Problemas conhecidos do

Problemas no
Problemas conhecidos após a migração para o GCP (Google Cloud Platform)
Número do problema
Problema
SEPGCP-6963
No Symantec Endpoint Protection Manager versão 14.3 MP1 e anterior, a funcionalidade de ponte não funcionará após a migração para o GCP.
Para obter mais informações, consulte o seguinte artigo da base de conhecimento: In SEPM 14.3 MP1 and lower, the bridge functionality will not work after the migration to GCP (em inglês)
SEPGCP-6730
Após a migração para o GCP, o log do carregador de ponte mostra o seguinte erro:
http error: 503 (Service Unavailable)
Após algum tempo, o erro é corrigido automaticamente. Você pode usar a liberação de DNS manualmente para resolver o erro 503 imediatamente.
CDM-63546, SEPGCP-5789
Após a migração para o GCP, as informações de sincronização não são exibidas corretamente:
  • Na página
    Gerenciamento de dispositivos
    , o
    Status da última sincronização
    mostra
    Falhou
    e a hora da
    Próxima sincronização
    não é mostrada.
  • Na página
    Acesso e autenticação
    , o horário da
    Próxima sincronização
    não é exibido.
Esse problema não tem impacto funcional e, após algum tempo, as informações precisas serão mostradas.
Problemas conhecidos do
Número do problema
Problema
CDM-65955
Não há suporte para trabalhar no console de nuvem usando várias guias do navegador e pode haver um logoff inesperado na guia ativa no momento. Esse logoff é causado pelo tempo limite da sessão do console de nuvem em uma das outras guias abertas em segundo plano.
Solução alternativa:
para manter o tempo limite da sessão sincronizado em todas as guias, desative a opção
Throttle Javascript timers in background
do Google Chrome ou Microsoft Edge.
ESMAC-2012
O upgrade do seu macOS, de 10.15 para 11.0, antes do upgrade do Symantec Agent para Mac, de 14.2/14.3 para 14.3 RU1, cria dispositivos duplicados no console de nuvem.
Para evitar duplicações, você deve fazer upgrade do cliente antes de fazer upgrade do sistema operacional (isto é, fazer upgrade do Symantec Agent para Mac, de 14.2/14.3 para 14.3 RU1, e depois fazer upgrade do macOS, de 10.15 para 11.0).
CDM-58203
Você pode usar uma pasta personalizada como o local para instalar vários aplicativos. Em alguns casos, um aplicativo também pode gerar automaticamente pastas adicionais na instalação. A página
Itens descobertos > Aplicativos
mostra que qualquer aplicativo instalado na pasta personalizada também inclui todas as pastas adicionais do aplicativo. Por exemplo, instale o Firefox e o Safari no mesmo local da pasta. Se a instalação do Safari tiver gerado pastas adicionais, a opção Itens descobertos mostrará a pasta personalizada e todas as pastas do Safari como parte do aplicativo Firefox.
Se você bloquear qualquer um dos aplicativos com essas associações de pastas, poderá bloquear outros aplicativos que não deseja bloquear.
SEP-62347
Para os agentes da versão 14.2, os detalhes de evento do Isolamento comportamental de aplicativos não mostram o processo ativo nem as informações do processo pai. As informações são exibidas nos detalhes do evento para os agentes da versão 14.3.
CDM-55787
Para os agentes da versão 14.2, os detalhes dos eventos mostram a política associada como sendo a política antimalware padrão em vez da política de isolamento comportamental de aplicativos.Para os agentes da versão 14.3, os detalhes mostram a política correta.
SEP-57645
Após registrar um domínio do
domínio, os agentes instalados em ambientes virtuais são listados como dispositivos físicos, em vez de dispositivos virtuais. Para localizar agentes instalados em ambientes virtuais ou físicos, vá para
Endpoint
>
Dispositivos
e, na guia
Dispositivos gerenciados
, procure o
Fator forma
.
SEP-54806
SEP-54808
Uma política do MEM que você bloqueia no
não é mostrada como bloqueada no console de nuvem.
Para solucionar esse problema, bloqueie a política no console de nuvem.
SEP-54784
Quando você desbloqueia a política antimalware no console de nuvem, a opção
Confiar automaticamente em qualquer arquivo obtido por download de um site confiável da internet ou intranet
do Download Insight não é desbloqueada no cliente do
.
SEP-54656
A política de firewall no console de nuvem não é desbloqueada no cliente, a menos que a política de prevenção contra intrusões do console de nuvem também seja desbloqueada.
SEP-54868
Quando você desbloqueia a política do MEM e a política de prevenção contra intrusões no console de nuvem, a opção
Display Intrusion Prevention and Memory Exploit Mitigation notifications
ainda é exibida como bloqueada no cliente do
.
