1.客户侧用企业微信的复制图片的内容的时候，会被tencentocr这个拦截，实际上只禁用了微信和请求没限制企业微信  1.查看告警内容确认是限制了TencentOCR的应用，客户策略配置的是限制微信和QQ应用使用，调用的是aES内置应用。 2. 尝试在此策略内排除测试电脑地址，单独配置一条策略只限制故障电脑QQ应用确认正常，定位是微信应用拦截。 3.本地打开微信测试确认是登录微信会调用到TencentOCR的进程。 4.确认是内置的库微信和企微有部分相同的应用规则，导致某些操作被管控。 1.内置的库微信和企微有部分相同的应用规则，导致某些操作被管控。 1.配置自定义应用单独管控微信 进程名 = WeChat.exe，再调用此自定义软件，不使用内置规则。             

安装edr之后,部分终端都是以相同ip上线   1.发现这些终端有多个网卡，并且识别到了atrust到虚拟网卡ip，导致上报给了edr2.确认到atrust虚拟网卡默认是没有mac地址的，如果切换了tap网卡（atrust场景使用下部分软件需要使用mac地址或者部分客户希望网卡常驻，此时需要用tap网卡）虚拟网卡就会获取mac地址，导致edr会识别到虚拟网卡ip。 终端epinfo插件上传管理平台的ip信息列表逻辑：调用的是微软的API遍历的本地IP地址且MAC地址存在，将正在于mgr通信的网络信息放置到list第一位 ，管理平台的终端管理那显示终端IP逻辑应该是显示ip列表第一条信息 正常机制问题，这些终端会识别到多个网卡的ip，点击终端详情会看到有物理网卡ip可以正常使用。          

EDR上报暴力破解日志，但源IP是字符        已知问题，6.0.2R3版本已修复，直接升级解决     历史数据是采集异常导致的并且数据已经入库，就算升级了也无法重新变回正常IP，602 R3新版本是保障新数据不再出现异常显示。    

Windows主机安装AES客户端报错安装包文件丢失，建议卸载其他杀软 1、检查主机上并没有其他杀毒软件存在，在CMD下执行fltmc命令也没有发现杀软驱动残留 2、查看安装日志（C:\ProgramData\SF\EDR\log\sfupdate\sfupdate_main该路径下最新的文件）发现是解压安装包过程中存在报错 3、尝试安装安装过程中手动在CMD下执行命令解压文件，发现可以正常解压 4、检查客户主机环境存在亿赛通软件，尝试卸载亿赛通之后重新安装AES客户端成功   亿赛通软件是属于数据防泄密，文件隔离类的软件，对AES安装过程中会存在影响 1、建议主机上存在这类安全软件时加白AES的安装路径，再安装AES客户端，或者是先卸载安全加密软件再安装AES客户端          

AES升级版本到60..2R2之后，远程协助功能会远程失败，到被控端查看发现会弹出VNC配置界面 1、尝试根据提示修改过VNC的配置密码结果无法提交 2、尝试让被控端手动接受远程，现象依旧 3、检查被控主机的VNC配置文件，发现VNC的配置文件被加密了，如截图文件有一把小锁。 客户终端环境存在加密软件，将VNC的配置文件加密之后导致无法正常远程协助 1、加密软件加白EDR 的目录，然后卸载重装agent 2、在管理平台禁用agent，然后在被远控终端的CMD执行sc stop sfavflt，然后手动申请解密这个配置文件，且加密软件加白EDR 的目录，最后启动agent   否      

病毒查杀列表不显示定时查杀任务下发记录，只显示手动下发的病毒查杀记录。   1、从终端上安全日志里面看有显示定时病毒查杀任务的下发执行的日志记录，可以判断定时病毒查杀任务下发实际是生效了的。   2、在平台上通过F12查看策略中心定时策略对应的定时任务id，并进入平台数据库执行db.avscan_task_log.find({_id:"定时任务id"}).pretty()命令查询此定时任务id,可以看到里面的time参数时间（可通过date -d @time参数值来转换为北京时间格式）并不是实际的最后一次定时查杀任务下发的时间。   3、后台数据库手动刷新定时查杀任务下发执行时间方式如下：（get_avscan_ui.sh文件和avscan_ui.json文件见附件）   1）将get_avscan_ui.sh文件放在/sf/edr/manager/cron/daily目录，并执行chmod +x get_avscan_ui.sh命令添加可执行权限    2）将avscan_ui.json文件放在/tmp目录，然后手动执行sh -x /sf/edr/manager/cron/daily/get_avscan_ui.sh即可刷新 数据库avscan_task_log表里面未及时更新定时病毒查杀任务的最后一次下发执行时间，导致病毒查杀列表界面未正常显示定时病毒查杀任务下发记录。 通过后台手动执行脚本触发刷新。     如果手动执行脚本后再病毒查杀列表里面还是不显示定时病毒查杀任务的记录，可以通过db.avscan_task_log.updateOne({ time: 当前time值 }, { $set: { time: 新的time值 } } )命令手动修改下time值，适当往后推一点时间（当不要超过当前的实际北京时间），然后再去重新执行脚本触发刷新下即可。      

