Problèmes connus dans

Problèmes relatifs à
Problèmes connus suite à la migration vers Google Cloud Platform (GCP)
Problème nº
Problème
SEPGCP-6963
Dans Les versions 14.3 MP1 et antérieures de Symantec Endpoint Protection Manager, la fonctionnalité de pont ne fonctionne pas après la migration vers GCP.
Pour plus d'informations, consultez l'article de la base de données suivant : In SEPM 14.3 MP1 and lower, the bridge functionality will not work after the migration to GCP (Dans les versions 14.3 MP1et antérieures de SEPM, la fonctionnalité de pont ne fonctionne pas après la migration vers GCP).
SEPGCP-6730
Après la migration vers GCP, le journal du programme de chargement de pont affiche l'erreur suivante :
http error: 503 (Service Unavailable)
(Erreur HTTP : 503 (service non disponible))
Après un certain temps, l'erreur est automatiquement résolue. Vous pouvez utiliser le vidage DNS manuellement pour résoudre immédiatement l'erreur 503.
CDM-63546, SEPGCP-5789
Après la migration vers GCP, les informations de synchronisation ne s'affichent pas correctement :
  • Sur la page
    Gestion des périphériques
    , le
    statut de la dernière synchronisation
    indique
    Echec
    et la
    prochaine synchronisation
    ne s'affiche pas.
  • Sur la page
    Accès et authentification
    , l'heure de la
    synchronisation suivante
    ne s'affiche pas.
Ce problème n'affecte pas les fonctions du produit et les informations correctes s'affichent après quelques minutes.
Problèmes connus dans
Problème nº
Problème
CDM-65955
L'utilisation de plusieurs onglets de navigateur dans la console cloud n'est pas prise en charge et peut entraîner une déconnexion inattendue de l'onglet actuellement actif. Cette déconnexion est causée par le délai d'expiration de session de la console cloud sur l'un des autres onglets ouverts en arrière-plan.
Solution de contournement :
pour synchroniser le délai d'expiration de session pour tous les onglets, désactivez l'option de
limite des temporisateurs Javascript en arrière-plan
dans le navigateur Google Chrome ou Microsoft Edge.
ESMAC-2012
La mise à niveau de macOS 10.15 vers la version 11.0 avant la mise à niveau de l'agent Symantec pour Mac à partir de la version 14.2/14.3 vers la version 14.3 RU1 crée des périphériques en double dans la console cloud.
Pour éviter les doublons, vous devez mettre à niveau le client avant le système d'exploitation (c'est-à-dire mettre à niveau l'agent Symantec pour Mac de la version 14.2/14.3 vers la version 14.3 RU1, puis macOS de la version 10.15 vers la version 11.0).
CDM-58203
Vous pouvez utiliser un dossier personnalisé comme emplacement d'installation de plusieurs applications. Dans certains cas, une application peut également générer automatiquement des dossiers supplémentaires lors de son installation. La page
Eléments découverts > Applications
affiche toutes les applications installées dans le dossier personnalisé, y compris les dossiers d'application supplémentaires. Par exemple, vous installez les applications Firefox et Safari au même emplacement. Si l'installation de Safari a généré des dossiers supplémentaires, la page Eléments découverts affiche le dossier personnalisé ainsi que tous les dossiers Safari en tant qu'élément de l'application Firefox.
Si vous bloquez des applications avec ces associations de dossier, vous risquez de bloquer d'autres applications que vous voulez autoriser.
SEP-62347
Pour des agents 14.2, les détails de l'événement d'isolement d'application comportemental n'indiquent pas les informations du processus acteur ni du processus parent. Les informations apparaissent dans les détails d'événement des agents 14.3.
CDM-55787
Pour les agents 14.2, les détails d'événement indique la politique associée comme politique Antimalware par défaut au lieu d'une politique d'isolement d'application comportemental.Pour les agents 14.3, les détails indiquent la politique correcte.
