อาการ:
เครื่องที่ติดตั้ง ES Agent ตรวจพบไฟล์ virus หรือ ransomware ที่อยู่บนเครื่อง ทำการ Quarantine ไปแล้วแต่ยังคงมีไฟล์ดังกล่าวกลับมาเป็นระยะๆ (ตัวAgentก็ทำการQuarantineให้เรื่อยๆ) ทำให้เกิดปัญหาการใช้งานเช่น BlueScreen
สาเหตุ:
เนื่องจากเครื่องดังกล่าว อาจจะเป็นเครื่อง OS ที่เก่า เช่น Windows 7 และไม่ได้ทำการupdate security patch อย่างต่อเนื่อง จึงทำให้ช่องโหว่ เช่น EternalBlue MS17-010 CVE‑2017‑0143 ถูกใช้งานจากการแพร่กระจายของ ransomware หรือ virus ได้
การตรวจสอบ:
1. ทำการตรวจสอบไฟล์ดังกล่าวว่าเป็น virus หรือ ransomware จริงหรือไม่
การตรวจสอบไฟล์ที่น่าสงสัยผ่าน Virustotal
2. ทำการ Vulnerability Scan ซึ่งจะตรวจสอบ Patch ที่ยังขาดหายอยู่บนEndpoint นั้น
วิธีสั่ง Manual สแกนไวรัส หรือช่องโหว่ (ข้อ2)
3. ตรวจสอบผลการ Scan ว่าแต่ละเครื่องมีขาด Security patch ไหนบ้าง
- สามารถไปที่ Response > Remediation หรือ Vulnerability > Patching เพื่อดูผลจากการตรวจสอบรวม
4. ตรวจสอบ Signature และ Vulnerability Database ว่าเป็นปัจจุบันหรือไม่ โดนจะขึ้นต้นเป็น ปี เดือน วัน
วิธีการแก้ไข:
1. ทำการupdate patch ต่างๆ ซึ่งยังขาดอยู่ โดยบางpatch ต้องการ Reboot
2. แนะนำให้ upgrade ES Manager ให้เป็น Version ล่าสุด เนื่องจากจะมี Feature ที่เพิ่มมาใหม่ที่ป้องกันได้ดีขึ้นเช่น Hot Patching รวมถึง Engine ใหม่ๆ
การ Upgrade Firmware ES Manager
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น