Linux デバイスで多数の DYLD インジェクション違反が報告されている

考えられる原因

Splunk、Dynatrace、AppDynamics、DataDog など一部のサードパーティアプリケーションはモジュール(プロセスの LD_PRELOAD 環境変数)をプリロードしようとするため、アプリケーションが監視しているプロセスについて DYLD インジェクション違反イベントが発生します。

解決策

次の手順に従います。
  1. 2.1.1574 より前のバージョンの Aurora Protect Desktop エージェントを使用している場合は、2.1.1574 以降にアップグレードします。Arctic Wolf では、最新の拡張機能を利用できるようにエージェントを最新バージョンにアップグレードすることを強くお勧めします。
  2. サードパーティアプリケーションが注入を試みる .so コンポーネントについてメモリ保護の除外を追加します。LD_PRELOAD 変数を調べて、除外を追加する必要がある .so コンポーネントを特定します(「man ld.so」で簡単なガイダンスを取得できます)。ベストプラクティスは、サードパーティアプリケーションのサポートリソースに該当する .so ファイルを問い合わせることです。