SEP-57645
Après avoir inscrit un domaine
, les agents installés dans des environnements virtuels sont répertoriés en tant que périphériques physiques, non comme périphériques virtuels. Pour rechercher les agents installés dans des environnements virtuels ou physiques, sélectionnez
Terminal
>
Périphériques
et dans l'onglet
Périphériques gérés
, recherchez
Facteur de forme
.
SEP-54806
SEP-54808
Une politique MEM que vous verrouillez dans
n'apparaît pas verrouillée dans la console cloud.
Pour contourner ce problème, verrouillez la politique dans la console cloud.
SEP-54784
Lorsque vous déverrouillez la politique Antimalware dans la console cloud, l'option de diagnostic des téléchargements
Approuver automatiquement les fichiers téléchargés à partir d'un site Internet ou Intranet approuvé
n'est pas déverrouillée dans le client
.
SEP-54656
La politique de pare-feu dans la console cloud est déverrouillée sur le client uniquement si la politique de prévention d'intrusion l'est également dans la console cloud.
SEP-54868
Lorsque vous déverrouillez la politique MEM et la politique de prévention d'intrusion dans la console cloud, l'option d'
affichage des notifications de prévention d'intrusion et de prévention contre les exploits en mémoire
reste verrouillée sur le client
.
CCD-1699, CCD-1698
Le déploiement de l'agent via Workspace ONE fonctionne uniquement lorsqu'un utilisateur disposant de droits d'administrateur local est connecté au périphérique. Si aucun utilisateur n'est connecté au périphérique ou si l'utilisateur connecté ne dispose pas des droits d'administrateur local, l'installation échouera. Vous pouvez constater que l'installation a échoué, car le périphérique ne s'est pas inscrit au cours des 72 heures après le déploiement.
Ce comportement se produit lorsqu'une application est déployée via Workspace ONE.
Pour contourner ce comportement, connectez-vous au périphérique en tant qu'utilisateur disposant de droits d'administrateur local.
SEP-45238
Les périphériques gérés par
s'affichent toujours comme
gérés par Endpoint Protection Manager
dans le widget
Statut de sécurité des périphériques
.
Ce comportement est tout à fait normal. Le risque des périphériques gérés dans la console cloud uniquement est évalué par le tableau de bord
.
SEP-44689
Les clients
gérés dans le cloud signalent une alerte d'événement de sécurité
Block access to autorun.inf
(Bloquer l'accès à autorun.inf). Cependant, si
n'a pas de politique de contrôle des applications, les raisons de cette alerte ne sont pas claires.
Ce comportement est tout à fait normal. Par défaut, le client
active le contrôle des applications et la règle qui bloque autorun.inf. Vous pouvez désactiver cette règle via
, mais actuellement vous ne pouvez pas la désactiver via une politique dans la console cloud.
EPMP-57868
Lorsque vous affichez une alerte de contrôle des périphériques et tentez d'accéder à un lien hypertexte via celle-ci, le message d'erreur suivant s'affiche : Impossible d'exécuter cette opération. Une erreur inattendue s'est produite. Cette alerte n'est pas récente, mais elle n'est pas encore assez ancienne pour être purgée.
Ce comportement est tout à fait normal. Le lien de navigation dans une alerte ne fonctionne plus dans les cas suivants :
  • Vous avez supprimé le périphérique externe qui a déclenché l'alerte.
  • Le client
    n'est plus installé sur le périphérique.
CDM-42510
L'API d'exportation d'événements limite à 10 000 le nombre total d'événements récupérables dans une requête donnée. Une pagination supérieure à 10 000 résultats entraîne une erreur. Pour contourner ce problème, utilisez une période plus courte ou sélectionnez moins de fonctions dans la requête de filtre. Cette action limite le nombre d'événements renvoyés.
L'API d'exportation d'événements étant basée sur l'heure des événements, si vous l'appelez à l'aide de la dernière synchronisation de l'horodatage, tous les événements qui arrivent en retard seront manqués.
Ce problème peut survenir lorsque vous utilisez le module d'extension ICDx avec
.
Un correctif est prévu dans une version future pour résoudre ce problème.
