分布式xdr+本地GPT提示“请开启云端接入以使用安全GPT” 1、更换浏览器测试是否正常2、F12查看对应GPT授权 本地的是local，云端是cloud 反馈储运重新开授权为本地授权。          

XDR开启了自定义大屏授权找不到对应自定义大屏的编辑路径 点击自定义大屏模块打开发现跳转到应用详情的界面，无示例图1中的设置界面       自定义大屏无单独的页面展示，仅作用于存在标识的大屏设置按钮所对应大屏   点击后可以找到设置自定义页面        

此文档适用于分布式XDR及SaaS XDR       对接文档下载链接如下：如按照文档操作有问题，可联系接口人：何星99119   XDR API对接文档.zip ( 8.27M  )  (8.27 MB)        

脆弱性-风险视角-弱密码导出数据和实际web查看到的风险数量不一致 和研发确认，下载报告时，带时间搜索条件搜索时，搜索出来的结果是检索时间范围里的，但是导出数据的时候，只会导出今天的   取消时间筛选就可以正常导出全部条目了 无影响      

授权正常但是模块提示未授权。   云上的授权平台自动更新授权导致 重新导入离线授权即可          

使用U盘安装分布式XDR操作系统显示pane is dead   刻录软件问题，不能使用软碟通进行刻录 换rufus刻录软件进行刻录 软件下载地址http://rufus.ie/zh/ 无 否      

使用U盘安装分布式XDR操作系统显示Warning: dracut-initqueue timeout     使用UEFI启动，不要使用legacy启动 无 否      

虚拟化部署分布式XDR，在组件集群的时候添加节点显示获取主机 （x.x.x.x） 信息失败，请检查网络互通 1、查看数据口之间的网络连通性，发现可以通； 2、在数据口之间使用大包互访看看是否连通性正常；发现大包不通，定位原因为vxlan没有开巨帧导致。 超融合vxlan没有开巨帧导致。 超融合vxlan口开巨帧，按照超融合部署实践进行部署并且通过adeploy巡检后再部署分布式XDR。 无 否 按照超融合部署实践进行部署并且通过adeploy巡检后再部署分布式XDR。          

BAS中内置剧本Log4j失败，具体步骤为通过Log4j漏洞执行whoami命令，报错信息   Executor(sh) runnina error: runtime error: invalid memorvaddress or nil pointer dereference 1、登录对应攻击机后台执行以下命令 nohup /usr/local/java/jdk1.8.0_161/bin/java -jar JNDIExploit-1.3-SNAPSHOT.jar -i 0.0.0.0 -l 1234 -p 3456 > nohup.log 2>&1 & 2、查看进程信息 ps -axu | grep "JNDIExploit"   通过手动执行该步骤验证攻击机环境是否出现问题 1、选择错攻击机，导致对应命令无法执行 1、按照主打价值手册选择正确攻击机后，重新执行该剧本 无 否 详细阅读对应操作文档    

BAS内置Log4j剧本执行失败 1、检查步骤是否跟文档中完全一致 2、检查1234端口是否监听 3、检查靶机是否可以访问到攻击机上开放的1234、3456端口   检查环境无问题，发现手动检查环境时开启了1234端口监听忘记关闭了，导致剧本执行时无法开启1234端口监听，于是剧本执行失败 根据手册检查完环境记得关闭对应端口监听，避免端口冲突          

可以ping通BAS虚拟机IP，但是无法访问登录页面     1、登录页面需要加上详细的uri才可以访问到 1、登录地址填写详细地址 https://IP:8443/login/   无 否      

BAS镜像导入客户VMware 6.0显示OVF包无效，不能部署 VMware的报错，很多情况都可以通过互联网搜索引擎找到答案 OVF文件中没有带SHA1的校验信息，需要通过ovftool工具转换生成新的OVA文件 1、通过ovftool工具转换镜像文件后部署 2、通过VMware workstation导入该镜像后，重新导出OVA格式镜像到客户的VMware 6.0上部署 无 否      

攻击机配置了ip地址以后，零信任设备可以访问，登录零信任的终端无法访问   1、确认无法访问的范围为零信任设备可以访问，登录零信任的终端无法访问   1、零信任上未给对应用户添加BAS攻击机资源，导致对应用户无法访问到BAS攻击机 1、在零信任上给对应用户添加BAS攻击机资源 无 否      

