案例背景:某次出勤在外,偶遇客户反馈防火墙联动EDR的问题,防火墙版本8.0.45,EDR版本3.7.12,说是防火墙联动EDR显示在线,但是无法联动,防火墙上查看不到终端列表,行为管理上也查看不到,安全运营里面提示获取网络信息错误案例现象:
防火墙查询不到联动的终端列表,会提示读取文件失败的报错
安全运营中心提示网络通信失败 行为管理查看联动EDR的终端列表也是读取文件失败 排查思路: 1.确认防火墙和EDR联动通信情况是否正常,确认为正常 2.放大招协调400 排查过程: 1.400排查,发现EDR上报上来的终端信息有个ip没有,导致这个问题,需要协调研发确认 2.确认为EDR的问题,发现有已知补丁发布,EDR更新补丁后解决 edr_custom_i_af_agent_info_EDR-202310241117261_20231024105201 3.安全运营网络通信失败也是由于edr上传上来的终端信息有缺失,edr的配置字段缺失会影响业务安全界面的展示 安全运营中心的手动评估也有对应的业务安全 用户安全的内容项,导致安全运营无法执行,EDR升级补丁后,此问题也得到解决
总结:这个问题看似比较简单,但是定位起来比较麻烦,整体花了比较长的时间,如果大家遇到此问题,仅供参考,具体事件具体分析。 |