CCD-1699, CCD-1698
A implantação do agente por meio do Workspace ONE só funciona quando um usuário com direitos de administrador local está conectado ao dispositivo. Se nenhum usuário estiver conectado ao dispositivo ou se o usuário conectado não tiver direitos de administrador local, a instalação falhará. Você pode ver que a instalação falhou porque o dispositivo não foi inscrito no prazo de 72 horas após a implantação.
Esse comportamento ocorre quando qualquer aplicativo é implantado por meio do Workspace ONE.
Para contornar esse comportamento, efetue logon no dispositivo como um usuário com direitos de administrador local.
SEP-45238
Os dispositivos que o
gerencia são sempre mostrados como
Gerenciado(s) pelo Endpoint Protection Manager
no widget de
Status de segurança do dispositivo
.
Esse comportamento é esperado. Somente os dispositivos que são gerenciados no console de nuvem são avaliados em relação ao risco pelo painel do
.
SEP-44689
Os clientes do
gerenciados na nuvem relatam um alerta de evento de segurança,
Bloquear o acesso a autorun.inf
. No entanto, se o
não tiver uma política de Controle de aplicativos, isso significa que não será claro por que o cliente gerou esse alerta.
Esse comportamento é esperado. Por padrão, o cliente do
ativa o Controle de aplicativos e a regra que bloqueia o autorun.inf. É possível desativar essa regra por meio do
, porém, neste momento, não é possível desativar essa regra por meio de uma política no console de nuvem.
EPMP-57868
Quando você exibe um alerta de Controle de dispositivo e tenta seguir um hiperlink nele, é exibida a mensagem de erro: A operação não pode ser concluída. Ocorreu um erro inesperado. O alerta não é recente, mas ainda não é suficientemente antigo para ser limpo.
Esse comportamento é esperado. O link de navegação em um alerta não funcionará mais se:
  • Você tiver removido o dispositivo externo que acionou o alerta.
  • O dispositivo não tiver mais um cliente do
    .
CDM-42510
A API de exportação de eventos limita o número total de eventos que podem ser recuperados em uma determinada consulta para 10.000. A paginação além de 10.000 resulta em um erro. Para solucionar esse problema, use um intervalo de tempo menor ou selecione menos nomes de recurso como parte da consulta de filtro. Essa ação limita o número de eventos retornados.
Como a API se baseia na hora do evento, chamar a API de exportação de eventos usando o carimbo de data e hora da última sincronização fará com que todos os eventos posteriores sejam perdidos.
Você poderá ver esses problemas ao usar o plugin do ICDx com o
.
Uma correção para esses problemas está planejada para uma versão futura.
Problemas conhecidos do Controle de aplicativos e do Isolamento de aplicativos
Número do problema
Problema
SAEP-30639
Com o reforço do aplicativo ativado no cliente do
, será possível fazer o download de arquivos PDF de maneira inesperada se você usar o navegador Microsoft Edge. A prevenção do download de arquivos PDF funciona como esperado com outros navegadores.
Uma correção para esse problema está planejada para uma versão futura.
Os aplicativos não são iniciados mesmo após a sobreposição, pois os processos associados do aplicativo sobreposto não são adicionados à lista de permissão.
As notificações de sobreposição e bloqueio de aplicativos não serão mostradas se o nome do caminho do arquivo tiver mais de 238 caracteres.
SAEP-31161
As políticas de isolamento de aplicativos e as políticas de isolamento de plataformas prontas para uso incluem regras em várias opções de políticas para proteger os caminhos do registro do Windows para os aplicativos e o sistema operacional. Os administradores também podem configurar regras personalizadas para esses caminhos do registro.
As regras do registro só entram em vigor quando o estado da opção está definido como ATIVADO. As operações do registro são registradas somente quando a
Configuração do log de acesso
para as regras é definida como
Registrar em log
,
Registrar itens importantes em log
ou
Registrar itens triviais em log
.
Com essas regras de política e configurações do registro, há problemas conhecidos nos seguintes cenários:
  • Uma regra de proteção do registro inclui um parâmetro de
    Nome de usuário
    .
    O usuário especificado tem permissão para criar, modificar ou excluir os valores do registro que estão associados às chaves protegidas. Um administrador também pode renomear a chave do registro protegida.
  • Uma regra de proteção do registro não inclui um parâmetro de
    Nome de usuário
    .
    As operações de adicionar, modificar ou excluir a chave e o valor nos caminhos do registro configuradas na regra não são relatadas. Esses eventos de PREG (registro protegido) não são registrados. Os caminhos do registro, no entanto, são protegidos.
