ECC クライアント登録時の Enrollment Statistics で、SEP クライアントが "Authentication Pending" で止まってしまう
search cancel

ECC クライアント登録時の Enrollment Statistics で、SEP クライアントが "Authentication Pending" で止まってしまう

book

Article ID: 236805

calendar_today

Updated On:

Products

Endpoint Detection and Response Endpoint Protection

Issue/Introduction

Symantec EDR (Endpoint Detection and Response) アプライアンスコンソールで 1 つまたは複数の Symantec Endpoint Protection Manager (SEPM) への SEPM Controller 接続を作成した後、すべてまたは一部の SEP クライアントの登録統計が "Authentication Pending" (認証待ち) になることがある。場合によってはクライアントは登録されているように見えるが、エンドポイントアクティビティレコーダーイベントを Symantec EDR またはログデータベース (Splunk、QRADAR、または ICDx など) に送信していないように見えることがある。

Cause

以下のいずれかが原因で SEPクライアントが Authentication Pending (認証待ち) の状態のままになっています。

  • EDR 証明書のホスト名/IP と SEPM Controller for SEP Policies で設定されたホスト名/IP の間に不一致がある。
  • SEPM server.crt 証明書が FQDN (Fully Qualified Domain Name) で作成されている場合、EDR アプライアンスコンソールの SEPM Controller の接続名が一致する必要があります。SEPM server.crt 証明書が IP アドレスで作成されている場合は、EDR アプライアンスコンソールの SEPM Controller 接続の名前も一致する必要がある。
  • SEPM が SEP 外部通信ポリシーと EDR 証明書を SEP クライアントにプッシュすることに失敗している。
  • SEP クライアントからの通信が EDR に到達する前に、介在するネットワークデバイス (HTTPS プロキシサーバーなど) を通過する。それらのデバイスの 1 つ以上が通信を妨害している。
  • 複数の EDR アプライアンスが、SEPM Group Inclusiong リストで同じ SEPM および SEP グループを使用するように構成されている。
  • 同じ SEP グループが複数の SEPM にまたがって構成され、その SEP グループを異なる方法で処理するように構成されている。
  • EDR は FIPS モードの有効化をサポートしていない。FIPS モードを有効にすると、SEP クライアントがインストールされている Windows エンドポイントで利用可能な暗号に多くの変更が生じる。 利用可能な暗号に対する他の極端でない変更が SSL/TLS ハンドシェイク中に Symantec EDR が使用するすべての暗号を使い果たす結果になることがある。
  • EDR Virtual Edition が SEP クライアントから 1 秒あたり 400 を超えるイベントを受信する。
  • EDR 4.6.0 では SSL を確保するため、証明書に有効な サブジェクト代替名 が含まれていることが必要です。
  • EDR の SEPM Group Inclusion に SEPM エンドポイントグループが定義されていない。
  • エンドポイントが所属するグループが登録用に設定されていない場合、エンドポイントは認証されません。 
  • グループのデフォルトの場所の外部通信設定がローカルに設定されている。

