1、设置定时全盘扫描任务,发现失陷主机最近扫描时间出现威胁事件,点处置威胁,进去终端发现威胁时间时间出现在半年之前;
2、再全盘扫描一次,发现无威胁文件 3、问题:为什么每次新下发的全盘扫描没有威胁了,EDR还是报这个主机是已失陷; 400:这个是因为EDR检测到这个主机之前有扫描出来威胁文件没有设置为已处置,所以EDR还是认为他已失陷; 4、如果想查看真实是否失陷,需要要将半年之前的威胁文件处置(处置、信任、或者忽略) 5、建议:失陷主机定义只保留最新的扫描判断结果,或者新增策略功能,用户手动选择是否保留之前扫描失陷主机记录; |