Problèmes connus liés au contrôle des applications et à l'isolement d'application
Problème nº
Problème
SAEP-30639
Lorsque le renforcement d'application est activé dans le client
, vous pouvez tout de même télécharger des fichiers PDF si vous utilisez le navigateur Microsoft Edge. Le blocage du téléchargement de fichiers PDF fonctionne comme prévu avec les autres navigateurs.
Un correctif est prévu dans une version future pour ce problème.
Les applications ne se lancent pas même après le remplacement, car les processus associés de l’application remplacée ne sont pas ajoutés à la liste blanche.
Les notifications d'application remplacée et bloquée ne s'affichent pas si le nom du chemin d'accès au fichier dépasse 238 caractères.
SAEP-31161
Les politiques d'isolement d'application et les politiques d'isolement de plate-forme prêtes à l'emploi incluent des règles dans plusieurs options pour protéger les chemins d'accès au registre Windows des applications et du système d'exploitation. Les administrateurs peuvent également configurer des règles personnalisées pour ces chemins d'accès au registre.
Les règles de registre s'appliquent lorsque l'état de l'option est définie sur Activé. Toutes les opérations de registre sont consignées uniquement lorsque le
Paramètre de consignation d'accès
pour les règles est définie sur
Consigner
,
Consigner les éléments importants
ou
Consigner les éléments insignifiants
.
Avec ces règles de politique et paramètres de registre, des problèmes connus surviennent dans les cas de figure suivants :
  • Une règle de protection de registre inclut un paramètre
    Nom d'utilisateur
    .
    L'utilisateur spécifié est autorisé à créer, modifier ou supprimer les valeurs de registre associées aux clés protégées. Un administrateur est également autorisé à renommer la clé de registre protégé.
  • Une règle de protection de registre n'inclut aucun paramètre
    Nom d'utilisateur
    .
    Les opérations d'ajout, de modification ou de suppression de clé et de valeur dans les chemins d'accès au registre configurés dans la règle ne sont pas signalées. Ces événements de registre protégé (PREG) ne sont pas consignés. Cependant, les chemins d'accès au registre sont protégés.
L'exploration en cascade ne fonctionne pas pour le widget
Couverture d'isolement pour les détections suspectes
.
4161174
Isolement d'application : l'onglet
Versions
n'affiche pas toutes les versions d'application sur un périphérique sur lequel l'isolement est activé.
Accédez à
Eléments découverts > Applications
et sélectionnez une application. Sélectionnez l'onglet
Versions
. La liste des versions n'affiche pas une version différente de l'application installée sur vos périphériques.
Ce problème peut survenir dans les cas de figure suivants :
  • Une application est découverte sur un périphérique, puis vous ajoutez un autre périphérique sur lequel une version différente de l'application est découverte.
  • Vous installez ou désinstallez une application sur vos périphériques existants.
La découverte d'applications s'exécute toutes les 24 heures. Vous devrez peut-être patienter un certain temps jusqu'à l'issue de la découverte d'applications avant que des versions nouvelles ou différentes apparaissent dans la liste de versions.
CDM-35380
Internet Explorer s'arrête brutalement sous Windows 10 RS6 lorsque vous exécutez un script AutoIt pour télécharger des fichiers sur un périphérique qui utilise les paramètres de politique d'isolement de navigateur suivants :
  • Bloquer le téléchargement de fichiers de contenu
  • Autoriser les remplacements d'utilisateur
Pour contourner ce problème, modifiez le paramètre de politique pour autoriser les fichiers téléchargés.
CDM-38969
La politique d'isolement d'Internet Explorer n'empêche pas un utilisateur d'ouvrir et de télécharger un fichier PDF dans une fenêtre du navigateur Internet Explorer lorsqu'Adobe Reader est installé sur le terminal.
Si vous activez
Restrictions de téléchargement pour Internet Explorer > Bloquer le téléchargement de fichiers de contenu
, les utilisateurs pourront encore ouvrir, télécharger et enregistrer des PDF dans Internet Explorer si Acrobat Reader est installé. Si Internet Explorer ouvre un PDF dans une fenêtre de navigateur, Acrobat Reader est le processus qui lance le PDF, le paramètre d'isolement ne s'applique alors pas.
