一、安装EDR之后终端或服务器卡顿,排查步骤如下:
1、查看agent是否在扫描,如果在扫描,停止扫描电脑是否正常。 2、查看是否有开实时监控,如果有,将实时监控的等级调成低,测试看看是否还卡 3、若还卡顿则进行进程收集,后联系400处理 3.1打开任务管理器,选择映像路径 3.2 点击CPU及内存排序,观察电脑占用高的进程,确认是否进程占用高导致使用异常,并确认对应进程是否为EDR的进程 3.3将收集信息提供400进行排查 PS:EDR进程小科普 EDR在Windows系统中主要进程如下:
abs_ deplover. exe //绿色通道服务
edr_monitor.exe //Agent端主控服务,用于和平台通信
sfupdatemgr.exe //升级进程
ipc_proxy.exe //通信代理进程
edr_sec_ plan.exe //云安全计划进程
wtpclient.exe //流量上报应用层进程
edr_agent.exe //各插件业务宿主进程( 包括终端管理/基线检查/杀毒管理/ 微隔离/威胁定位/webshell检测等)
sfavsvc.exe //杀毒/实时监控服务
sfavui.exe //UI进程
EDR在Linux系统中的主要进程如下:
sfavsrv //毒查杀进程 在进行查杀操作的时候会被拉起,其他的时候进程不运行。
abs_deployer //绿色通道服务
edr_monitor //Agent端主控服务,用于和平台通信
sfupdatemgr/sfupdate //升级进程(sfupdate升级时启动)
Ipc_proxy //通信代理进程
edr_sec_plan //云安全计划进程
flux_app //流量上报应用层进程
edr_agent //各插件业务宿主进程(包括终端管理/基线检查/杀毒管理/微隔离/威胁定位/webshell检测等)
sfavsrv //杀毒进程 lloader //webshell/僵尸网络检测的威胁文件隔离进程
cpulimit //针对edr_agent、sfavsrv进行CPU资源控制的进程
EDR在MAC系统中的主要进程如下:
edr_agent sfavsrv //病毒查杀进程
edr_monitor //Agent端主控服务,用于和平台通信
ipc_proxy //通信代理进程
abs_deployer //绿色通道服务
二、EDR处置病毒处置失败,排查步骤如下: 1.检查终端状态是否正常,是否出于离线或者禁用状态,导致处置文件失败。 2.检查终端上对应路径威胁文件是否存在,如果存在检查md5是否和EDR平台上的md5一致,文件不存在或者md5变动会导致处置失败。 3.检查终端系统状态是否正常,内存占满等也会导致平台处置失败(内存占满问题重点检查)
三、EDR无法处置部分病毒(例如:银狐、powershell、宏病毒等),排查步骤如下: 1.查看agent是否正常在线,确认病毒查杀策略正常下发 2.查看规则库是否更新到最新,如病毒库版本较低则先升级最新病毒库 3.以上排查步骤无问题情况下,收集相关背景和信息摇400处理 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-8-5 04:59
技术员2级 
