VMware Carbon Black Cloud 3.9.2.2698 | 2023 年 7 月 11 日 | ビルド 3.9.2.2698

各リリース ノートの追加内容および更新内容を確認してください。

更新内容

VMware Carbon Black Cloud Windows センサー 3.9.2.2698 には、バグの修正と機能強化が含まれています。

Sensor Gateway

このリリースでは、クラウド ワークロード環境のセンサー ゲートウェイ サポートが拡張され、ブラウンフィールド環境のサポートが含まれるようになりました。

解決した問題

すべて

  • UAV-2877: イベント バッチの問題を修正した

    キューに入ったイベント バッチが原因で、MaxPscEventSingleArchiveSizeInBytes および MaxPscEventTotalArchivesSizeInBytes 値を超えるセンサーがディスク上のイベント バッチに適用される問題を修正しました。

    センサーのリセットを実行すると、ディスクからイベント キューがクリアされます。

    関連: UAV-2840。

  • DSEN-24879: Windows Security Center サービスが使用できない場合に、センサーがディスク i/o アクティビティを大量に引き起こす問題を修正した

    関連: EA-22841。

  • DSEN-24084: 使用可能なメモリが少ないマシンでシステム クラッシュが発生する問題に対処した

    関連: EA-22826。

  • DSEN-24075: センサーが Rapid7 ソフトウェアの procexp.sys のロードをブロックする問題を修正した

    関連: EA-22835、EA-23052。

  • DSEN-23981: アプリケーションが名前付きパイプを切り詰めたり上書きしたりする場合にシステム クラッシュが発生する問題に対処した

    関連: EA-22874、EA-23124。

  • DSEN-23911: 禁止されたファイルや悪意のあるファイルを含むディレクトリを閲覧すると explorer.exe が終了する問題を修正した

    関連: EA-22819、EA-2577。

  • DSEN-23909: NSX Tools を使用して NSX ネットワーク イントロスペクションを有効にして VMware Tools バージョン 12.2.0 以降を実行すると、システム クラッシュが発生する問題に対処した

    関連: EA-22911、EA-23103、EA-23195。

  • DSEN-23582: マシンに名前のないボリュームがある場合、センサーがポリシーを適用できず、バイパス状態のままになる問題に対処した

    関連: EA-22336。

  • DSEN-23562: ctinet.sys ドライバのアンロードが大幅に遅延した場合、以前は対処するために再起動が必要だったセンサー アップグレードの信頼性が向上した

    Carbon Black は、ctinet.sys の適切なアンロードの失敗が原因でセンサーのアップグレードに失敗する追加の問題に対処するために、Microsoft と積極的に取り組んでいます。

  • DSEN-23233: DNS クエリのパフォーマンスを調整するための新しい構成プロパティ CurlDnsCacheTimeoutInSeconds を追加した

    関連: EA-22359。

  • DSEN-23177: ctinet.sys ドライバのパフォーマンスに関連するいくつかの問題に対処した

  • DSEN-22978: バイパスされたプロセスでパフォーマンスが向上した

    関連: DSEN-22977、EA-21328、EA-22017。

  • DSEN-22614: Citrix VDI の問題を修正した

    Citrix VDI が正しく再登録されない問題を修正しました。これにより、構成プロパティ設定が矛盾している (AUTO_REREGISTER_FOR_VDI_CLONES=1 であるが、AUTO_REREGISTER_FOR_CITRIX=TRUE でもない)ため、ホスト名やデバイス ID などのエンドポイントの詳細が共有されます。

    関連: EA-21428。

  • DSEN-17156: すでに AutomaticMemoryDump として構成されている場合、センサーがレジストリを変更しなくなる

    センサーは、ConfigureMemoryDumpSettings の構成プロパティが無効でない限り、他のメモリ ダンプ タイプのレジストリ設定をオーバーライドします。

    関連: EA-20354。

認証イベント

  • DSEN-23933: リモート ログイン時にリモート IP アドレスが報告されない問題を修正した

Endpoint Standard

  • DSEN-24869: 完全にバイパスされたプロセスにコア防止アラートとブロックが適用される問題を修正した

  • DSEN-24548: システム クラッシュの原因となる問題に対処した

    explorer.exe など、通常はバイパスしないプロセスをバイパスしようとするとシステム クラッシュが発生する問題を修正しました。

    関連: EA-23114。

  • DSEN-23914: 共有違反エラーと設定の誤処理に関する問題を修正した

    センサーが共有違反エラーと、ネットワーク上の実行可能ファイルまたはスクリプトにアクセスするプロセスの ネットワーク ドライブでのスキャン実行 設定の誤処理を引き起こす問題を修正しました。

