Este artículo le proporciona prácticas recomendadas para configurar las tareas de análisis bajo demanda planificadas (ODS).
Existen dos enfoques distintos que se pueden utilizar al planificar: tareas cliente
basadas en directivas y análisis bajo demanda
personalizadas . Como práctica recomendada, realice lo siguiente:
- Utilice análisis basados en directivas para configurar tareas de análisis semanales y diarias.
- Utilice análisis personalizados cuando se necesiten análisis adicionales con configuraciones exclusivas de la ubicación del análisis destinados o planificados.
A continuación encontrará más información sobre cada tipo de análisis:
- Tareas de análisis basadas en directivas : Planifique este tipo de análisis mediante la "ODS-análisis completo" y "ODS-análisis rápido" tareas cliente predeterminadas cuando se incorporan las extensiones de ePO ENS o VSE. Estas tareas cliente permiten la configuración de parámetros de planificación como la temporización y la ejecución aleatoria. No obstante, el comportamiento de análisis propiamente dicho se define a partir de la Directiva de ODS asignada al Endpoint. Para cambiar la configuración de ubicaciones de análisis para este tipo de tarea, modifique la Directiva en Catálogo de directivas, Endpoint Security prevención de amenazas, análisis bajo demanda. A continuación, asigne las directivas a los endpoints y su configuración se respetará cuando se programe la tarea. La tarea cliente determina la configuración de cada ficha de directiva (análisis rápido o análisis completo) que se utiliza para planificar el análisis. Los cambios de Directiva se reflejan en tiempo real en el Endpoint para las configuraciones de análisis.
- Tareas de análisis personalizadas : a diferencia de las tareas de análisis basadas en directivas, un análisis personalizado no hace referencia a la directiva asignada al Endpoint al ejecutar el análisis. En su lugar, todos los parámetros de análisis (por ejemplo, las ubicaciones de análisis y las configuraciones de rendimiento), la planificación y la ejecución aleatoria se encuentran en su totalidad en la configuración de la tarea. Los cambios en el comportamiento de análisis no se reflejan en el Endpoint hasta la próxima vez que se planifique la ejecución de la tarea. Los análisis personalizados no notifican información sobre la página de propiedades de producto de ePO, incluidos valores como "fecha del último análisis completo" y "fecha del último análisis rápido." Configure análisis personalizados a través de para los tareas cliente, Endpoint Security prevención de amenazas, tarea nueva, flujo de trabajo de análisis bajo demanda personalizado en ePO.
Nota: En el caso de las tareas de análisis personalizadas, si reinicia el sistema durante el ODS, el análisis no se reanuda después de arrancar el sistema.
La configuración de ODS es un proceso de dos fases:
Configurar qué ubicaciones se deben analizar y
Planificación de la frecuencia de análisis. Para decidir cómo configurar el analizador bajo demanda, divida los objetivos de análisis para minimizar los datos analizados:
- Configurar ODSs de memoria diario como parte de su protección esencial -Un análisis diario de Memoria para rootkits
y Procesos en ejecución
finaliza con rapidez, con prácticamente ningún impacto en los usuarios. Este resultado actúa como una advertencia temprana que indica que existe algo sospechoso. Realice inmediatamente un ODS completo en cualquier sistema con una detección de este análisis diario.
