更新时间:2024-01-10
在日常使用EDR时,请先了解下表中的高危操作并避免这些操作。如果使用不当,会对业务产生影响,严重时会造成业务中断。
表10高危操作
主模块
|
一级目录
|
二级目录
|
风险操作
|
风险说明
|
风险级别
|
风险应对
|
终端管理
|
策略中心
|
病毒查杀
|
发现威胁文件后的处置动作设置为“自动处置-安全优先”
|
可能存在误判,将客户的业务文件隔离,导致业务系统异常
|
高风险
|
将发现威胁文件后的处置动作设置为“自动处置-业务优先”
|
终端管理
|
策略中心
|
病毒查杀
|
日常使用时,引擎配置启用了“高检出模式”
|
高检出模式能够提高病毒检出率,但也会增加误判,一般在测试病毒检出率时使用,所以正常使用时不启用
|
高风险
|
正常使用时引擎配置不启用“高检出模式”
|
终端管理
|
策略中心
|
实时防护
|
文件实时监控中,当发现威胁文件后的处置动作设置为“自动处置-安全优先”
|
可能存在误判,将客户的业务文件隔离,导致业务系统异常
|
高风险
|
将发现威胁文件后的处置动作设置为“自动处置-业务优先”
|
威胁检测
|
终端病毒查杀
|
扫描模式
|
当服务器性能不足时,使用了极速扫描模式下载扫描
|
极速扫描将会消耗更多的终端CPU资源,如果服务器性能不足,则会影响业务正常使用。默认建议使用均衡模式扫描
|
高风险
|
服务器性能不足时,使用“低耗”或“均衡”扫描模式
|
响应中心
|
威胁响应
|
威胁终端视角
|
终端隔离
|
隔离后终端无法访问任何其它网络。如果是服务器被隔离,会影响业务正常使用
|
高风险
|
在[响应中心/威胁响应/已隔离终端]进行移除
|
响应中心
|
漏洞响应
|
漏洞修复
|
某些漏洞需要重启系统才能完成修复,如果选择了修复后自动重启服务器,是业务会中断
|
服务器重启,导致业务中断
|
高风险
|
修复漏洞时建议不要选择重启服务器,而是在统一时间(不影响业务时间)人为重启
|
终端管理
|
策略中心
|
勒索防护
|
启用了服务器可信进程防护,但服务器业务进程没有加入可信进程
|
导致服务器关键业务运行不起来,导致业务中断
|
高风险
|
将服务器业务进程加入可信进程
|