自适应威胁防护次重置缓存策略强制实施

技术文章 ID: KB95290
上次修改时间: 2022-03-31 13:15:09 Etc/GMT

环境

Endpoint Security (ENS) Adaptive Threat Protection (ATP) 10.x

问题

修改五个或多个 ENS ATP规则时，每个ATP重置一次策略强制实施。该问题会导致与网络（GTI）云Global Threat Intelligence （GTI）云或 Threat Intelligence Exchange （TIE）服务器（用于处理文件信誉网络流量）。在TIE 服务器，此问题还可能导致负载CPU高。

验证您是否出现此问题的步骤：

登录到 ePolicy Orchestrator （ePO）控制台。
转到(G)服务器设置.
选择自适应威胁防护.
检查是否有四个使用星号表示的规则。例如：观察*或enable*.

注意：星号表示已由默认修改的规则。

自AdaptiveThreatProtection_Activity.log:

2022-02-09 09:30:45.782Z |活动|Orchestrator |mfeatp | 10228| 8980|JTI |jti_native.cpp （687） |检测到 JTI 配置更改，正在清除 JCM 缓存
2022-02-09 09:35:30.326Z |活动|Orchestrator |mfeatp | 10228| 9628|OEMS |scan_orchestrator.cpp （1087） |配置 AAC 策略
2022-02-09 09:35:30.342Z |活动|Orchestrator |mfeatp | 10228| 9628||SCAN_ORCHESTRATOR.cpp （1123）或 |自适应威胁防护已启用
2022-02-09 09:35:31.842Z |活动|Orchestrator |mfeatp | 10228| 9628|JTI |jti_native.cpp （687） |检测到 JTI 配置更改，正在清除 JCM 缓存
2022-02-09 09:36:00.580Z |活动|Orchestrator |mfeatp | 10228| 3500|JTI |jti_native.cpp （687） |检测到 JTI 配置更改，正在清除 JCM 缓存

原因

特定ATP不会导致此问题。该问题是因规则数量ATP状态从默认. 如果您 ATP从默认自观察,使或禁用，ATP在每个客户端上执行策略强制实施。如果您将五条规则设置为混合ATP，则不会发生该问题观察,使或禁用.

解决方案

技术支持正在调查此问题。作为临时措施，请实施下列解决方法。

要在更新本文时收到电子邮件通知，请单击订阅位于页面右侧。您必须登录后才能订购。

解决方法 1

减少从以下ATP的规则数默认最多修改四个具有相同的状态的规则：

登录到 ePO 控制台。
转到(G)服务器设置.
选择自适应威胁防护.
单击编辑。
将ATP规则设置为默认，最多保留 4 个具有相同的状态修改的规则。

解决方法 2

将ATP分配从平衡更改为生产效率：

登录到 ePO 控制台。
转到策略目录。
点击Endpoint Security 自适应威胁防护.
点击选项.
打开您的策略。
更改规则分配自平衡自生产力.

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

受影响的产品

语言:

此文章有以下语言版本：

Knowledge Center

自适应威胁防护次重置缓存策略强制实施

环境

问题

原因

解决方案

解决方法 1

解决方法 2

免责声明

受影响的产品

语言:

Title

Title

Knowledge Center

自适应威胁防护次重置缓存策略强制实施

环境

问题

原因

解决方案

解决方法 1

解决方法 2

免责声明

受影响的产品

语言:

选择您的区域

Title

Title