- Configurar los ODSs de usuario activos e incluir las siguientes ubicaciones de análisis -Estas ubicaciones de análisis son objetivos frecuentes de malware ataques. Analice estas ubicaciones al menos semanalmente o incluso a diario:
- Carpeta de perfil del usuario
- Carpeta Temp
- Registro
- Archivos registrados
- Carpeta Windows
- Configure las ODSs completas regulares como parte de su protección esencial -Como mínimo, incluya la siguiente configuración para ODSs regular:
- Ubicaciones predeterminadas:
- Memoria para rootkits
- Procesos en ejecución
- Todas las unidades locales
- Registro
- Opciones de análisis:
- Analizar subcarpetas
- Sectores de arranque
- Se recomienda encarecidamente planificar ODSs en estos intervalos:
- Cada día -Durante un brote de malware importante
- Semanal -Proporciona una buena protección
- Mensual -Protección decente, con riesgo
Además, establezca la siguiente configuración de ODS según sus necesidades:
- Active la caché de análisis : la analizador mantiene una caché de archivos previamente analizados incluso a través de reinicios del equipo. Esta configuración mejora el rendimiento mediante el uso de los resultados de análisis existentes para determinar si es necesario analizar los archivos. Los archivos limpios se agregan a la caché de análisis de archivos limpios. En el siguiente acceso a archivos, los archivos no se analizan si se encuentran en la caché o no se cambian desde el último análisis. Configure la opción utilizar la caché de análisis en la Directiva de ODS.
- Configurar sistema utilization : la configuración del sistema utilization se asigna a Windows Priority control. Esta configuración permite que el sistema operativo controle la cantidad de tiempo de CPU que recibe el analizador durante el análisis. Si otras tareas con una prioridad más alta solicitan la CPU, el sistema operativo toma tiempo de CPU del análisis bajo demanda ( scan32.exe ) y lo asigna a las demás tareas. Cuando las otras tareas ya no requieren tanta CPU, el sistema operativo devuelve el tiempo de la CPU a scan32.exe . Configure el sistema utilization de opciones en la Directiva de ODS.
Configure el sistema utilization en función del tipo de actividad que se realice normalmente en el sistema. Para obtener más información sobre cómo funciona esta función, consulte KB55145-Descripción de la configuración del rendimiento del análisis bajo demanda.
NOTA: Si se establece un sistema utilization demasiado bajo, el análisis puede tardar hasta el doble de tiempo.
|
Prioridad |
Baja |
Para sistemas con una actividad de usuario media superior. Proporciona un rendimiento mejorado del resto de las aplicaciones en ejecución. |
Por debajo de lo normal |
Para sistemas con actividad de usuario típica, como equipos personales o portátiles. |
Normal |
Para sistemas con poca o ninguna actividad de usuario, o sin aplicaciones que proporcionen servicios de usuario. En otras palabras, el análisis se ejecuta a la vez cuando nadie utiliza el sistema. |
- Analizar solo cuando el sistema está inactivo : ENS puede detectar cuándo están presentes los usuarios y si están activos en un sistema. ENS puede pausar los análisis en consecuencia para evitar un conflicto de uso de recursos. Esta opción utiliza varias consideraciones para determinar si se está utilizando un sistema de forma activa, como la entrada del ratón o del teclado, E/S de disco, etc. Esta función no se recomienda para los servidores, ya que pueden tener un uso natural más alto de los recursos en segundo plano. Sin embargo, esta opción puede resultar útil en los endpoints que tienen un tiempo de inactividad fiable fuera del horario de trabajo del usuario. Esta opción no limita el consumo de recursos cuando se están ejecutando los análisis. Esta opción se ajusta a la utilización de "del sistema configurada" las opciones proporcionadas por la tarea o la Directiva de ODS utilizadas para ejecutar el análisis.
- Limitar el uso máximo de la CPU: esta opción permite a los administradores definir un umbral de uso de la CPU% que ENS abstener de superar mientras se ejecutan los análisis. Por ejemplo, si establece limitar el uso máximo de CPU a 25%, ENS intentará mantener el mcshield.exe proceso controlando el análisis con un máximo de ese valor, excepto cuando se introduzcan acciones críticas como el análisis dentro de los archivos. Esta opción está disponible en ENS 10.7.0 y se puede seleccione cuando está seleccionada la opción "analizar en cualquier momento". No puede utilizar esta opción con "analizar solo cuando el sistema está inactivo." Las exclusiones de la Directiva de ODS también son una consideración, ya que la función no realiza la regulación de la CPU cuando está presente.