    関連: EA-22693。

  • DSEN-23394: CbAMSI.dll のアンロード時に spoolsv.exe などのプロセスでクラッシュが発生する問題を修正した

    関連: EA-22355。

  • DSEN-23202: ctiuser.dll の挿入後に一部のアプリケーションが起動しない問題を修正した

    関連: EA-22591、EA-22186。

  • DSEN-23186: スキャン中のホストへのネットワーク接続を試みるアプリケーションに関するアラートの増加を引き起こす問題に対処した

    関連: EA-22578。

  • DSEN-23019: cmd.exe などのスクリプト インタープリタ プロセスのバイパス プロセス タギングを改善した

  • DSEN-22991: 誤検知プロセス ホローイング アラートの生成に関するさまざまな問題に対処した

    関連: EA-22429、EA-22845。

XDR

  • DSEN-24046: カーネルの非ページ メモリの使用率が高い問題に対処した

    この問題は、ドメイン コントローラなどのビジー状態のサーバで発生する可能性が高くなります。

    関連: DSEN-22647、DSEN-22638、EA-22932。

  • DSEN-23922: 異なるリモート ポートからのインバウンド接続により、抑制なしでコンソールで複数の IDS アラートが生成される問題を修正した

    この問題は、XDR ポリシーの更新によって対処されました。

  • DSEN-23853: インバウンドの IDS アラートがアウトバウンド接続として誤って報告される問題を修正した

既知の問題

ソフトウェアに影響する既知の問題は次のとおりです。各問題が最初に報告されたときのセンサー バージョンが表示されます。問題は解決後に削除されます。

すべて

  • DSEN-25191: プライベート ログを有効にする センサー構成を使用すると、ドキュメント ファイル名の難読化が期待どおりに動作しない

  • DSEN-24701: CBFirewall がファイアウォール プロバイダとして Windows Security Center に登録される

  • DSEN-22427: windows_eventlog テーブルをサポートするセンサー バージョンで windows_eventlog をクエリすると、osquery がクラッシュすることがある

    影響を受ける環境は、OS Windows 10 21H1 x64 および osquery 4.5.0 以降のセンサー バージョンです。

  • DSEN-21771: アップグレード後に完全な保護を適用するために、さまざまな Windows オペレーティング システムで再起動が必要になる場合がある

    この問題は、Windows Server 2022、2019、Windows 10 で確認されています。これは、さまざまな Windows オペレーティング システムで ctinat.sys WFP ネットワーク ドライバをアンロードする問題が原因で発生します。この問題が発生した場合は、アップグレードを完了するために再起動する必要があります。アップグレード後の再起動に失敗すると、センサーのバージョン(3.9.0 以前)がバイパス状態になったり、センサーのバージョン(3.9.0 以降)が ctinet.sys ネットワーク ドライバを正しくロードできず、ネットワーク イベントの可視性が失われ、ネットワークが実行されないことがあります。

    Carbon Black は、この問題に対処するために Microsoft と積極的に取り組んでいます。

  • DSEN-18389: センサーが、RepCLI ステータス出力およびログ イベントに、誤解を招く ProcessTamperAttempt アラームを表示する場合がある

    これらのイベントは真の改ざんの試みを構成せず、Windows Defender がアクティブな場合にセンサーが msmpeng.exelsass.exe にアクセスするのをブロックしたことを示します。

    これらのイベントは真の改ざんの試みを構成せず、Windows Defender がアクティブな場合にセンサーが msmpeng.exelsass.exe にアクセスするのをブロックしたことを示します。

  • DSEN-18181: procdump が lsass.exe のメモリ ダンプを作成する際に、認証情報の盗難アラートが重複して表示される場合がある

  • DSEN-17210: センサーが、「インストール者」情報として現在ログインしているユーザーではなく、システムのローカル ユーザーを報告する

  • DSEN-15383: センサーが、有効なレピュテーションの代わりに「-」と誤って報告する可能性がある

  • DSEN-12808: マシンをスリープまたはサスペンド状態にしても、コンソールからデバイスがアクティブとして表示される

    関連: DSER-39219

Endpoint Standard

  • DSEN-9577: ファイルレス スクリプトの終了ルール

    ファイルレス スクリプトの終了ルールは、ファイルレス スクリプト プロセスの親プロセスに適用される必要があります。ファイルレス スクリプトを実行するプロセスは、ファイルレス スクリプトです。

  • DSEN-12189: プロセスの実行がブロックされると、複数のブロック イベントがコンソールおよびローカル ユーザー インターフェイスに表示されることがある

    検出されたセンサー バージョン: 3.7.0.1253

  • DSEN-18307: Endpoint Standard で、TAU がセンサーと競合する

    認証情報の盗難アラートなど、Carbon Black Cloud の TAU が提供する検出および防止は、センサー独自の組み込みの検出および防止と競合し、同じエンドポイント操作に対して複数の競合するイベントを提示する可能性があります。この場合、センサーの組み込みロジックが優先されます。

check-circle-line exclamation-circle-line close-line
Scroll to top icon