Cet article présente les meilleures pratiques pour configurer les tâches planifiées de analyse à la demande (ODS).
Il existe deux approches différentes que vous pouvez utiliser lors de la planification:
stratégies basées sur une stratégie et Tâches client de analyse à la demande
personnalisées . En tant que meilleure pratique, procédez comme suit:
- Les analyses basées sur une stratégie permettent de configurer des tâches d’analyse hebdomadaires et quotidiennes régulières.
- Utilisez les analyses personnalisées lorsque des analyses supplémentaires sont nécessaires avec des configurations uniques de emplacement à analyser de destination ou de planification.
Vous trouverez ci-dessous plus d’informations sur chaque type d’analyse:
- Tâches d’analyse basée sur une stratégie - Planifiez ce type d’analyse à l’aide des tâches client par défaut « ODS - Analyse complète » et « ODS - Analyse rapide » fournies lors de l’archivage des extensions ePO ENS ou VSE. Ces tâches client permettent la configuration des paramètres de planification tels que la fréquence et l’exécution aléatoire. Cependant, le comportement d’analyse lui-même est défini à partir de la stratégie d’analyse à la demande affectée au poste client. Pour modifier la configuration des emplacements d’analyse pour ce type de tâche, modifiez la stratégie aux niveaux Catalogue de stratégies, Endpoint Security Prévention contre les menaceset Analyse à la demande. Ensuite, affectez les stratégies aux postes clients et leurs paramètres sont honorés lorsque la tâche est planifiée. La tâche client détermine les paramètres de chaque onglet de stratégie (Analyse rapide ou Analyse complète) utilisé pour planifier l’analyse. Les modifications de stratégie sont reflétées en temps réel sur le poste client pour les configurations d’analyse.
- Tâches d’analyse personnalisée - Contrairement aux tâches d’analyse basée sur une stratégie, une analyse personnalisée ne fait pas référence à la stratégie affectée au poste client lors de l’exécution de son analyse. A la place, tous les paramètres d’analyse (par exemple, emplacements d’analyse et configuration des performances), planification et exécution aléatoire sont entièrement contenus dans la configuration de la tâche elle-même. Les modifications apportées au comportement de l’analyse ne sont pas reflétées sur le poste client avant la prochaine exécution planifiée de la tâche. Les analyses personnalisées ne renvoient pas d’informations sur la page Propriétés du produit ePO, y compris des valeurs telles que « Date de la dernière analyse complète » et « Date de la dernière analyse rapide ». Configurez les analyses personnalisées via les tâches client, les Endpoint Security Prévention contre les menaces, la nouvelle tâche et le workflow d’analyse à la demande personnalisée dans ePO.
NOTE: Pour analyse personnalisée tâches, si vous redémarrez le système pendant l’analyse à la demande, l’analyse ne reprend pas après le démarrage du système.
La configuration de l’analyse à la demande s’effectue en deux étapes:
Configurer les emplacements à analyser et
planification de la fréquence d’analyse. Pour décider de la configuration des analyseur à la demande, analysez les cibles d’analyse afin de réduire les données analysées:
- Configurer les analyses à la demande quotidiennes de la mémoire dans le cadre de votre protection essentielle - Une analyse quotidienne de Mémoire des rootkits
et Processus en cours d'exécution
se termine rapidement, avec pratiquement aucune incidence sur les utilisateurs. Ce résultat sert d’avertissement anticipé indiquant qu’un élément suspect est présent. Effectuez immédiatement une analyse à la demande complète sur tout système en cas de détection de cette analyse quotidienne.