服务器安装agent后，访问aops业务端口异常，禁用agent后正常 1、agent启用的情况下，能ping通业务地址但是端口不通。手动将agent禁用后，端口通信正常。 2、查看EDR日志和工具查看，没有看到网络隔离相关的策略。将服务器单独放在一个策略组下面，关闭所有安全检测功能，端口还是不通。手动去服务器上屏蔽EDR的所有驱动，问题依旧。 3、研发侧编写demo_socket工具测试，连接8081端口失败，错误码10055(由于系统缓冲区空间不足或队列已满，不能执行套接字上的操作。)（ps: 使用demo工具，需要将工具放到C:\Program Files\SF\EDR\agent\bin目录下） 4、用process工具抓进程，检查终端句柄数，发现百度网盘的进程占用53w+句柄数量。 5、手动将百度网盘退出后，重新启动agent，测试端口通信正常。 百度网盘占用了大量句柄数量，后面再运行EDR，再占用些socket资源，导致服务器不能新建socket端口资源。 退出百度网盘后，重启启用agent正常。 demo_socket.zip ( 0.04M  ) process.zip ( 0.91M  )          

edr安装后没有托盘   1.查看路径C:\ProgramData\SF\EDR\log下面没有sfavtray.log日志2.终端也没有看到有sfavtray进程3. 分析C:\Program Files\SF\EDR\agent\config下的agent_cfg.json发现601是lite 探针版本 602才是全量的 1.探针版EDR无微隔离、终端病毒查杀、自定义IOC、排除策略、分支管控、授权管理等功能，没有托盘和界面显示2.终端安全管理系统EDRLie(EDR探针版)是深信服公司提供的一套轻量级终端行为采集产品，产品由轻量级端点安全软件Aoent和管理端组成。EDRLite作为组件与深信服公司XDR平台联动，为用户提供高级威胁行为采集、检测分析、调查溯源、威胁狩猎、应急响应能力 正常机制问题 探针版EDR没有托盘和界面显示          

通过客户端部署---网页推广部署界面复制的下载EDR客户端的URL链接太长了，有些客户侧想要进行缩短，但是会发现手动去掉URL后面的后缀参数缩短后再去访问就打不开了。   1、想要使用更短的URL链接进行下载客户端可以先点击【部署与升级设置】，进入跳转后的页面，将推广链接有效期设置为永久。然后再回到客户端部署---网页推广部署界面点击重新生成链接即可。如下图所示：   调整部署链接有效期为永久后再去重新生成链接即可。 无影响 否        

  Windows终端安装了agent以后，提示：终端防护中心还未授权   1、查看终端的ipc日志，提示：Connection not ready: TCP[0000000000A2F8B0, not ready] 2、telnet测试mgr平台的8083端口，端口正常 3、抓包8083端口分析，终端的数据被mgr平台给RST了（32.2是mgr平台ip，34.4是终端ip） 4、分析mgr平台的ipc日志（终端的agentid为：4275720540），提示：deny access 5、检查mgr平台的重保设置，发现该终端的ip不在加入白名单中，故被拒绝接入 对应的终端ip不在重保设置的接入白名单中 取消重保设置或者将对应的终端ip加入该白名单中解决            

EDR巡检提示开放了TCP5432和UDP50778端口有风险。 1、登陆后台查看端口：TCP5432是pg数据库的postmaster服务，UDP50778是syslog外发用的服务，都不能关闭。 TCP5432是pg数据库的postmaster服务，UDP50778是syslog外发用的服务，都不能关闭，后续反馈acheck更新巡检规则。 TCP5432是pg数据库的postmaster服务，UDP50778是syslog外发用的服务，都不能关闭，后续反馈acheck更新巡检规则。            

安装EDR agent后，liunx服务器涉及服务启动就会弹出Error: No space left on device，终止命令执行   1.禁用EDR后正常2.df -h查看磁盘空间正常：3.strace -tt -f -s 0 systemctl reload  nginx 收集下信息分析 inotify打满了，确认是开启了webshell检测4.发现已配置，执行下面命令查看空间：cat /proc/`pidof edr_agent`/fdinfo/* | grep inoti | wc -lcat /proc/`pidof xs_agent`/fdinfo/* | grep inoti | wc -lcat /proc/sys/fs/inotify/max_user_watches 5.查看配置的webshell检查目录 1.客户升级到602R1版本后，发现系统监控目录的inotify最大数被调整为4万。但客户实际使用场景中，通过webshell管理的子目录数量特别庞大（比如可能有十几万层级），而他们之前用老版本时inotify_max参数默认是200万，所以一直没触发过限制。这次升级后参数大幅缩小，才导致系统开始报"达到监控上限"的异常。我们之所以在新版本调低这个数值，是因为监控大量目录会显著占用内存资源，容易引发性能问题 1.602 R2 SP2有解决该问题，可以升级602 R2版本打上SP2补丁包2.602 R2 SP2补丁包：https://pan.sangfor.com/index.html#doc/enterprise/1524769?key=17400386020516098 无        

