提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

二、基本信息确认

|

问题描述

EDR病毒查杀误报/漏报

告警信息

病毒查杀误报/漏报可能原因:
1、EDR版本/病毒库不是最新--更新版本/病毒库到最新;
2、EDR平台或者终端存在白名单--移除白名单;
3、相关引擎没有全部开启或策略设置不合理--检查全部引擎和策略配置;
4、其他杀毒软件误报--将对应文件/域名上传对应网站检测是否病毒;
5、终端性能不足导查杀致引擎无法起来--可转L2;

常见漏报场景分为以下类型:
场景1、第三方杀软检测到病毒我们未检出--先确认第三方是否误报,将对应文件上传对应网站检测是否病毒
场景2、网络设备报访问恶意域名EDR查杀无结果--将域名在对应网站检测,确认对应域名和IP是否误报
场景3、客户电脑使用异常怀疑中毒但是杀毒没问题--根据具体特征确定病毒类型

有效排查步骤

更多详细排查步骤请参考以下方法:
1、检查EDR病毒库/版本不是最新


2、检查EDR平台或者终端存在白名单
确认终端隔离区,MGR平台信任名单、已信任情况,如果有白名单的话,先和客户沟通删除白名单再进行查杀


3.5.24以上版本白名单位置
3、确认终端杀毒配置是否配置正确,包括如下:
①引擎是否全部开启
②MGR的配置是否下发到终端(是否有加锁以及配置的策略是否是对应终端所在的组)
③单个文件扫描扫描结果是否显示扫描文件数为1(为0的话代表跳过了,一般是白名单或者文件大小或者类型不匹配导致,建议调整)
4、分析其他杀毒软件是否误报,将对应文件/域名上传对应网站检测是否病毒

附:不同类型病毒感染终端的特征:
挖矿类:电脑很卡、CPU占用特别高、一直访问某些矿池域名、很多异常的powershell进程(无文件挖矿、驱动人生均有改特征)等
蠕虫类:一直发起大量连接扫描网络、很多自行发起的445、ssh、rdp等端口的连接等
勒索:大量数据类文件被改名,且桌面或数据文件目录留下勒索文件
其他:诸如新增异常用户名、DNS被修改等均可以百度看是否有对应特征病毒情况

解决方案

下一步操作:
1、怎么判断文件是恶意的:
2、病毒名称:
3、edr病毒库、平台版本:
4、是否存在白名单:
5、查杀策略设置情况:
6、文件分析情况:
7、Wiki反馈并提醒edrcs进行分析:
8、调试确认病毒查杀情况:
9、反馈研发分析

我要分享
文档编号: 230191
作者: admin
更新时间: 2023-01-05 17:29
适用版本: