Che operazioni posso eseguire direttamente sull’endpoint di ThreatDown?
ThreatDown by Malwarebytes è un prodotto gestito completamente tramite le sue console nel cloud (Oneview e Nebula). La comunicazione con le console è bidirezionale e i comandi inseriti nella console (scansioni, cambiamenti di policy, etc.) sono applicati quasi immediatamente.
La gestione locale dell’endpoint ThreatDown è dunque minimale e riservata a situazioni particolari, ma talvolta è indispensabile, in particolare se si verificano problemi di connessione o se ce ne sono stati di installazione.
Esattamente, cosa si può fare direttamente sull’endpoint?
Utilizzo della GUI dell’agent di ThreatDown
Dalla GUI di ThreatDown, senza l’intervento della console, si può lanciare una scansione, cliccando con il tasto destro sull’icona del prodotto.
E visualizzare l’andamento della scansione.
Se, mentre si clicca con il tasto destro sull’icona di ThreatDown, si tiene premuto il tasto CTRL, si accede a un menù molto utile per il troubleshooting:
I log di debug e il diagnostico generati a partire da questo menù sono spesso richiesti dal supporto e non è difficile guidare un utente al telefono per produrli, anche senza collegarsi da remoto alla macchina.
Lo strumento a riga di comando dell’Endpoint Agent
Alcune azioni solitamente eseguite dalla console Malwarebytes possono essere eseguite anche da riga di comando. Questa funzione ci permette di utilizzare queste funzioni nell’ambito di script personalizzati o tramite strumenti di monitoraggio e gestione remota (RMM).
Lo strumento a riga di comando di ThreatDown, EACmd .exe, è un’applicazione creata per comunicare con il servizio Endpoint Agent di ThreatDown by Malwarebytes e si trova nel percorso > C:Program FilesMalwarebytes Endpoint AgentUserAgentEACmd .exe
| Opzione | Scopo |
| –loglevel=VALORE | Livello di registrazione per impostare il servizio. I valori validi sono Debug e Info. |
| -d, –diag | Raccogliere un log diagnostico per il servizio Endpoint Agent. |
| –debug | Imposta il livello di logging a debug. |
| –refreshagentinfo | Forza una connessione alla console e raccoglie informazioni per l’agent. |
| –updateprotection | Aggiorna manualmente il servizio di protezione. |
| –updatesoftware | Esegue un aggiornamento manuale del software e delle definizioni e, se un aggiornamento è disponibile. viene scaricato e installato (o messo in attesa) in base alle impostazioni della policy applicata all’endpoint. Se è in uso il Patch Management, questo comando aggiorna anche le applicazioni di terze parti supportate. |
| –Versions | Visualizza le informazioni sulla versione di tutti i componenti e i plug-dell’Endpoint Agent. |
| –runpendingsoftwareupdate | Verifica manualmente la presenza di aggiornamenti software rimasti in sospeso e, se ce ne sono, li installa, indipendentemente dalle impostazioni delle policy. |
| -h, –aiuto | Visualizza un messaggio di utilizzo per il programma EACmd con tutte le opzioni. |
| –syncnow | Forza una sincronizzazione con la piattaforma cloud Nebula. |
| –testconnections | Verifica la connessione ai server Malwarebytes. Verificare la corrispondenza del codice di stato previsto e di quello restituito per ogni URL. In caso di problemi, controllare i requisiti di rete e le impostazioni del firewall per Nebula. |
| –certcheck=VALORE | Controlla se il file supera il controllo della firma. |
| –getmachineids | Visualizza l’ID account corrente, l’ID computer e l’ID computer Nebula dell’endpoint. |
| –verifyaccounttoken=VALUE | Controlla se il token di account fornito corrisponde al token di account attualmente archiviato. |
| –changeaccounttoken=VALORE | Cambia il token dell’account corrente con quello all’interno di Nebula. Sono richiesti privilegi amministrativi. |
| –proxy.server=VALORE | Modifica l’indirizzo corrente del server proxy. Sono richiesti privilegi amministrativi. |
