POCのトラブルシューティング

POC中のトラブルシューティングには、以下のツールを使用してください。

診断のプッシュ操作の実行

脅威対策ブレードによるCPUとRAMの使用状況のトラブルシューティングには、Run Diagnostics Push Operationを使用します。システムで、対話型レポートを確認した後、自動化されたプロセス除外リストが生成されます。詳細については、『Harmony Endpoint EPMaaS Administration Guide』のShow Last Diagnostics Reportセクションを参照してください。

A screenshot of a computer AI-generated content may be incorrect.

注意 - svchost.exe、powershell.exeなど、推奨される除外項目をすべて追加するのは安全ではありません。サポートが必要な場合は、Check Point TAC、エンジニア、および Harmony Endpointアーキテクトにご相談ください。

Behavioral Guard Low Memoryモード

低スペックマシンのRAM消費を抑えるには、詳細ポリシー設定でBG(Behavioral Guard)Low memory modeを有効にします。低メモリ モードは、最近マッチしたシグネチャのみを保持することで、メモリ使用量を大幅に軽減します。捕捉率は若干低下しますが、有効的なレベルを維持します。

機能の無効化

トラブルシューティングのために、以下の手順でクライアントUIから選択したクライアントブレード(データ保護ブレードを除く)を一時的に無効にできます:

  1. Client Settingsポリシー > Generalにアクセスして、無効にするブレードを選択して、パスワードを設定します。

  2. Endpoint Securityクライアントで、Overview >Edit Capabilitiesに進みます。

  3. パスワードを入力し、無効にするブレードを選択します。

アンインストール機能

トラブルシューティングのために、Software Deploymentポリシーを使用して、クライアントから選択したセキュリティブレードを一時的にアンインストールできます。

注意 - クライアントのバージョンと機能を同時に変更しないでください。

CPinfo

サポートチケットやTACの調査が必要なクライアントの問題については、Harmony Endpoint Securityクライアントのログを収集します。

Harmony Endpointクライアントのログを収集するには:

  1. いずれかの方法を実行します。

    1. クライアントマシンからCPinfoを収集する。sk90445を参照。

    2. 関連ログファイルを手動で収集する。C:\ProgramData\CheckPoint\Logs\

      • 接続性、デプロイメント、アップグレードの問題についての参照先:cpda.log

      • ファイルサンドボックス、ブラウザ拡張機能(Threat EmulationとThreat Extraction、ゼロフィッシング)、エクスプロイト対策、静的解析MLの問題については、TELog.logを参照。

  1. TACのサービスリクエストを開く:

    https://help.checkpoint.com/s/create-new-sr

  1. ローカルのCheck Point SEまたはHarmony Endpoint Architectにエスカレーション。

ブラウザ拡張機能のトラブルシューティング

ブラウザ拡張機能の問題については、以下を確認してください:

  1. すべてのブラウザプロセスを終了し、ブラウザを再起動することにより、ポリシーを強制的に更新します。

    - デフォルトでは、ブラウザのプロセスがバックグラウンドで実行されている可能性があります。

    手動でブラウザポリシーを更新することも可能です。

    chrome://policy/
    edge://policy/
    brave://policy/

  1. 以下のフローで、現在のポリシーバージョンがクライアントに適合していることを確認します。

    1. Harmony Endpoint Administrator Portalで、Web and Files Protection >versions >Threat Emulation に進みます。

    2. Endpoint Securityクライアントで、Advanced >View Policiesに移動します。

  2. ブラウザで、te_cloud_api_keyが有効で、適切なライセンスキーがあることを確認します:

    chrome://policy/

    edge://policy/

    brave://policy/

クライアントのトラブルシューティング ログ

問題のトラブルシューティングには、以下のログの場所を使用します。

問題

ログファイル

コメント

ブラウザ拡張機能エラー

ブラウザ拡張機能のログファイルを収集するには、拡張機能UIからCollect Logs

収集されたログファイルは、Downloadsフォルダに保存される:
harmony_web_protection_logs.txt

Harmony EndpointのUIエラー、デプロイメントエラー

Harmony Endpointクライアントのログ(CPinfo)

Endpoint Securityクライアントからのログ収集:

Advanced >Collect にアクセス。

クラッシュ / ダンプファイル

C:\Windows\Internet Logs\CP_EFR Crash*

 

デプロイメントに関する問題

C:\Program Files (x86)\CheckPoint\Endpoint Security Agent\Endpoint Common\Logs\cpda.log(または%DADIR%\Logs)

 

誤検知/偽陰性

以下の手順を使用します:

  1. CPinfoを収集する。

  2. フォレンジックデータベースを収集する:

    1. Startキーを押す。

    2. CMDと入力し、プログラムを右クリックして Run As Administratorを選択する。

    3. 次を実行する:

      C:\Program Files (x86)\CheckPoint\Endpoint Security\EFR\cpefrcli.exe" -b C:\ProgramData\CheckPoint\DBStore\backup\database.db

      ファイルの場所:

      \ProgramData\CheckPoint\DBStore\backup\

  3. 関連するフォレンジックレポートフォルダを収集:

    C:\ProgramData\CheckPoint\DBStore\Events\<Event ID>

誤検知/偽陰性の後15分間待ってから、EFR.dbをコピーする。ファイルを圧縮してZIPファイルを作成する。