O detalhamento não funciona para o widget
Cobertura de isolamento para detecções suspeitas
.
4161174
Isolamento de aplicativos: a guia
Versões
não mostra todas as versões do aplicativo em um dispositivo ativado para isolamento.
Vá para
Itens descobertos > Aplicativos
e selecione um aplicativo. Selecione a guia
Versões
. A lista de versões não mostra uma versão diferente do aplicativo que está instalado nos dispositivos.
Você pode ver esse problema nos seguintes cenários:
  • Um aplicativo é descoberto em um dispositivo e, em seguida, você adiciona um novo dispositivo no qual uma versão diferente do aplicativo é descoberta.
  • Instale ou desinstale um aplicativo em seus dispositivos existentes.
A descoberta de aplicativos é executada uma vez a cada 24 horas. Talvez seja necessário aguardar um período até que a descoberta de aplicativos seja concluída para que versões novas ou diferentes sejam exibidas na lista de versões.
CDM-35380
O Internet Explorer trava no Windows 10 RS6 quando você executa um script AutoIt para fazer download de arquivos em um dispositivo que usa as seguintes configurações da política de isolamento do navegador:
  • Bloquear o download de arquivos executáveis ou de conteúdo
  • Permitir sobreposições de usuário
Para solucionar esse problema, altere a configuração da política para permitir que os arquivos sejam baixados.
CDM-38969
A política de isolamento do Internet Explorer não impede que um usuário abra e baixe um arquivo PDF em uma janela do navegador Internet Explorer quando o Adobe Reader estiver instalado no endpoint.
Se você ativar
Fazer o download das restrições para Internet Explorer > Bloquear o download de arquivos de conteúdo
, os usuários poderão continuar a abrir e, em seguida, baixar e salvar PDFs no Internet Explorer se o Acrobat Reader estiver instalado. Quando o Internet Explorer abre um PDF em uma janela do navegador, o Acrobat Reader é o processo que inicia o PDF, de modo que a configuração de isolamento não se aplica.
Ativar ou desativar a opção
Bloquear o download de arquivos de conteúdo
não altera o uso do Acrobat Reader para arquivos PDF do Internet Explorer em uma janela do navegador. A Symantec não recomenda desativar a configuração porque ela bloqueia o download de arquivos quando os usuários selecionam um link de PDF em uma janela do navegador ou quando o Adobe Acrobat Reader não está instalado.
Problemas conhecidos da Integridade da rede e do Redirecionamento de tráfego
Número
Problema
Se você alterar o nome da política de Integridade da rede no console, o Symantec Agent não refletirá o nome atualizado da política.
Esse comportamento ocorre quando você altera o nome da política de Integridade da rede sem fazer nenhuma alteração nas configurações da política.
Para solucionar esse problema, altere o nome da política e modifique suas configurações.
Na guia
Endpoint
> guia
Minhas tarefas
, a tarefa
Set up Secure Cloud Access
permanece no estado
Pendente
até que você forneça um token WSS válido na página
Endpoint
>
Parâmetros
>
Integração do Web Security Service
.
Além disso, na guia
Endpoint
> página
Início
, em
Endpoint Security
, a contagem total de
Tarefas de prioridade alta
sempre identifica a tarefa acima como pendente e que requer sua atenção.
Esse comportamento ocorre quando você não deseja configurar a Integração do Web Security Service para a sua conta e tenta configurar as etapas rápidas de
Redirecionamento de tráfego
que requerem um token WSS válido para concluir a tarefa.
Problemas conhecidos no console de nuvem da versão 14.2
Número do problema
Problema
Se você renomear o grupo
My Company
, o nome do grupo não será alterado no
.
Problemas conhecidos do Endpoint Detection and Response
Número do problema
Problema
CDM-59593
Ao tentar estabelecer conexão com o endpoint, você verá o erro:
Não foi possível processar a solicitação. Tente mais tarde.
Causa:
o token alocado para o agente não tem o privilégio necessário.
Solução:
pode levar até 24 horas para que o token seja atualizado com os privilégios corretos.
CDM-59408
Em alguns casos, apenas parte da sessão do Live Shell é baixada.
O problema está sob investigação
CDM-59337
A execução do comando '
history
' em uma sessão do Live Shell mostra alguns comandos não executados no resultado. Esse é o comportamento esperado com versões mais antigas do Windows PowerShell (da 2.0 até a 4.x)
CDM-58656
Os comandos que exigem entradas de usuário não funcionam no Live Shell.
Este comportamento é esperado.Não é possível executar os comandos do PowerShell que exigem entradas do usuário em uma sessão do Live Shell.
