の既知の問題

の問題
Google Cloud Platform (GCP)への移行後の既知の問題
問題の番号
問題
SEPGCP-6963
Symantec Endpoint Protection Manager バージョン 14.3 MP1 以前では、GCP への移行後にブリッジ機能が動作しません。
SEPGCP-6730
GCP への移行後、ブリッジ アップローダのログに以下のエラーが表示されます。
http error: 503 (Service Unavailable)
しばらくすると、エラーは自動的に修正されます。DNS フラッシュを手動で使用すると、503 エラーをすぐに解決できます。
CDM-63546、SEPGCP-5789
GCP への移行後、同期情報が正しく表示されません。
  • [デバイス管理]
    ページで、
    [前回の同期状態]
    に「
    失敗
    」と表示され、
    [次回の同期]
    の時間が表示されません。
  • [アクセスと認証]
    ページで、
    [次回の同期]
    の時間が表示されません。
この問題は機能に影響しません。しばらくすると正確な情報が表示されます。
の既知の問題
問題の番号
問題
CDM-65955
複数のブラウザ タブを使用したクラウド コンソールでの作業はサポートされていません。現在アクティブなタブで予期しないログアウトが発生する可能性があります。このログアウトは、バックグラウンドで開いている他のいずれかのタブのクラウド コンソール セッションがタイムアウトすることで発生します。
回避策:
すべてのタブでセッション タイムアウトを同期するには、Google Chrome または Microsoft Edge ブラウザで
[Throttle Javascript timers in background]
オプションを無効にします。
ESMAC-2012
Symantec Agent for Mac を 14.2/14.3 から 14.3 RU1 にアップグレードする前に、macOS を 10.15 から 11.0 にアップグレードすると、クラウド コンソールに重複したデバイスが作成されます。
重複を回避するには、オペレーティング システムをアップグレードする前にクライアントをアップグレードする必要があります(例: Symantec Agent for Mac を 14.2/14.3 から 14.3 RU1 にアップグレードしてから macOS を 10.15 から 11.0 にアップグレードする)。
CDM-58203
複数のアプリケーションをインストールする場所として、カスタム フォルダを使用できます。場合によっては、アプリケーションがインストール時に追加のフォルダを自動的に生成することがあります。
[検出済みアイテム] > [アプリケーション]
ページには、カスタム フォルダにインストールされたアプリケーションが表示され、追加のアプリケーション フォルダも含まれています。たとえば、Firefox と Safari を同じフォルダの場所にインストールします。Safari のインストールで追加のフォルダが生成された場合、[検出済みアイテム]には、Firefox アプリケーションの一部として、カスタム フォルダとすべての Safari フォルダが表示されます。
そのようなフォルダの関連付けがあるアプリケーションを遮断すると、遮断する必要がない他のアプリケーションが遮断される可能性があります。
SEP-62347
14.2 エージェントで、ビヘイビア アプリケーション隔離イベントの詳細に実行元プロセスまたは親プロセスの情報が表示されません。この情報は、14.3 エージェントのイベント詳細にも表示されません。
CDM-55787
14.2 エージェントで、イベントの詳細に、関連付けられたポリシーがビヘイビア アプリケーション隔離ポリシーではなくデフォルトのマルウェア対策ポリシーとして表示されます。14.3 エージェントでは、この詳細に正しいポリシーが表示されます。
SEP-57645
ドメインを登録した後に、仮想環境にインストールされたエージェントが仮想デバイスではなく物理デバイスとして示されます。仮想または物理環境にインストールされたエージェントを検索するには、
[エンドポイント]
>
[デバイス]
に移動し、
[管理対象デバイス]
タブで
[フォーム ファクタ]
を見つけます。
SEP-54806
SEP-54808
でロックした MEM ポリシーが、クラウド コンソールでロック済みとして表示されません。
この問題を回避するには、クラウド コンソールでポリシーをロックします。
SEP-54784
クラウド コンソールでマルウェア対策ポリシーをロック解除したときに、ダウンロード インサイトの
[信頼できるインターネットサイトまたはイントラネットサイトからダウンロードしたファイルを自動的に信頼する]
オプションが
クライアントでロック解除されません。
SEP-54656
クラウド コンソールのファイアウォール ポリシーは、クラウド コンソールの侵入防止ポリシーもロック解除されていない限り、クライアントでロック解除されません。
SEP-54868
クラウド コンソールで MEM ポリシーと侵入防止ポリシーをロック解除したときに、
