漏报场景:
1、先确认报毒是否webshell之类的,如果是的话,取出文件发给edrcs协助判断能否查杀(webshell需要在web目录下查杀)。不是的话,可以使用自己的电脑EDR查杀看下,查杀的时候需要注意查杀的文件数量,如果是0就代表没有扫描到文件,可以看下白名单或者是文件大小是否再在杀范围内。
![]()
2、如果文件没有查杀出来,那就属于漏报,可以取文件到到深信服沙箱/微步/VT确认是否第三方杀软误报,不同结果对应处理如下:
微步未报恶意,VT报产生不超过3个,深信服沙箱报恶意:获取相关域名到moa群“SIP安全效果响应”确认
微步报未知,VT报恶意厂商小于3个:同上
微步报未知,VT报恶意厂商大于等于3个:恶意
微步报恶意:恶意
3、确认文件是恶意的话,并且本地也没查杀出来,则可以去wiki反馈漏报,反馈完和edrcs说下,提醒他去查看。文件不是恶意的话,则与客户说明我们检测情况并建议客户和第三方产生确认下是否误报。
![]()
![]()
4、如果文件是恶意的并且本地检测出来了,可以确认客户那边终端隔离区,MGR平台信任名单(高版本开始白名单路径为:【响应中心】-【排除策略】)、已信任情况,如果有白名单的话,先和客户沟通删除白名单再进行查杀,
5、接4场景,确认本地检测引擎是什么,然后看下客户那边是否开启相关检测引擎(云查引擎需要终端能够上网,不能上网取文件反馈wiki说明情况,合入其他规则库);确认恶意文件是否大于客户这边查杀跳过大小。
误报场景:
1、同样取出文件本地查杀是否正常,如果本地查杀异常,则反馈wiki误报并提醒edrcs及时分析
2、如果本地查杀正常,则确认客户病毒库是否最新,版本是否最新,不是的话,建议更新之后再查杀看下
