本帖最后由 喝酸奶要舔盖 于 2020-6-15 02:22 编辑
我与研发不得不说的故事(AF8.0.26beta-EDR本地版+EDR网端联动版beta+SIP3.0.42)
长图预告(29张图片)
文末总结二十来天的深度体验感受(图中有可能顺序错乱,批量上传的附件,论坛不知道咋设计的?不会根据已经在电脑上编辑好的编码上传的时候自动识别并且编号)应该不会影响阅读,建议使用电脑点击图片查看,手机看不到大图
问题总结+(个人建议)
AF授权影响的问题(以及别的问题)
(1):AF在网关授权数量为0的时候,依然可以上网!并且不影响任何业务(重点)
(2):网关授权为0的情况下云脑会离线,进一步影响僵尸网络查杀,AF不再阻止最新僵尸网络域名,因僵尸网络规则库更新是14天一次(无法更改自动更新时间,只有云脑才是最新的)所有的规则库都没法更改更新时间,云脑才是王道)
(4):安全运营中心存在设计漏洞(逻辑问题或者说体验问题),评估的结果显示不一样(请联系我详细演示)
(5):宇奇出来挨打!11号更换了一次云脑SDK,第二天系统日志报错了,请看图片
(6):告警方式能增加云平台短信告警吗?这都2020年了呀!还用短信猫,如果机房是屏蔽设计,短信猫有啥用!谁还天天记得登录邮箱查看告警呀!再不济弄个微信告警也行呀(你就把云图的告警提醒功能弄上,云图有微信告警(好评)或者把AC的一套认证拉过来用,撒娇打滚我也要拿过来(个人建议)
(7):考虑下SIP的联动吧,如果换成AF+EDR网端联动,详情看图
EDR网端联动
就我个人而言,还是暂时用着本地EDR吧,网端联动版本跟本地MGR存在相当大的差距,不再过多赘述。也跟规划经理聊了一些这个问题,当然,突然问起,也想不到那么多差距,夜深人静的时候,比如现在凌晨一点,仔细体验了一下,差距不是一般大!
还是单独提下这个举证问题,详情看下图(这都中毒失陷了,你举证已经关联的进程还是安全的?而且举证进程不一致,请本贴看最后一张图片(自行检索威胁进程有几个)
关于AF及网端联动的问题和个人建议暂时这么多吧
下图是态势感知的升级问题(自动升级不存在的)哪怕你发布了新版本
接下来说说日志分析问题(请看下面的图片)
这是AF的分析日志
这是SIP的分析日志,还停留在10号(请看图片)
重点来了,我在系统设置-管理员账号-切换了涉密模式(这是什么神仙模式呀,我也翻看了最新的用户手册,没有找到切换后我该用什么账户密码登录?,我是踩雷了吗?切换之后登录不上了,接下来我用升级工具连接测试-请看图片,使用原密码登录升级工具不是提示密码错误,提示网络问题(但请看图中右边,可以正常打开SIP的WEB管理页面的)
为了码字,容易吗?快救救孩子!这三更半夜的(扎心了)
还有下图,AF连接SIP的全流量分析,这个同步账号密码,我该去哪里改?AF管理员没有,SIP管理员没有,STA管理员没有,都没有~~
SIP的问题暂时到这里吧,因为我登录不上去了
接下来偷师学艺
29张图片的文字描述大多是开玩笑的,希望小仙女,大神们不要介意,你们都太忙了,太多要处理的事情
这个版本的体验暂时告一段落吧,从最初的4个人增加到11人,我就快召集神龙啦!
接下来........顶不住了,刷牙洗脸睡觉! 护发要紧 (田蕊)(宇奇)我答应你们说好的的反馈大多数在这里了 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-6-19 15:31
发表于 2020-6-15 09:24
技术员2级 