- Configurer une analyse à la demande de l’utilisateur actif et inclure les emplacements d’analyse suivants - Ces emplacements d’analyse sont souvent la cible d’attaques logiciel malveillant. Analysez ces emplacements au moins une fois par semaine, voire tous les jours:
- Dossier de profil utilisateur
- Dossier Temp
- Registre
- Fichiers enregistrés
- Dossier Windows
- Configurez des analyses à la demande complètes régulières dans le cadre de votre protection essentielle - Au minimum, incluez les paramètres suivants pour les analyses à la demande régulières:
- Emplacements par défaut:
- Mémoire des rootkits
- Processus en cours d'exécution
- Tous les lecteurs locaux
- Registre
- Options d’analyse:
- Analyser les sous-dossiers
- Secteurs d'amorçage
- Nous vous recommandons vivement de planifier l’analyse à la demande à ces intervalles:
- Tous les jours - En cas d’attaque majeure logiciel malveillant
- Toutes les semaines - Fournit une protection efficace
- Tous les mois - Protection correcte, présentant des risques
En outre, configurez les paramètres d’analyse à la demande suivants en fonction de vos besoins:
- Activer le cache d’analyse : le analyseur maintient une cache des fichiers précédemment analysés, même après les redémarrages de l’ordinateur. Ce paramètre améliore les performances en utilisant les résultats d’analyse existants pour déterminer si les fichiers doivent être analysés. Les fichiers non infectés sont ajoutés à l’cache d’analyse des fichiers non infectés. Lors de l’accès aux fichiers suivant, les fichiers ne sont pas analysés s’ils figurent dans la cache ou s’ils ne sont pas modifiés depuis la dernière analyse. Configurez l’option Utiliser la cache d’analyse dans la stratégie d’analyse à la demande.
- Configurer le système utilization : le paramètre système utilization est mappage à Windows Contrôle de priorité. Ce paramètre permet au système d’exploitation de contrôler le temps processeur que le analyseur reçoit pendant l’analyse. Si d’autres tâches dotées d’une priorité supérieure demandent le processeur, le système d’exploitation supprime le temps processeur du analyse à la demande (scan32.exe) et l’affecte aux autres tâches. Lorsque les autres tâches ne nécessitent plus autant d’UC, le système d’exploitation laisse le temps processeur à scan32.exe. Configurez l’option Système utilization dans la stratégie d’analyse à la demande.
Configurez le système utilization en fonction du type d’activité normalement exécuté sur le système. Pour plus d’informations sur le fonctionnement de cette fonctionnalité, voir l’article KB55145 - Présentation analyse à la demande paramètres de performances.
REMARQUE : Si vous définissez le système utilization sur une valeur trop basse, votre analyse peut prendre jusqu’à deux fois plus de temps.
|
Priorité |
Faible |
Pour les systèmes avec une activité utilisateur supérieure à la moyenne. Améliore les performances des autres applications en cours d'exécution. |
Sous la normale |
Pour les systèmes présentant une activité utilisateur typique, par exemple des ordinateurs personnels ou des ordinateurs portables. |
Normal |
Pour les systèmes avec peu ou pas d’activité utilisateur, ou si aucune application ne fournit de services utilisateur. Autrement dit, l’analyse s’exécute lorsque personne n’utilise le système. |
- Analyser uniquement lorsque le système est inactif : ENS peut détecter la présence et l’activité d’utilisateurs sur un système. ENS peut mettre les analyses en pause en conséquence pour éviter tout conflit d’utilisation des ressources. Cette option prend plusieurs considérations en compte pour déterminer si un système est utilisé activement, par exemple la saisie de la souris ou du clavier, les E/S de disque, etc. Cette fonctionnalité n’est pas recommandée pour les serveurs, car leur utilisation peut, par nature, être plus élevée en arrière-plan. Cependant, cette option peut être utile sur les postes clients ayant un temps d’indisponibilité fiable en dehors des heures de travail de l’utilisateur. Cette option ne limite pas la consommation des ressources lorsque des analyses sont en cours d’exécution. Cette option respecte les options d’utilisation du système configurées fournies par la tâche ou la stratégie d’analyse à la demande utilisée pour exécuter l’analyse.
- Limiter l’utilisation processeur maximale - Cette option permet aux administrateurs de définir un seuil de utilisation processeur % que les enS ne dépassent pas lors des analyses. Par exemple, si vous définissez Limiter l’utilisation processeur maximale à 25 %, ENS tente de conserver le processus traitant l’analyse mcshield.exe à un maximum de cette valeur, sauf lors de la saisie d’actions critiques telles que l’analyse à l’intérieur des archives. Cette option est disponible dans ENS 10.7.0et peut être sélectionnée lorsque l’option Analyser à tout moment est sélectionnée. Vous ne pouvez pas utiliser cette option avec l’option Analyser uniquement lorsque le système est inactif. Les exclusions de la stratégie d’analyse à la demande sont également à prendre en compte, car la fonctionnalité n’effectue pas de limitation du processeur lorsqu’elle est présente.