XDR跟深信服组件之间存在DNAT环境导致接入失败。   1、查看接入手册：https://support.sangfor.com.cn/productDocument/read?product_id=141&version_id=736&category_id=235640 2、验证组件收到地址是否正确，如下图希望收到10.5.55.16，但是收到10.5.55.243，就可以证明是配置问题，一般是NAT信息中组件地址错误。 curl https://10.5.55.16/scl/v1/dev/address\?corpcode\=10001001\&appversion\=1.0.0 -k 复制代码 3、查看minibbc的日志，确定NAT信息中组件地址是多少。 kubectl get pods -A | grep minibbc 复制代码 kubectl exec -it -n minibbc minibbc-c4ffbb5cd-87wp2 -- /bin/bash 复制代码 PS：注意minibbc-xxxxx根据实际替换 tail -f /sf/scloud/var/log/devaddr/error.log 复制代码 确认到NAT信息中组件地址为10.5.55.16   修改组件接入中NAT信息，完成组件上线。            

组件接入分布式XDR显示联动码签名已过期，请重新申请联动码！ 1、检查云镜设备时间2、检查分布式XDR设备时间     由于云镜设备时间跟分布式XDR设备时间相差大于10分钟 调整云镜设备时间跟分布式XDR设备时间相差小于1分钟 调整分布式XDR时间需要分布式XDR版本号大于等于2.0.12 否 按照手册进行组件对接

无法修改AF接入Saas XDR的配置，在XDR（高级威胁检测）接入设置处为灰色不可修改状态     在-【安全运营】-【下一代安全体系】-【网云联动】-【网云接入设置】-【云图接入设置】中修改配置即可，如下图所示： AF老架构目前只有8.0.48版本打KB-AF-20220527--xdr530_saas-AF8.0.48可允许接入Saas XDR，打完该KB包后会自动展示出高级威胁检测模块即Saas XDR接入上报模块，该模块配置自动同步云图接入的配置，所以要修改该处的配置直接修改云图接入设置即可。 PS：若在Saas XDR上新增组件接入时提示已有该组件，请登录云图https://xaasauth.sangfor.com.cn/后在云上设备管理模块中删除已存在的设备即可新增同名设备。

SaaS-EDR无法接入SaaS XDR，主要表现形式如下图所示：认证信息和设备信息均为灰色，无法配置，或提示：未检测到Saas-EDR设备，请确认此客户是否已购买或联系研发技术支持。     1、登录云图，打开云上设备管理界面，查看Saas-EDR已经购买或者使用，具体操作如下：2、打开云上设备管理，找到需要对接的EDR设备，修改EDR的接入平台为：XDR（安全检测与响应平台），具体操作如下： 3、修改完之后刷新XDR的设备管理即可新增SaaS-EDR。  

新增组件时提示设备名称已存在于设备管理平台，请换个名字重试   目前无论是MSS还是XDR平台接入的设备，都是会自动将设备信息迁移到联动总线上（即云图的云上设备管理），以共享给其他平台使用，只要创建就会同步过去，删除则不会自动删除联动总线上的设备信息，需要人工手动删除。 方案一：修改其他未使用过的设备名称接入方案二：在云上设备管理中将同名的设备删除后即可重新接入。  

AF接入Saas XDR提示：接入失败，未查到XDR购买信息，请先购买XDR订阅 1、登录云图排查XDR平台开通状态正常；2、AF和云端通信正常；   云图授权信息没有去掉历史过期数据，同时返回了正常和过期导致AF接入异常 收集云图ID反馈云图研发张科维18864更新数据解决。  

使用火狐浏览器登录XDR进行设备接入时，复制设备接入信息报TypeError: navigatorclipboard readText is not a function 在组件上黏贴认证信息时显示TypeError: navigatorclipboard readText is not a function 判断该功能浏览器支持列表以及版本（https://developer.mozilla.org/en-US/docs/Web/API/Clipboard/readText） 在火狐浏览器中URL栏输入about:config，回车 在页面搜索框中搜索clipboard 将dom.events.asyncClipboard.dataTransfer以及dom.events.testing.asycClipboard两项值修改成true（双击即可修改） 修改完成后即可正常进行复制黏贴设备接入信息   火狐浏览器安全限制导致 见有效排查步骤章节 无 否