[Display Intrusion Prevention and Memory Exploit Mitigation notifications (侵入防止とメモリ エクスプロイト緩和機能の通知を表示する)]
オプションが
クライアントで引き続きロック済みとして表示されます。
CCD-1699、CCD-1698
Workspace ONE を通じたエージェントの配備は、ローカル管理者権限を持つユーザがデバイスにログオンした場合にのみ機能します。デバイスにログオンしているユーザがいないか、ログオンしているユーザにローカル管理者権限がない場合、インストールに失敗します。配備から 72 時間以内にデバイスが登録されなかったため、インストールが失敗した可能性があります。
この動作は、任意のアプリが Workspace ONE を介して配備されている場合に発生します。
この動作を回避するには、ローカル管理者権限を持つユーザとしてデバイスにログオンします。
SEP-45238
で管理されるデバイスは常に、
[デバイスのセキュリティ状態]
ウィジェットで
[Endpoint Protection Manager による管理]
として表示されます。
これは正常な動作です。クラウド コンソールで管理されているデバイスのみが、
ダッシュボードによってリスク評価されます。
SEP-44689
クラウド管理
クライアントで、セキュリティ イベント警告 「
Block access to autorun.inf (autorun.inf へのアクセス遮断)
」が報告されます。ただし、
にアプリケーション制御ポリシーが存在しない場合、クライアントがこの警告を生成した理由が明確ではありません。
これは正常な動作です。デフォルトでは、
クライアントはアプリケーション制御と autorun.inf を遮断するルールを有効にします。このルールは
から無効にできますが、現時点ではクラウド コンソールのポリシーを使用してこのルールを無効にすることはできません。
EPMP-57868
デバイス制御の警告を表示してハイパーリンクをクリックすると、「操作を完了できません。予想外のエラーが発生しました。」というエラー メッセージが表示されます。この警告は最近発生したものではありませんが、削除されるほど古くはありません。
これは正常な動作です。以下の場合、警告のナビゲーション リンクは機能しなくなります。
  • 警告をトリガした外部デバイスが削除されました。
  • デバイスに
    クライアントが存在しなくなりました。
CDM-42510
イベント エクスポート API では、特定のクエリ内で取得できるイベントの総数が 10,000 に制限されます。10,000 を超えるページネーションではエラーが発生します。この問題を回避するには、時間範囲を短くするか、フィルタ クエリの一部として選択する機能名を少なくします。この処理によって、返されるイベントの数が制限されます。
API はイベント時間に基づいているため、最後に同期されたタイムスタンプを使用したイベント エクスポート API の呼び出しでは、遅れて到着したイベントは含まれません。
と共に ICDx プラグインを使用すると、これらの問題が発生する場合があります。
この問題は今後のリリースで修正される予定です。
アプリケーション制御とアプリケーション隔離の既知の問題
問題の番号
問題
SAEP-30639
クライアントでアプリケーションの強化が有効な状態で Microsoft Edge ブラウザを使用すると、予期せず PDF ファイルをダウンロードできてしまいます。PDF ファイルのダウンロードの禁止は、他のブラウザでは想定どおりに機能します。
この問題は今後のリリースで修正される予定です。
上書きされたアプリケーションの関連プロセスは許可リストに追加されないので、上書き後もアプリケーションは起動しません。
ファイル パス名が 238 文字を超える場合に、上書きおよび遮断したアプリケーション通知が表示されません。
SAEP-31161
標準装備のアプリケーション隔離ポリシーとプラットフォーム隔離ポリシーには、アプリケーションとオペレーティング システムの Windows レジストリ パスを保護するためのルールが複数のポリシー オプションに含まれています。管理者は、これらのレジストリ パスにもカスタム ルールを設定できます。
これらのレジストリ ルールは、オプションの状態が[オン]に設定されている場合にのみ有効になります。レジストリ操作は、ルールの
[ログ設定にアクセス]
[ログ]
[メジャーをログに記録]
、または
[単純をログに記録]
に設定されている場合にのみ記録されます。
これらのポリシー ルールとレジストリ設定には、以下のシナリオで既知の問題があります。
  • 保護レジストリ ルールに、
    [ユーザ名]
    パラメータが含まれます。
    指定されたユーザは、保護されたキーに関連付けられたレジストリ値の作成、変更、削除を許可されます。管理者は保護されたレジストリ キーの名前を変更することもできます。
  • 保護レジストリ ルールに、
    [ユーザ名]
    パラメータが含まれていません。
    ルールで設定されたレジストリ パスのキーと値の追加、変更、削除の操作は報告されません。これらの保護されたレジストリ(PREG)イベントはログに記録されません。ただし、レジストリ パスは保護されます。
[疑わしい検出に対する隔離対象範囲]
