|
功能模块
|
现象
|
出现阶段
|
原因&影响
|
解决方案
|
注意事项
|
|
扩容
|
如果是大于三节点部署,需要进行扩容操作
|
上架阶段
|
需要对服务进行扩容操作
|
通过扩容指引进行扩容
|
参考扩容指引进行扩容,点击链接查看
|
|
授权
|
导入授权后立即进入新模块会报错
|
上架阶段
|
授权需要几分钟才能激活,5分钟后即可正常使用
|
稍等几分钟后使用
|
授权激活后不要立即使用新授权的功能
|
|
系统设置
|
客户扩容时,切换从千兆网口切换到万兆网口时可能会有部分服务启动异常
|
使用阶段
|
K8S本身不支持网口切换,修改周期长
|
初期部署时需要评估好网络上限,后期千兆切万兆需要研发介入
|
尽量不要切换网口,切换网口需要研发介入
|
|
硬件
|
系统断电、机械重启等情况下,会丢失重启阶段的数据
|
使用阶段
|
异常断电和机械重启属于机械故障,无法通过软件层面保障不丢失数据。
|
尽量不要进行机械重启和关机
|
尽量不要进行机械重启和关机
|
|
微信告警
|
微信告警无法下发处置操作和查看PDF
|
使用阶段
|
云上无法反向连接到客户的设备上获取处置操作和PDF文件
|
微信告警功能只能查看事件,无法处置
|
微信告警功能只能查看事件,无法处置
|
|
SIEM
|
SIEM需要开启kafka作为数据接入时,需要研发介入
|
使用阶段
|
由于安全性,对端口进行了收敛,因此访问kafka需要手动开启
|
需要通过kafka使用siem时,要咨询交付
|
需要通过kafka使用siem时,要咨询交付
--预计430解决
|
|
系统设置
|
在页面开启IP访问控制时,需要配置放通对接组件的IP,否则可能会网络不通
|
使用阶段
|
由于安全性要求启用了ACL策略,如果不配置对接组件的IP会导致组件无法连上XDR
|
默认关闭
|
启用IP访问控制功能时,需要配置组件IP
|
|
威胁情报
|
客户XDR设备未联网时需要放通域名才能进行在线威胁情报查询
auth.sangfor.com.cn
analysis.sangfor.com.cn
ti.sangfor.com.cn
|
使用阶段
|
客户网络控制比较严格的时候,需要放通指定的域名和IP才能进行在线威胁情报查询,否则只能进行离线威胁情报库查询
|
使用离线威胁情报库或者放通域名
|
使用离线威胁情报库或者放通域名
auth.sangfor.com.cn
analysis.sangfor.com.cn
ti.sangfor.com.cn
|
|
工单
|
客户XDR设备未联网时需要放通域名才能进行短信告警
sms.tencentcloudapi.com
端口:443
smtp.qq.com 端口:465
smtp.office365.com 端口:587
smtp.163.com 端口:465
dysmsapi.aliyuncs.com 端口:443
|
使用阶段
|
客户网络控制比较严格的时候,需要放通指定的域名和IP才能使用短信告警
|
不使用短信告警或者放开以下域名和端口
|
不使用短信告警或者放开以下域名和端口
sms.tencentcloudapi.com 端口:443
smtp.qq.com 端口:465
smtp.office365.com 端口:587
smtp.163.com 端口:465
dysmsapi.aliyuncs.com 端口:443
|
|
虚拟化部署
|
虚拟化热迁移会受到用户云平台配置的影响,导致DNS服务和本机指向错误
|
使用阶段
|
虚拟化热迁移会受到用户云平台配置的影响,导致DNS服务和本机指向错误
|
关机进行冷迁移
|
尽量不要进行XDR热迁移,热迁移故障之后需要研发介入。
可以冷迁移
|
|
升级
|
目前检查版本功能无法获取线上版本,只能离线升级
|
使用阶段
|
目前检查版本功能无法获取线上版本,只能离线升级
|
检查版本无法获取最新版本
|
检查版本无法获取最新版本,后面版本(预计Q2)会做
|
|
其他
|
给XDR分配域名进行访问时,会出现异常
|
使用阶段
|
通过域名访问时会修改refer导致安全校验功能失效,因此访问异常
|
不要使用域名访问XDR
|
不要使用域名访问XDR
|
建议使用Chrome浏览器访问!
