1.安装edr agent的服务器剩余内存要不少于500M,linux释放服务器空闲内存,执行echo 3 > /proc/sys/vm/drop_caches,建议在业务空闲情况下操作
2.linux下需要root权限安装,centos要求防火墙版本为0.4.x以上
3.在Centos服务器上安装edr agent 在执行安装脚本的报错出现报错,提升“Unable to find cron . EDR need it to keep EDR running properly,可以先执行rpm -qa | grep cron来确认是不是没有装cron,如果没有,需要手动安装一下,
在线安装cron:命令参考: yum install cron*
手动离线安装包下载(linux 镜像官网https://mirrors.aliyun.com/centos/)
手动离线安装命令:rpm -ivh 包名(rpm包)
4.【威胁检测】-【终端漏洞查补】-添加漏洞扫描任务,进行选择终端的时候,提示“当前终端的状态无法进行操作”,可能是edr终端agent被人卸载掉了
5.EDR中心端上的策略,若点亮策略旁边的“小锁”表示策略以中心端平台为准,客户端不能修改,没点亮,表示策略以客户端为准,并且客户端可以修改。
6.EDR微隔离没有匹配数,检查配置:【微隔离】-【微隔离设置】-【流量上报】-【开启】
7.将某个业务文件目录加到EDR服务端的信任名单中,再次查杀还是可以扫描出该文件,看一下信任文件是不是在本级中心添加的,然后确认具体的分组中有没有添加信任目录,点击保存,有没有勾选继承父策略(右上角),点击保存
8.规则库自动升级:【系统管理】-【系统设置】-【升级设置】-【平台漏洞库升级】开启自动更新,需要设备能联网
9.终端自动升级:【系统管理】-【升级管理】-【平台和终端升级】
10.终端agent正常在线,但中心端看不到,可以修改终端连接策略的超过时间为默认30天【系统设置】-【基本设置】
11.EDR联动SIP之后EDR上有安全日志,但是SIP看不到,检查EDR上有没有启用日志上报
整理自深信服社区