EDR に advanced analytics events が表示されない

book

Article ID: 236897

calendar_today

Updated On:

Products

Endpoint Detection and Response

Issue/Introduction

'No advanced analytics events occurred in the last 3 days. See "Why advanced analytics events are not appearing in EDR help" for more information.' という警告が Symantec Endpoint Detection and Response (EDR) のコンソールに表示される。

Cause

このエラーメッセージは、Symantec Endpoint Protection (SEP) クライアントが現在のルールセットに基づいて行うことが期待されている SONAR 提出について特に言及しています。EDR イベントデータベースでは type_id:4102 として表示されます。EDR アプライアンスのプライベートクラウド設定によるレピュテーション検索は、SONAR 提出でも同じように機能します。SEP クライアントはプロキシとして機能する EDR に提出を行い、EDR は公開の SONAR サーバーに送信する前にイベントデータベースに関連データを保存します。

また、登録の問題やポリシーの変更により、これらのイベントが EDR に送信されなくなったことも原因として考えられます。

Resolution

Symantec Endpoint Protection Manager (SEPM) の外部通信ポリシーで [匿名のデータをシマンテック社に送信して詳細な脅威防止インテリジェンスを受け取る] を有効にして、情報が EDR に送信されるようにします。

SEPM から:

[クライアント] - [SEP グループ] - [ポリシー] タブ - [外部通信] - [提出] - [匿名のデータをシマンテック社に送信して詳細な脅威防止インテリジェンスを受け取る]

注: デフォルトでは、ポリシーの継承は親グループ [My Company] からポリシーを継承するように設定されており、この設定がグレーアウトしている可能性があります。ポリシーの継承が無効の場合は、必要に応じて各グループを確認してください。

SEPクライアントの数、匿名データの送信の有無、環境のロックダウン状況によっては、3日 (72 時間) ごとの送信は期待できない場合があります。その場合、この警告を無効にしても問題ありません。

EDR Web コンソールから:

[Settings] - [Global] - [Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder] - [SEPM] - ケバブメニュー (黒丸が縦に 3 つ) - [SEP Policies] を選択します。

[Generate System Health warning when no important detection events appear for 3 days] のチェックボックスの選択を解除します。

これらのポリシーは、EDR コンソールで管理するのがベストプラクティスであることに注意してください。SEPM でポリシーを管理すると、ポリシーの競合や設定の問題が発生する可能性があります。

Additional Information

この動作は、What's New section of the EDR 4.4 Release Notes に "Receive System Health notifications when Symantec EDR has no event detection's for three days" と記載されています。

クライアントがイベントを送信していることを確認し、SEPM コントローラ接続で登録状況を確認します。

EDR Web コンソールから:

[Settings] - [Global] - [Endpoint Communication Channel, SEP Policies, and Endpoint Activity Recorder] - [SEPM] - ケバブメニュー (黒丸が縦に 3 つ) - [Enrollment Statistics] を選択します。

必要に応じて ECC クライアント登録時の Enrollment Statistics で、SEP クライアントが "Authentication Pending" で止まってしまう を参照してください。

 

[英語文書] Why advanced analytics events are not appearing in EDR

Attachments