L'activation ou la désactivation du paramètre
Bloquer le téléchargement de fichiers de contenu
ne modifie pas l'utilisation d'Acrobat Reader pour les fichiers PDF par Internet Explorer dans une fenêtre de navigateur. Symantec déconseille de désactiver ce paramètre, car il bloque le téléchargement des fichiers lorsque les utilisateurs sélectionnent un lien PDF dans une fenêtre de navigateur ou qu'Adobe Acrobat Reader n'est pas installé.
Problèmes connus liés aux politiques d'intégrité du réseau et de redirection du trafic
Numéro
Problème
Si vous modifiez le nom de la politique d'intégrité du réseau dans la console, l'agent Symantec ne reflète pas la mise à jour.
Ce comportement se produit si vous modifiez le nom de la politique d'intégrité du réseau sans apporter de modification à ses paramètres.
Pour contourner ce problème, modifiez le nom de la politique lors de la modification de ses paramètres.
Dans
Terminal
> onglet
Mes tâches
, l'état de la tâche de
configuration de l'accès sécurisé au cloud
reste défini sur
En attente
jusqu'à ce qu'un jeton WSS valide soit fourni sur la page
Terminal
>
Paramètres
>
Web Security Service
.
De plus, dans l'onglet
Terminal
> page d'
accueil
, sous
Endpoint Security
, le nombre total de
tâches de priorité élevée
identifie toujours la tâche mentionnée ci-dessus comme une tâche en attente qui requiert votre attention.
Ce comportement se produit lorsque vous ne voulez pas configurer l'intégration de Web Security Service pour votre compte et que vous tentez de configurer les étapes rapides de
redirection du trafic
qui requièrent un jeton WSS valide pour réaliser la tâche.
Problèmes connus dans la console cloud 14.2
Problème nº
Problème
Si vous renommez le groupe
Mon entreprise
, le nom du groupe n'est pas modifié dans
.
Problèmes connus dans Endpoint Detection and Response
Problème nº
Problème
CDM-59593
Lors de la tentative de connexion à un terminal, l'erreur suivante s'affiche :
Nous ne pouvons pas traiter votre demande. Réessayez ultérieurement.
Cause :
le jeton attribué à l'agent n'a pas le privilège requis.
Solution :
l'actualisation du jeton avec les privilèges corrects peut prendre jusqu'à 24 heures.
CDM-59408
Dans certains cas, seule une partie de la session Live Shell est téléchargée.
Ce problème est en cours d'examen.
CDM-59337
L'exécution de la commande
history
dans une session Live Shell affiche certaines commandes non exécutées dans le résultat. Ce comportement est attendu avec les versions antérieures de Windows PowerShell (2.0 ~ 4.x).
CDM-58656
Les commandes nécessitant des entrées utilisateur ne fonctionnent pas dans Live Shell.
Il s'agit du comportement attendu.Vous ne pouvez pas exécuter de commandes PowerShell qui requièrent des entrées utilisateur dans une session Live Shell.
CDM-59244
Dans certains cas, un script collé dans une fenêtre de terminal Live Shell ne s'affiche pas correctement. Par exemple, plusieurs points d'interrogation peuvent s'afficher. Dans ce cas, appuyez deux fois sur Entrée pour obtenir un résultat approprié.
CDM-59075
Certaines commandes sont renvoyées vers la console Live Shell.
Il s'agit du comportement attendu. Certaines versions de Windows font écho à des commandes, d'autres non. Ce problème provient de PowerShell.
CDM-59073
L'exécution de la commande d'arborescence dans une session Live Shell affiche des caractères spéciaux dans le résultat.
Ce problème est en cours d'examen.
CDM-59285
Un agent présentant du contenu EDR antérieur (version antérieure à 4.1.0.x) ne renvoie pas le code d'erreur correct lors d'une tentative d'utilisation de Live Shell pour ce périphérique.
Par exemple, le message d'erreur
Nous ne pouvons pas traiter votre demande. Réessayez ultérieurement.
s'affiche.