ウィジェットのドリルダウンは機能しません。
4161174
アプリケーション隔離の
[バージョン]
タブに、隔離が有効なデバイスの一部のアプリケーション バージョンが表示されません。
[検出済みアイテム] > [アプリケーション]
に移動し、アプリケーションを選択します。
[バージョン]
タブを選択します。バージョン リストに、デバイスにインストールされているアプリケーションの異なるバージョンが表示されません。
この問題は以下のシナリオで発生する場合があります。
  • アプリケーションがデバイス上で検出された後に、新しいデバイスを追加し、そのデバイスでアプリケーションの別のバージョンが検出されました。
  • 既存のデバイスにアプリケーションをインストールまたはアンインストールします。
アプリケーション検出は 24 時間ごとに実行されます。新しいバージョンや異なるバージョンがバージョン リストに表示される前に、アプリケーションの検出が完了するまでしばらく待つことが必要な場合があります。
CDM-35380
Windows 10 RS6 で AutoIt スクリプトを実行して以下のブラウザ隔離ポリシー設定を使用するデバイスにファイルをダウンロードすると、Internet Explorer がクラッシュします。
  • 実行可能ファイルのダウンロードを遮断する、またはコンテンツ ファイルのダウンロードを遮断する
  • ユーザ上書きを許可する
この問題を回避するには、ポリシー設定を変更してダウンロードしたファイルを許可します。
CDM-38969
Internet Explorer 隔離ポリシーでは、Adobe Reader がエンドポイントにインストールされているときに、ユーザが Internet Explorer ブラウザのウィンドウで PDF ファイルを開いてダウンロードする操作を阻止しません。
[Internet Explorer のダウンロードの制限] > [コンテンツ ファイルのダウンロードを遮断する]
を有効にすると、Acrobat Reader がインストールされているときに、ユーザは引き続き Internet Explorer で PDF を開いてダウンロードし、保存できます。Internet Explorer のブラウザ ウィンドウで PDF を開く場合、Acrobat Reader は PDF を起動するプロセスであるため、隔離設定は適用されません。
[コンテンツ ファイルのダウンロードを遮断する]
のオンとオフを切り替えても、Internet Explorer のブラウザ ウィンドウでの PDF ファイルに対する Acrobat Reader の使用は変更されません。ユーザがブラウザ ウィンドウで PDF リンクを選択した場合や Adobe Acrobat Reader がインストールされていない場合にファイルのダウンロードが遮断されるので、この設定をオフにすることは推奨されません。
Network Integrity とトラフィック リダイレクトの既知の問題
番号
問題
コンソールで Network Integrity ポリシーの名前を変更する場合、Symantec Agent で更新されたポリシー名が反映されません。
この動作は、ポリシー設定を変更せずに Network Integrity ポリシーの名前を変更した場合に発生します。
この問題を回避するには、ポリシー設定の変更時にポリシーの名前を変更します。
[エンドポイント]
タブ >
[マイ タスク]
タブでは、
[エンドポイント]
>
[設定]
>
[Web Security Service Integration]
ページで有効な WSS トークンを指定するまで、
[Set up Secure Cloud Access (Secure Cloud Access のセットアップ)]
タスクは
[保留]
状態のままになります。
また、
[エンドポイント]
タブの
[ホーム]
ページで、
[エンドポイント セキュリティ]
[高優先度のタスク]
の合計数では常に上記のタスクを注意が必要な保留タスクとして識別します。
この動作は、アカウントで Web Security Service 統合を設定せずに、タスクの完了に有効な WSS トークンを必要とする
トラフィック リダイレクト
クイック ステップを設定しようとした場合に発生します。
14.2 クラウド コンソールの既知の問題
問題の番号
問題
[My Company]
グループの名前を変更しても、
のグループ名は変更されません。
Endpoint Detection and Response の既知の問題
問題の番号
問題
CDM-59593
エンドポイントに接続しようとすると、「
要求を処理できません。後で再試行してください。
」というエラー メッセージが表示されます。
原因:
エージェントに割り当てられたトークンに必要な権限がありません。
解決方法:
トークンが正しい権限で更新されるまで、最大で 24 時間かかる場合があります。
CDM-59408
一部のライブ シェル セッションのみがダウンロードされる場合があります。
この問題は調査中です。
CDM-59337
ライブ シェル セッションで 「
history
」コマンドを実行すると、いくつかの実行されていないコマンドが結果に表示されます。これは旧バージョンの Windows PowerShell バージョン(2.0 ~ 4.x)で予期される動作です。