CDM-59244
Em alguns casos, um script colado em uma janela do terminal do Live Shell não será exibido corretamente. Por exemplo, você pode ver vários pontos de interrogação. Em tais casos, pressione Enter duas vezes para obter um resultado apropriado.
CDM-59075
Alguns comandos são ecoados de volta para o console do Live Shell.
Este comportamento é esperado. Algumas versões do Windows irão ecoar comandos e outros não. Este é um problema do PowerShell.
CDM-59073
Executar o comando tree em uma sessão do Live Shell mostra caracteres especiais no resultado.
O problema está sob investigação.
CDM-59285
O agente com conteúdo do EDR mais antigo (versão anterior a 4.1.0.x) não retornará o código de erro correto quando o Live Shell for experimentado para esse dispositivo.
Por exemplo, o erro
Não foi possível processar a solicitação. Tente mais tarde.
será exibido.
Depois que o conteúdo mais recente for atualizado no agente pelo Live Update, esse problema não ocorrerá.
CDM-58892
A sessão do Live Shell termina quando a página é atualizada. Esse é o comportamento esperado
CDM-59107
Os comandos resultantes de dados que têm caracteres especiais na resposta (por exemplo, caracteres chineses) não são exibidos corretamente. O PowerShell também não os exibe corretamente.
Esse é um problema em que o Java não oferece suporte a bytes não assinados e, portanto, não é possível convertê-los corretamente.
SEDR-82684
O arquivo de quarentena não funciona para os binários assinados pela Microsoft e Symantec, mesmo que o status seja exibido como com êxito.
SEDR-84353
Na opção
Agrupar por
da página
Investigar
, vários dispositivos com o mesmo nome são exibidos após a exclusão do dispositivo na página de detalhes do dispositivo.
Solução alternativa:
Para ver os
Dispositivos
, vá para os
dispositivo e os dispositivos gerenciados
.
SEDR-79019
Para dispositivos com várias NICs, não é possível pesquisar eventos usando o IPv4, o IPv6 e o MAC das NICs.
Solução alternativa:
Use o campo IP do dispositivo ou a pesquisa de formato livre usando o filtro de texto.
SEDR-84184
Para ID dos critérios da regra de conformidade do campo de pesquisa personalizada, não é possível pesquisar os valores 5, 15 e 25.
SEDR-84338
Falha ao mostrar dados na página
Investigar
ao efetuar logon usando as credenciais de administrador personalizadas que não têm o privilégio de visualização da página
Investigar
.
SEDR-84377
No widget Eventos de isolamento, se você clicar em qualquer lugar no eixo X, não será redirecionado para a página Investigar.
SEDR-84295
Às vezes, o nome de dispositivo incorreto é mostrado nos eventos de
Agrupar por > Grupos de dispositivos
relatados por envios silenciosos usando o UID do dispositivo.
4248791
Os nomes de arquivos com caracteres localizados não são exibidos corretamente no console do CDM.
SEDR-84782
O intervalo de datas do aplicativo de calendário para o assistente
Obter arquivo
não considera milissegundos.
SEDR-84480
Na página
Investigar
do tipo de evento 8027 (eventos de detecção de processos), um valor de GUID é mostrado na coluna Nome do dispositivo em vez do nome do host do dispositivo. Se você clicar no valor de GUID, a página de detalhes do dispositivo será aberta
SEDR-86816
Ao usar o operador de consulta "não é igual", os registros com um valor NULO não são exibidos
Esse é o comportamento esperado. O operador de consulta "não é igual" retorna somente os registros com um valor não nulo especificado na consulta.
4252243
O operador NÃO com
Registry_Value_Result_Data
não está funcionando conforme o esperado.
4249980
Ao clicar em alguns arquivos, a página de detalhes do arquivo correspondente não é exibida. A solicitação gera o erro de arquivo não encontrado. Para criar o inventário de arquivos, ative o recurso Controle de aplicativos da Symantec.
4254022
Na página
Investigar
, as consultas que usam o campo Usuário ocioso não retornam os resultados esperados.
4254030
Algumas consultas na pesquisa de formato livre exibem um erro de validação, pois os caracteres especiais não foram colocados corretamente entre as barras de escape. Como solução alternativa, use a opção Filtro personalizado ou evite usar caracteres especiais na consulta.
4252335
As consultas com o operador Correspondências precisam ter os caracteres especiais colocados entre as barras de escape "\".
4250916
A exportação de resultados da pesquisa não exporta o campo Descrição.
4249983
Conteúdo pendente.
DPE-6521
Conclusões duplicadas às vezes estão presentes quando há vários eventos associados a um incidente.