Dès que Live Update met à jour le contenu sur l'agent vers la dernière version, ce problème ne se produit plus.
CDM-58892
La session Live Shell s'arrête lorsque la page est actualisée. Ce comportement est attendu.
CDM-59107
Les commandes donnant lieu à des données contenant des caractères spéciaux dans la réponse (par exemple, des caractères chinois) ne s'affichent pas correctement. PowerShell ne les affiche pas correctement non plus.
Ce problème survient, car Java ne prend pas en charge les octets non signés et ne peut donc pas les convertir correctement.
SEDR-82684
La mise en quarantaine ne fonctionne pas pour les fichiers binaires signés par Microsoft et Symantec, même si le statut affiché indique une réussite.
SEDR-84353
Sur la page
Examiner
,
Critère de groupement
, plusieurs périphériques portant le même nom s'affichent après leur suppression de la page des détails de périphérique.
Solution de contournement :
Pour afficher les
périphériques
, sélectionnez
Périphériques et périphériques gérés
.
SEDR-79019
Si les périphériques présentent plusieurs cartes NIC, vous ne pouvez pas rechercher d'événements à l'aide des adresses IPv4, IPv6 et MAC de ces cartes.
Solution de contournement :
Utilisez le champ Adresse IP du périphérique ou la recherche au format libre à l'aide du filtre de texte.
SEDR-84184
Pour les ID de critères de la règle de conformité des champs de recherche personnalisée, vous ne pouvez pas rechercher les valeurs 5, 15 et 25.
SEDR-84338
Les données ne s'affichent pas sur la page
Examiner
lorsque vous vous connectez à l'aide d'informations d'authentification d'administrateur sans privilège d'affichage de la page
Examiner
.
SEDR-84377
Dans le widget Evénements d'isolement, si vous cliquez à un emplacement sur l'axe des X, vous n'êtes pas redirigé vers la page Examiner.
SEDR-84295
Parfois, un nom de périphérique incorrect s'affiche dans les événements
Critère de groupement > Groupes de périphériques
signalés par des soumissions en mode silencieux à l'aide de l'UID de périphérique.
4248791
Les noms de fichier dont les caractères sont localisées ne s'affichent pas correctement sur la console CDM.
SEDR-84782
La plage de dates de l'application de calendrier de l'assistant
Obtenir le fichier
ne tient pas compte des millisecondes.
SEDR-84480
Sur la page
Examiner
pour le type d'événement 8027 (Evénements de détection de processus), une valeur de GUID s'affiche dans la colonne Nom du périphérique au lieu du nom d'hôte du périphérique. Si vous cliquez sur la valeur de GUID, elle ouvre la page des détails du périphérique.
SEDR-86816
Lors de l'utilisation de l'opérateur de requête Non égal à, les enregistrements dont la valeur est nulle ne s'affichent pas.
Ce comportement est normal. L'opérateur de requête Non égal à renvoie uniquement des enregistrements dont la valeur spécifiée dans la requête est non nulle.
4252243
L'opérateur NOT avec des
données de résultats de la valeur de registre
ne fonctionne pas comme prévu.
4249980
Cliquer sur certains fichiers n'affiche pas la page de détails correspondante. La demande entraîne une erreur indiquant que le fichier est introuvable. Pour créer l'inventaire de fichiers, activez la fonction de contrôle des applications Symantec.
4254022
Dans la page
Examiner
, les requêtes utilisant le champ Utilisateur inactif ne renvoient pas les résultats attendus.
4254030
Certaines requêtes de recherche au format libre affichent une erreur de validation, car les caractères spéciaux ne sont pas correctement échappés. Pour contourner ce problème, utilisez l'option Filtre personnalisé ou évitez d'utiliser des caractères spéciaux dans la requête.
4252335
Les requêtes comprenant l'opérateur Correspondances doivent utiliser le signe \ pour échapper les caractères spéciaux.
4250916
La fonction d'exportation des résultats de recherche n'exporte pas le champ Description.
4249983
Contenu en attente.
DPE-6521
Des conclusions sont parfois dupliquées lorsque plusieurs événements sont associés à un incident.