深信服EDR产品线实施遇到的问题
1.安装edr agent的服务器剩余内存要不少于500M,linux释放服务器空闲内存,执行echo 3 > /proc/sys/vm/drop_caches,建议在业务空闲情况下操作
2.linux下需要root权限安装,centos要求防火墙版本为0.4.x以上
3.在Centos服务器上安装edr agent 在执行安装脚本的报错出现报错,提升“Unable to find cron . EDR need it to keep EDR running properly,可以先执行rpm -qa | grep cron来确认是不是没有装cron,如果没有,需要手动安装一下,
在线安装cron:命令参考: yum install cron*
手动离线安装包下载(linux 镜像官网https://mirrors.aliyun.com/centos/)
手动离线安装命令:rpm -ivh 包名(rpm包)
4.【威胁检测】-【终端漏洞查补】-添加漏洞扫描任务,进行选择终端的时候,提示“当前终端的状态无法进行操作”,可能是edr终端agent被人卸载掉了
5.EDR中心端上的策略,若点亮策略旁边的“小锁”表示策略以中心端平台为准,客户端不能修改,没点亮,表示策略以客户端为准,并且客户端可以修改。
6.EDR微隔离没有匹配数,检查配置:【微隔离】-【微隔离设置】-【流量上报】-【开启】
7.将某个业务文件目录加到EDR服务端的信任名单中,再次查杀还是可以扫描出该文件,看一下信任文件是不是在本级中心添加的,然后确认具体的分组中有没有添加信任目录,点击保存,有没有勾选继承父策略(右上角),点击保存
8.规则库自动升级:【系统管理】-【系统设置】-【升级设置】-【平台漏洞库升级】开启自动更新,需要设备能联网
9.终端自动升级:【系统管理】-【升级管理】-【平台和终端升级】
10.终端agent正常在线,但中心端看不到,可以修改终端连接策略的超过时间为默认30天【系统设置】-【基本设置】
11.EDR联动SIP之后EDR上有安全日志,但是SIP看不到,检查EDR上有没有启用日志上报
整理自深信服社区
深信服EDR产品线实施遇到的问题相关推荐
- 深信服EDR远程命令执行
0x00简介 深信服EDR属于终端安全产品部,是深信服公司在安全业务的战略级投入产品.终端安全部门负责下一代终端安全解决方案的产品研发,基于先进的AI技术和高效的安全领域经验, 建设深信服整体安全解决 ...
- 深信服EDR终端响应平台
深信服EDR终端响应平台 一.EDR介绍:终端检测响应平台 1.终端安全由传统防病毒向EPP+EDR融合演进 EPP解决已知威胁,EDR解决未知威胁 EPP融合EDR构建下一代终端安全 2.四阶段模型 ...
- CNVD-2020-46552 深信服EDR远程代码执行漏洞复现
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同 ...
- 深信服EDR终端检测平台-任意用户登录漏洞复现
又是一觉醒来,深信服EDR又出oday了
- 深信服EDR任意用户登录漏洞复现
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 2020年HW行动时爆出的深信服EDR漏洞除了前面复现的CNVD-2020-46552深信服EDR远程代码执行 ...
- 深信服edr终端漏洞
一.前言 最近这些天来了广州当蓝方,工作之余听到了几个朋友说关于深信服edr爆0day的情况,自己也没时间复现,就简单记录一下. 该XXX简介: 深信服终端检测响应平台EDR,围绕终端资产安全生命周期 ...
- 深信服 EDR终端检测响应平台 0day RCE 漏洞
0x01 前言 昨天睡得正香,突然公司售前就呼来电话,问某某edr出现啥问题了,然后我就给他讲了一遍,这个月太忙了,没时间写博客,今天继续来水一篇. 其次大哥来波最真挚的简介: 深信服终端检测响应平台 ...
- 深信服EDR终端检测平台-RCE漏洞复现
昨晚通宵,刚刚睡醒发现群里面炸锅了-EDR终端检测平台RCE 自己也来看看. 简介: EDR简介(来自官方): 终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安 ...
- 卸载EX的深信服EDR
在学校因为一些反墙登陆网站,实验室的网被学校封了/无语/,要求我们用EDR给电脑查毒,结果安装后,卸载还需要密码,导致安装一些破解版软件时,都无法安装.尝试了n多种方法都没有解决,终于,我今天决定以毒 ...
最新文章
- python pexpect包的一些用法
- 在AcGIS随着大数据的生成DEM
- 法兰程序CAD开发的进展
- rabbitmq 集群 ha负载 Consumer raised exception, processing can restart if the connection factory
- sql server browser启动不了_沐浴书香,润泽童年 | 读书月启动仪式
- java获取Timestamp类型的当前系统时间
- nginx的指令root和alias的区别
- Ubuntu常用C语言IDE,Ubuntu下常用IDE的安装
- SLC、MLC和TLC三者的区别
- SoundPool基本用法
- 冯诺依曼计算机设备,科学网—计算机学习漫谈(10)——一台冯·诺依曼机器 - 陈钊的博文...
- java docx 文档不可编辑、复制
- 女孩不是拜金,是败给了生活
- linux rsync文件夹增量同步
- IDEA15 tomcat问题
- pytorch-forecasting
- 华硕FL5900U如何关闭ahci_实战华硕B360主板RX580显卡安装苹果macOS 10.14 Mojave
- TVM[2] —— TVM简介和发展
- 白帽子讲Web安全读书笔记
- 让Linux使用XP下的宋体字符