此问题已通过 ENS 10.7.0 2020 年 11 月更新得到解决。
故障排除:
如果您继续看到文件夹大小的意外增长,请执行以下步骤:
- 在受影响的系统上启用 ENS 调试日志记录。
- AMTrace在文件夹大小增加的情况下,运行 And 进程监视器几分钟。
有关说明,请参阅 KB86691 - Endpoint Security 问题的最少数据收集步骤。
- 从受影响系统上的 CLI 中运行以下命令。:
dir C:\$mfedeeprem\ /s >> c:\temp\deeprem.txt
- 立即运行最低升级要求(MER)。完成后,将文件(如果是 zipped)、 AMTrace 日志和进程监控日志提供 deeprem.txt 给技术支持。
背景:
- 任何信誉为 50(“未知”)或更低的新启动进程都会受到增强修复的监控。此外,由于加载未知或恶意的 DLL,任何具有信誉的已运行进程(降低到50或更低)都会受到监控。
- 如果针对某个进程启动增强补救,并且 ATP 扫描程序在 10 分钟内未进行任何检测,则该进程的监视将停止并且 mfedeeprem DLL 不会被注入。中 c:\$mfedeeprem\current_sessions\ 的会话详细信息将移至 c:\$mfedeeprem\terminated_sessions\ 。
- 系统每隔5分钟,存档的全部内容 c:\$mfedeeprem\terminated_sessions\ 都将存档到 c:\$mfedeeprem\archived_sessions\ 。
- 任何超过30天的存档会话都会自动删除。
- 要随时触发 "已终止会话" 文件夹的即时存档,请禁用并重新启用 ATP。
测试:要确认 Enhanced Remediation 正在运行,请在测试系统上从 CLI 运行以下命令:
copy c:\windows\system32\calc.exe c:\temp\not_calc.exe
echo "test" >> c:\temp\not_calc.exe
start c:\temp\not_calc.exe
修改后的
calc.exe 开始,但现在名声不明。您应该看到在
\current_sessions\下创建了一个新的会话 GUID。
I如果您启用了 ENS ATP 调试日志记录,
EnhancedRemediation_Debug 日志应该包含带有会话 ID 的条目以及与
not_calc.exe监控相关的其他详细信息。
排除项
在分配的按访问扫描策略标准风险排除项中添加进程路径或文件名的排除项。此排除项还可防止关联的增强补救操作 DLL 注入进程。
- 如果您是注册用户,请键入您的用户 ID 和密码,然后单击 " 登录"。
- 如果您不是注册用户,请单击 " 注册 " 并填写相应的字段,以通过电子邮件将您的密码和说明发送给您。