 2 heures dans le cache, ce qui signifie que si vous venez d'autoriser nos domaines dans le pare-feu, le client utilisera toujours les requêtes de cache pendant encore 2 heures. Le nettoyage du cache permet d'obtenir des résultats plus rapides pour tester la connectivité. vous pouvez nettoyer le cache directement depuis le client comme suit :
- Ouvrir une invite de commande avec des privilèges administrateur
- Arrêtez l'hébergeur du réseau : net stop fsulnethoster
- Supprimez tous les fichiers de "C:\Windows\ServiceProfiles\NetworkService\AppData\Local\F-Secure\fsscor"
- Démarrer l'hébergeur du réseau : net start "fsulnethoster
Si vous avez autorisé *.f-secure.com et *.fsapi.com dans votre pare-feu, vous pouvez tester la connexion de deux manières :
- Ouvrir les URL sur le navigateur et ils devraient répondre avec ok
https://baseguard.doorman.fsapi.com/doorman/v1/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
https://doorman.sc.fsapi.com/doorman/v1/healthcheck
https://a.karma.sc2.fsapi.com/healthcheck
- Utilisez F-Secure Connectivity Tool, disponible dans les dossiers d'installation d'Elements Endpoint Protection (EPP pour ordinateurs et EPP pour serveurs), Business Client Security et Business Suite Server Security. Avec l'outil, vous pouvez afficher la liste des adresses auxquelles le produit se connecte et vérifier la connectivité vers celles-ci.
L'outil se trouve dans le dossier suivant :
- Sécurité client : C:\Program Files (x86)\F-Secure\Client Security\ui\fsconnectionchecker.exe
- Sécurité du serveur : C:\Program Files (x86)\F-Secure\Server Security\ui\fsconnectionchecker.exe
- Éléments EPP pour les ordinateurs et EPP pour les serveurs : C:\Program Files (x86)\F-Secure\PSB\ui\fsconnectionchecker.exe
Quels journaux doivent être vérifiés en cas de comportement de ce type ?
fsscorplug.log
.W : fs::rs::WinSocket::Impl::waitForConnection : Échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect : Délai de connexion : doorman.sc.fsapi.com
CcfPluginState.log
.W: Filter2::ContentFilter2State::ReplyDriverMessage : Échec de la réponse au message 2222
orspplug.log
.W : fs::rs::WinSocket::Impl::waitForConnection : Échec de l'attente : 258
.W: fs::rs::WinSocket::Impl::connect : Délai de connexion : doorman.sc.fsapi.com
DeepGuard.log
.W : SecurityCloud::Query : Échec de l'ORSP pour 0dac68816ae7c09efc24d11c27c3274dfd147dee (0, 0)
.W: SecurityCloud::Query : Trop d'échecs ORSP successifs. D'autres journaux d'échec seront supprimés
.W : SecurityCloud ::Query : la requête ORSP a pris 3 016 ms
transportAgent.log (sécurité de la messagerie et du serveur uniquement)
.W : FSecure.Ess.Fsscore.Client : requête FSSCORE pour l'URL ('http://schemas.microsoft.com/office/2004/12/xxxx') Échec, erreur=Timeout
.W : FSecure.AntiVirus.Exchange.Transport.FSMessageScanner : impossible d'obtenir une réponse de FSSCORE. Les URL suivantes ne seront pas analysées
Article no: 000035235
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.