Resolution

  1. エンドポイントの SEPM グループが SEPM Group Inclusion に含まれていることを確認します。
    1. SEPM Group Inclusion でグループが具体的に定義されているかどうかを確認します。
    2. SEPM Group Inclusion で "Include inherited sub-groups automatically" オプションが有効になっているかどうかを確認します。
      • エンドポイントの SEPM グループが、デフォルトの「My Company」グループからポリシーを継承するように設定されているかどうかを確認します。
    3. Group Inclusion が使用されていない場合、SEPM Controller の SEP ポリシー画面で "Apply private cloud policies to all non-default SEPM groups." が有効になっているかどうかを確認します。
  2. FQDN を使用して EDR アプライアンスコンソールにアクセスします。ブラウザは証明書を受け入れますか。受け入れない場合は、クライアントが証明書を信頼していないため、証明書の信頼性を解決する必要があります。
  3. IP アドレスを使用して EDR アプライアンス・コンソールにアクセスします。ブラウザは証明書を受け入れましたか。受け入れない場合、クライアントは証明書を信頼していないため、証明書の信頼性を解決する必要があります。
  4. ブラウザで EDR UI へのアクセスはできるが、証明書が無効であると表示される場合、証明書を開いてサブジェクト代替名が含まれているかどうかを確認します。サブジェクト代替名がない場合、新しい証明書を生成してください。DNS がサブジェクト代替名を解決しない場合、DNS のトラブルシューティングを実行して解決します。
  5. FQDN を使用して SEPM コンソールにアクセスします。ブラウザは証明書を受け入れますか。受け入れない場合クライアントは証明書を信頼していないため、証明書の信頼性を解決する必要があります。
  6. IP アドレスを使用して SEPM コンソールにアクセスします。ブラウザは証明書を受け入れますか。受け入れない場合クライアントは証明書を信頼していないため、証明書の信頼性を解決する必要があります。
  7. ブラウザが EDR アプライアンスコンソールの証明書を、IP アドレスを使用した場合と、FQDN を使用した場合のみ受け入れる場合、EDR アプライアンスコンソールの [Settings] - [Global] - [Endpoint Communication Channel] - [SEP Policies] で URL を確認し、証明書に書かれている内容が Symantec EDR の設定と一致していることを確認します。
  8. FQDN か IP アドレスのいずれかを使用する場合にのみブラウザが SEPM コンソールの証明書を受け入れる場合は、 [Settings] - [Global] - [Endpoint Communication Channel] - [SEPM Controller Connection] ページで EDR アプライアンスコンソールの SEPM Controller Connection の名前を変更し、SEPM インスタンスの server.clt の内容に一致させます。
  9. SEP Policies ページで EDR アプライアンスコンソールの URL を変更することで動作が解決する場合は SEP client does not accept the ATP certificate, leaving the SEP client in "Authentication Pending" を参照してください。
  10. SEPM で [クライアント] タブを選択し、Symantec EDRへの登録に失敗したクライアントの 1 つを含むクライアントグループに移動してください。
  11. SEPM で [外部通信] - [専用クラウド] を選択します。 EDR アプライアンスのホスト名または IP アドレスが表示されない場合は、追加します。
  12. SEPM で [プロキシサーバー] タブを選択します。プロキシが表示されていますか。
    1. プロキシが表示されている場合、テストクライアントを同じ設定だけれども [プロキシサーバー] からプロキシを削除した、新しいクライアントグループに入れます。SEP クライアントのポリシーを更新し、EDR 接続ステータスの [今すぐ接続] ボタンをクリックします。Symantec EDR 接続の SEP クライアントステータスが「接続済み」に変わった場合、SEP クライアントと Symantec EDR 間の HTTPS プロキシの設定に焦点を当てたトラブルシューティングを行う必要があります。
  13. SEP クライアントが EDR と通信するためのプロキシを通過するように設計されており、そのプロキシ設定が存在しない場合は、Proxy and Submission settings are reset to Proxy and Submission settings are reset to default values after updating the Private Cloud settings through Advanced Threat Protection or the REST API を参照してください。
  14. ATP バージョン 3.1.0 の SEP クライアントの認証保留状態を解決するには、EDR 4.0 以降にアップデートしてください。
  15. EDR アプライアンスコンソールで [Search] - [Database] - [Entities] をクリックします。 列をカスタマイズして "Last EDR Contact" , "Last SEPM Contact", "SEP Group" を表示します。その後、原因を切り分けます。
  16. FIPS モードが有効になっているかどうかを確認します。上記で説明したように EDR は FIPS モードをサポートしていません。詳しくは Are the Advanced Threat Protection platform or Symantec Endpoint Detection and Response appliance software FIPS compliant? を参照してください。
  17. 認証保留中のエンドポイントの信頼できるルート証明書ストアに EDR 証明書をインストールします。
  18. SEPM コンソールの [クライアント] - <グループ> - コンソール右側の [ポリシー] タブ - [場所固有のポリシーと設定] - [場所固有の設定] - [外部通信の設定] が "グループ" となっていることを確認します。
  19. これらの手順を踏んでも症状が改善されない場合はテクニカルサポートにお問い合わせください。

Additional Information

[英語文書] SEP clients stuck in "Authentication Pending" in the Enrollment Statistics during ECC client registration