AES3.8.6对接XDR失败 1、发现接入成功的两台设备都是全功能授权 2、接入失败的AES设备其PC是基础版授权 AES接XDR PC的授权需要高级版或者全功能版才能去对接XDR，注意只要PC是基础版授权，则就会接入不成功；具体需求如下图 重开授权（高级版授权或全功能版本授权）来解决            

windows环境的微隔离策略查询工具       windows环境微隔离策略查询可以使用如下工具 一、wfpdlg: win8以下及windows server2012R以下版本可以使用wfpdlg，该工具可以查询确认微隔离策略是否下发到windows终端上，使用方法如下（下载见下述附件）） 1.使用管理员权限运行 2.基于源ip范围，端口信息，出入站信息进行过滤（或者也可以基于策略名称MICRO_ISOLATE过滤搜索策略） 3.查看过滤的结果，其中像permit表示动作为放通，block为拦截 备注：非管理员权限运行可能存在下述报错，如下图 2、WFPExp: 针对windows8及以上、windows server2012R及以上系统则需要使用WFPExp.exe工具，下载见下述附件 文件附件链接： wfpdlg.rar (711.08 KB)  WFPExp.rar ( 0.68M  )     无    

配置了异常登录检测后，暴力破解记录的异常时间和客户常用时间一致 1、查看策略中心配置的非常用登录时间告警2、安全事件总览确认是否是自己想要的时间 配置逻辑问题：策略中心的非常用登录时间告警下面需要配置的是常用登录时间，不是非常用时间 修改策略中心配置的常用登录时间配置        

国产化麒麟系统，已经通过系统升级修改了CVE-2021-21381,但是AES还是提示该应用有漏洞 1、根据CVE漏洞提示，受影响的版本范围是0.9.4至1.10.2的版本均有影响 2、到终端上检查此应用的版本信息，发现还是1.0.3 3、AES上终端资产清点识别该应用版本也是1.0.3 4、AES当前扫描此漏洞是通过应用版本对比来识别是否存在此漏洞 5、故当前还会识别这个主机存在此应用的漏洞是正常现象 1、主机修复漏洞之后应用版本依旧是原来的旧版本，而AES对此漏洞只会对比版本不会校验POC，从而被扫描到存在此漏洞 1、当前可以手动忽略此类待修复的提示   无 是      

添加IOA例外后，事件总览部分详情界面显示空白。 1、确认设备是602r1的版本，正常情况下加入IOA事件例外后，高级维修还是会生成事件，只是标记为已例外告警，默认会进行隐藏，目前602r1版本会显示为空的异常情况，602r2版本修复了为空的问题，可以正常展示，后续更高版本事件总览也会进行隐藏。   AES升级为602r2及之后版本。          

国产化EDR客户端安装后UI打不开，快捷方式文件显示异常。 1、手动使用普通用户权限bash执行/opt/apps/com.sangfor.xdr/files/sangfor/edr/agent/bin/start_ui.sh，看能否拉起UI（不要使用sh执行，start_ui.sh脚本用的是bash语法，用sh执行会报语法错误）。 2、根据报错可以看到是提示权限错误，逐层检查目录权限是否正确。下图可以看到apps这个目录其他用户没有x 的执行权限。 4、手动给该目录添加权限后，测试快捷方式可以正常打开UI客户端。 chmod u+x /opt/apps #给该目录添加执行可执行权限   给AES客户端UI启动脚本所在的目录添加执行权限解决。   否      

服务端自动升级报错升级失败，下载更新出错   1、在终端上访问下载更新包url ：https://IP地址:4430/download/packages/sfupdate.json。访问不通，判断是端口不通导致 2、在MGR后台查看4430端口没有监听，发现配置中平台访问端口和升级程序端口都是443，在终端查看升级程序端口依然是4430配置没有下发下去。 获取终端安装目录下config下面的server_port.ini文件，查看agt_download字段就是升级程序端口。默认路径为C:\Program Files\SF\EDR\agent\config 高版本平台访问端口和升级程序端口不能是同一个，否则无法下发配置到客户端 在平台修改升级端口为4430之后，客户端正常下载升级          

EDR安装后资产清点中无法获取主板序列号信息 1、首先说明，这里的主板序列号查询是调用windows系统接口查询返回的结果 2、以管理员权限打开wbemtest，连接命名空间root\cimv2，点击查询输入语句SELECT * FROM Win32_BaseBoard 3、查询到之后双击打开详情 4、点击“显示MOF” 5、查看SerialNumber字段为空，因此说明系统本身未读取到主板序列号信息所以EDR上未显示   非问题，说明即可     此案例针对windows终端