CDM-58656
ユーザ入力を要求するコマンドがライブ シェルで機能しません。
これは正常な動作です。ライブ シェル セッションでは、ユーザ入力を必要とする PowerShell コマンドは実行できません。
CDM-59244
ライブ シェルの端末ウィンドウに貼り付けられたスクリプトが正しく表示されない場合があります。たとえば、複数の疑問符が表示される場合があります。そのような場合は、Enter キーを 2 回押すと適切な結果が得られます。
CDM-59075
一部のコマンドがライブ シェル コンソールにエコー バックされます。
これは正常な動作です。Windows のバージョンによっては、コマンドがエコーされる場合とされない場合があります。これは PowerShell の問題です。
CDM-59073
ライブ シェル セッションで tree コマンドを実行すると、結果に特殊文字が表示されます。
この問題は調査中です。
CDM-59285
古い EDR コンテンツ(バージョン 4.1.0.x 未満)を持つエージェントは、そのデバイスでライブ シェルを試みたときに正しいエラー コードを返しません。
たとえば、「
要求を処理できません。後で再試行してください。
」というエラー メッセージが表示されます。
Live Update によってエージェントで最新のコンテンツが更新されると、この問題は発生しません。
CDM-58892
ページが更新されるとライブ シェル セッションが終了します。これは正常な動作です。
CDM-59107
コマンドの応答で特殊文字(中国語の文字など)が含まれるデータが正しく表示されません。PowerShell でも正しく表示されません。
この問題は、Java で符号なしバイトをサポートしておらず正しく変換できないために発生します。
SEDR-82684
ファイルの検疫は、状態が成功と表示されている場合でも、Microsoft 社とシマンテック社の署名済みバイナリに対して機能しません。
SEDR-84353
[解析]
ページの
[グループ基準]
で、[デバイスの詳細]ページからデバイスを削除した後も、同じ名前の複数のデバイスが表示されます。
回避策:
[デバイス]
を表示するには、
[Device and Managed Devices (デバイスと管理対象デバイス)]
に移動します。
SEDR-79019
複数の NIC を搭載したデバイスで、NIC の IPv4、IPv6、および MAC を使用してイベントを検索できません。
回避策:
[デバイス IP]フィールドを使用するか、テキスト フィルタを使用して自由形式の検索を実行します。
SEDR-84184
カスタム検索フィールドの[コンプライアンス ルール基準 ID]で、値 5、15、および 25 を検索できません。
SEDR-84338
[解析]
ページの表示権限がないカスタム管理者の資格情報を使用してログインした場合、
[解析]
ページのデータを表示できません。
SEDR-84377
[隔離イベント]ウィジェットで X 軸の任意の場所をクリックしても、[解析]ページにリダイレクトされません。
SEDR-84295
デバイス UID を使用したサイレント提出によって報告される
[グループ基準] > [デバイス グループ]
のイベントに正しいデバイス名が表示されないことがあります。
4248791
ローカライズされた文字を含むファイル名が CDM コンソールで正しく表示されません。
SEDR-84782
[ファイルの取得]
ウィザードのカレンダ アプリケーションの日付範囲で、ミリ秒は考慮されません。
SEDR-84480
イベントの種類が 8027 (プロセス検出イベント)の
[解析]
ページで、[デバイス名]列にデバイスのホスト名ではなく GUID 値が表示されます。GUID 値をクリックすると、[デバイスの詳細]ページが開きます。
SEDR-86816
「次の値と等しくない」クエリ演算子を使用する場合、値が NULL のレコードは表示されません。
これは仕様です。「次の値と等しくない」クエリ演算子では、クエリで非 NULL 値が指定されたレコードのみを返します。
4252243
Registry_Value_Result_Data
で NOT 演算子が予想どおりに動作しません。
4249980
一部のファイルをクリックしたときに、対応する[ファイルの詳細]ページが表示されません。要求エラーが発生し、ファイルが見つからないというエラー メッセージが表示されます。ファイル インベントリを作成するには、Symantec アプリケーション制御機能を有効にします。
4254022
[解析]
ページで、[ユーザ アイドル]フィールドを使用したクエリが期待される結果を返しません。
4254030
自由形式の検索の一部のクエリで、特殊文字が正しくエスケープされないために検証エラーが表示されます。回避策として、[カスタム フィルタ]オプションを使用するか、クエリに特殊文字を使用しないようにします。
4252335
「一致」演算子を含むクエリでは、「\」を使用して特殊文字をエスケープする必要があります。
4250916
検索結果のエクスポートで、[説明]フィールドがエクスポートされません。
4249983
コンテンツは保留中です。
DPE-6521
インシデントに複数のイベントが関連付けられている場合、重複した結論が表示されることがあります。