#原创分享#EDR接入不正常如何处理？

    版本：3.2.16

    一、安装

    1、下载ova文件。

    路径：【自助服务】--【软件下载】--【终端检测响应平台EDR】

   

    2、导入ova文件

    【文件】--【打开】

   

    3、打开导入的虚拟机文件

    默认的管理员账号密码：账号****/密码****

   

   4、修改管理IP。

    a.通过登录管理台修改

    EDR的默认IP是10.251.***.251，将电脑配置成同一网段的IP，通过https://10.251.251.251进行登录。

   

   打开EDR管理平台。

   路径：【系统管理】--【系统设置】--【接口设置】

   可以修改设备的管理IP。

   b.修改配置

    vi /etc/sysconfig/network-scripts/ifcfg-eth0

    将原本的10.251.***.251更改为实际分配的IP地址。

   

    5、给终端安装agent

    安装方法很多，包括：直接从登录界面下载、下载安装包部署、网页推广部署、与AC联动部署、虚拟机模板部署等多种方式。

    路径：【系统管理】--【终端部署】

   

    6、给终端分配相应的策略

   路径：【终端管理】--【策略中心】

   给相应终端分配合适的策略。

   

  二、问题处理

  为了演示EDR系统的稳定性，决定将MGR平台重启。重启之后，发现agent无法接入。

  1、登录agent所在的终端，发现agent离线。

  

   2、尝试关闭MGR的防火墙；退出agent；重启MGR平台。

   防火墙关闭命令：stop firewall.service

   发现部分agent终端能连接上，部分终端连接不上。

   3、排查ARP

   在PC终端去ping管理平台的IP地址，发现一会儿通，一会儿不通。怀疑有IP冲突。

   经过对比，发现平台的MAC地址为：00-0c-29-**-**-**，而电脑得到的MAC地址为：00-1f-d0-**-**-**。

   解决方法：

   a.最好的解决方法是更换MGR的平台IP。但更换困难，因为不知道哪个IP地址是可用的。

      该平台IP是之前测试时用的，已经用了半年。

   b.通过在agent终端绑定静态ARP表，使用agent连接到正确的平台地址。

      先查看网卡的ID。

      netsh i i show in

      

     绑定静态IP。

     netsh -c "i i" add neighbors 15 "x.x.x.x" "*-*-*-*-*-*

     

     重启agent服务器，ARP的静态表项依旧存在。

    三、注意

    1、测试设备无法通过修改License的方式直接升级为正式版，需要重新安装一套新的平台。

    2、agent关闭时需要输入密码。

   

    3、agent连接MGR平台使用到的端口为443、8083、54120。

哇，楼主的图片处理得很好，还有小箭头去指引，很清晰呢。谢谢楼主的无私分享，学习到了不少。期待楼主更多精彩好文

厉害厉害，昨天刚刚部署了EDR平台，现在正在学习阶段

感谢楼主的分享。

配置很详细，图文并茂

厉害厉害，有预算肯定弄个EDR玩玩

很有指导意义的操作方法，谢谢。

过几天可能也要部署EDR，抓头挠耳中

学习总结：默认的管理员账号密码：roor/edr@sangfor   

图文配的很详细，要好好研究下。我觉得我的虚拟机应该可以用起来了