| –proxy.bypassOnLocal=VALORE | Abilitare o disabilitare il proxy di bypass. Sono richiesti privilegi amministrativi. |
| –proxy.port=VALORE | Modifica il numero di porta proxy corrente. Sono richiesti privilegi amministrativi. |
| –proxy.user=VALORE | Modifica il nome utente proxy corrente. Sono richiesti privilegi amministrativi. |
| –proxy.password=VALORE | Modifica la password proxy corrente. Sono richiesti privilegi amministrativi. |
| –proxy.clear | Cancella tutte le impostazioni proxy. Sono richiesti privilegi amministrativi. |
| –threatScan | Esegue una scansione delle minacce a meno che l’opzione Consenti agli utenti di eseguire una scansione delle minacce non sia disabilitata nel criterio. |
| –resetmachineids | Genera un nuovo ID macchina e un nuovo ID macchina Nebula. |
Alcuni esempi di utilizzo di comandi
Come verificare la disponibilità di aggiornamenti della protezione tramite riga di comando
Questo comando esegue un controllo immediato degli aggiornamenti della protezione. È identico all’esecuzione di un controllo degli aggiornamenti della protezione dalla schermata Endpoint nella console o al controllo che viene eseguito quando si lancia una scansione.
Sintassi
C:ProgrammiMalwarebytes Endpoint AgentUserAgentEACmd .exe –updateprotection
Come visualizzare il machine dell’endpoint tramite riga di comando
Questo comando visualizza l’ID account corrente, l’ID macchina e l’ID macchina Nebula.
Sintassi
C:ProgrammiMalwarebytes Endpoint AgentUserAgentEACmd .exe –getmachineids
Come reimpostare il Machine ID tramite riga di comando
Questo comando genera un nuovo ID macchina e un nuovo ID macchina Nebula.
Questo comando è utile quando ThreatDown Endpoint Agent è stato installato in modo non corretto utilizzando un’immagine clonata del sistema operativo Windows.
Per verificare queste modifiche, eseguire il comando Ottieni ID computer prima e dopo l’esecuzione del comando Ripristina ID computer.
Nota: se l’endpoint è una macchina virtuale, verificare che il profilo hardware della macchina virtuale disponga di un UUID univoco e non sia un duplicato o un clone.
Sintassi
C:ProgrammiMalwarebytes Endpoint AgentUserAgentEACmd .exe –resetmachineids
Related Articles
Installazione di endpoint ThreatDown su sistemi operativi Linux
ThreatDown Endpoint Protection può essere installato anche su macchine Linux. Nella pagina Download nella console Oneview ci sono istruzioni su come impostare l’origine del repository in modo che punti al repository ThreatDown Linux. Per Ubuntu, ...Come installare un endpoint su MacOSx dalla console OneView di ThreatDown?
Ci sono diversi metodi di installazione, che prevedono o meno l’utilizzo di script. Installazione a partire dal file di setup Il metodo di installazione più semplice consiste nel copiare un file d’installazione nell’endpoint ed eseguirlo. In questo ...Come si abilita il log di debug per l’agent di ThreatDown?
Informazioni generali I log di debug nell’agent di Threatdown servono per analizzare problemi sull’endpoint e sono solitamente richiesti dall’assistenza. I log a livello di debug sono supportati sia dalla versione per Windows che da quella per Mac e ...Requisiti e impostazioni del firewall per il funzionamento di ThreatDown
Affinché la comunicazione tra la console di ThreatDown by Malwarebytes e gli endpoint funzioni correttamente, è necessario configurare alcune esclusioni per il proprio firewall e per eventuali altri software di sicurezza. In questo articolo sono ...Spostare un endpoint da un account Nebula a un sito OneView
Nebula è una console per clienti singoli, mentre la console OneView è una console multitenant per MSP, che può gestire più clienti. Può essere utile spostare gli endpoint da Nebula ad OneView, per centralizzare la gestione della propria sicurezza o ...