#原创分享#AF联动EDR推送杀毒通知翻车小记1
  

TCN 131

用户拓扑
645185e1d65d59a35d.png

测试需求
AF对失陷主机推送杀毒通知,主机收到安装杀毒软件的警示

1、AF联动EDR,已经分享了很多的相关帖子,只有近期关于推送杀毒通知的测试,一直在翻车,都快找不到方向盘了
2、AF8017路径,用户安全--用户风险汇总--勾选用户--推送杀毒通知
547065e1d653fee0ad.png
3、用户访问http页面会被重定向,正常效果的效果应该是这样的,但实际上效果并未出现。
527315e1d65618bc35.png
4、有问题麻烦400,请专家出马。鉴于推送的模块厂家已经测试过,考虑到拓扑影响,AC可能对推送效果造成干扰,那就先去AC把防火墙地址做一个全局排除。
AC12040路径,系统管理--系统配置--全局排除地址--自定义排除地址,添加AF地址
294575e1d679c1b54c.png
5、继续测试推送效果,终于可以重定向了,但是页面有些奇怪,并不是AF的定制页面,这个是AC拦截WPS的效果
125155e1d6821bab45.png
6、进AC查看该上网策略的相关设置,是自定义URL策略,全勾选状态。
274475e1d68cf679b1.png
7、400尝试取消 网站浏览 的勾选,再次进行AF推送杀毒通知的测试,这次终于成功了。
失效主机访问凤凰网,会被重定向至杀毒软件安装页面。
821675e1d69991598e.png

总结:需求未实现,要考虑整体的网络架构,如这次AF推送未成功,可能是AC的上网策略拦截引起的。

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
2人已打赏

沧海 发表于 2020-1-14 19:14
  
学习一下@!
好心情 发表于 2020-1-14 22:44
  
翻得好,供大家学习
Yxhong 发表于 2020-1-15 10:00
  
学习一下
新手612152 发表于 2020-1-16 09:36
  

翻得好,供大家学习
zhao_HN 发表于 2020-1-16 14:27
  
AC排除AF地址