Cómo mejorar el rendimiento con Endpoint Security
Artículos técnicos ID:
KB88205
Última modificación: 2022-09-12 16:50:48 Etc/GMT
Última modificación: 2022-09-12 16:50:48 Etc/GMT
Entorno
McAfee Endpoint Security Protección adaptable frente a amenazas (ATP) 10.x
McAfee Endpoint Security Prevención de amenazas 10.x
McAfee Endpoint Security Prevención de amenazas 10.x
Resumen
Utilice este artículo para mejorar el rendimiento y solucionar problemas que puedan surgir después de instalar Endpoint Security. El artículo se actualiza a medida que se recopila más información sobre los problemas de rendimiento. Por lo tanto, marque aquí primero para obtener asistencia Si experimenta síntomas de rendimiento.
Temas de este artículo:
McShield.exe
ElMcShield.exe proceso de Endpoint Security es el proceso que realiza análisis de archivos. Cuando se analizan los archivos a medida que se accede a ellos, se trata de un análisis en tiempo real. Cuando los archivos se analizan a medida que se especifican, se trata de un análisis bajo demanda. Es fácil confundir qué función contribuye con el síntoma del rendimiento si solo examina este proceso y su consumo de CPU.
Para determinar si el analizador bajo demanda contribuye a un síntoma de rendimiento deMcShield.exe , inspeccione la OnDemandScan_Activity.log (at %ProgramData%\McAfee\Endpoint Security\Logs ). Si el síntoma coincide con la actividad de OnDemandScan_Activity.log , es probable que esté implicado el analizador bajo demanda. En caso contrario, es probable que el analizador en tiempo real esté implicado. A continuación, realice un seguimiento de la mejora del rendimiento de la analizador en tiempo real, el analizador bajo demanda, o ambos, en las secciones siguientes.
Volver a los temas
Analizador en tiempo real
El analizador en tiempo real es el analizador de la hora en la que se utiliza la CPU únicamente cuando otros procesos en ejecución acceden a los archivos del disco. Un análisis de lectura se produce antes de que se lea un archivo, se realiza un análisis de escritura después de que se escriba un archivo en el disco. El uso de la CPU es proporcional a la cantidad de actividad de archivo que se produce para lecturas o escrituras.
Si cree que el analizador en tiempo real utiliza una CPU excesiva, póngase en contacto con Soporte técnico para investigar el comportamiento. Existen varios enfoques que pueden mejorar el rendimiento del analizador en tiempo real, ya sea para el análisis de lectura o para el análisis de escritura.
Volver a los temas
Uso del análisis de perfiles para mejorar el rendimiento
Segundo plano:
El analizador en tiempo real está equipado con tres perfiles de análisis, denominados estándar, riesgo altoy riesgo bajo. De forma predeterminada, solo se utiliza el perfil estándar. Este hecho significa que la configuración de estándar se aplica a todos los procesos. Es decir, cuando un proceso accede a un archivo del disco, se utiliza la configuración estándar para determinar si se debe realizar un análisis. Las exclusiones se definen para cada perfil de análisis.
Para activar los perfiles de análisis adicionales, seleccione configurar opciones distintas para procesos de riesgo alto y bajo riesgo en configuración de procesos. Esta selección ofrece más flexibilidad a la hora de controlar lo que se analiza o no, ya que las exclusiones se definen por perfil. Si desea que las exclusiones se apliquen solo a ciertos procesos en lugar de a todos los procesos, agregue exclusiones a un perfil de riesgo alto o bajo e indique los procesos que desea definir para ese perfil.
Ejemplo: SupongamosMyApp.exe que el único proceso está escribiendo decenas de miles de archivos temporales en la C:\Windows\Temp carpeta. Además, supongamos que sabe que no es necesario analizar esos archivos porque conoce MyApp.exe el comportamiento, pero no desea excluirlo \Windows\Temp de todos los procesos.
Para utilizar la opción establecer una configuración distinta para los procesos de riesgo alto y bajo, se define**\Windows\Temp\* como una exclusión de patrón en el perfil de bajo riesgo. Además, se define MyApp.exe como un proceso para utilizar el perfil de riesgo bajo. Ahora, se analizan todos los demás procesos que tienen acceso a \Windows\Temp sus actividades. No obstante, las actividades de MyApp.exe se excluyen del análisis porque residen en el perfil de riesgo bajo con la exclusión.
El método del ejemplo puede llevar un paso más adelante y este paso es donde puede mejorar el rendimiento mediante el análisis de perfiles. En el caso de los procesos que defina para utilizar el perfil de bajo riesgo, en lugar de solo las exclusiones, puede establecer no analizar al leer o escribir en el disco. Esta configuración evita el análisis de la actividad de archivo generada porMyApp.exe y cualquier otro proceso de ese perfil, y se trata de un punto de decisión que se ha alcanzado mucho antes en el flujo de trabajo de análisis. Este hecho es motivo por el que este método produce una mejora significativa en el rendimiento en comparación con las exclusiones.
Si es necesario, puede definir el proceso del sistema como un proceso de riesgo bajo. Esta definición es aplicable cuando el archivo de lectura/escritura en el disco se está produciendo en otro sistema.
Volver a los temas
Analizador bajo demanda
El analizador bajo demanda solo se ejecuta cuando se hace clic en "analizar ahora" desde la consola de Endpoint Security, o bien como tarea planificada (configurada desde la consola de Endpoint Security o a través de las directivas o tareas de ePolicy Orchestrator). El analizador bajo demanda solo utiliza la CPU cuando se ha invocado a través de estos métodos. El analizador bajo demanda puede utilizar más del 90% de la CPU disponible cuando se ejecuta.
Existen algunas prácticas recomendadas que se pueden configurar para reducir el impacto del sistema en los análisis bajo demanda. No obstante, se espera que las disminuciones en el uso de recursos se reduzcan al coste de los tiempos de análisis más elevados. Las opciones de
utilización del sistema están disponibles para su configuración. Esta opción está relacionada con Windows Priority control, que determina la prioridad del proceso de análisis bajo demanda cuando el sistema operativo determina dónde asignar los recursos del sistema según sea necesario. En un nivel básico, la prioridad más alta que se asigna a un proceso bajo Windows control de prioridad, cuantos más recursos pueda reclamar a los procesos con menor prioridad que intenten acceder a esos mismos procesos. Para obtener más información, véase: KB55145-Descripción de la configuración del rendimiento del análisis bajo demanda. La ejecución de un análisis bajo demanda a continuación normal impide que el análisis deje tiempo de CPU de los procesos que se ejecutan con una prioridad normal . Si se establece en bajo, el análisis bajo demanda no se aleja el tiempo de CPU de los procesos que se ejecuten con una prioridad superior. Tanto baja como por debajo de lo normal son opciones efectivas, con la siguiente normalidad , con el equilibrio más eficiente del consumo de recursos comparado con los incrementos de tiempo en los análisis.
Una alternativa a la utilización del sistema es utilizar la opción para limitar el uso máximode la CPU. Esta opción solo está disponible cuando el sistema que se va a analizar se está ejecutando Endpoint Security 10.7.x y solo cuando se selecciona la opción analizar en cualquier momento en la configuración del análisis. Esta opción sustituye la dependencia de la lógica de planificación de sistemas del sistema operativo con umbrales de consumo de CPU de proceso en la propia Directiva de análisis bajo demanda de Endpoint Security. Una vez que se cumplen los umbrales, Endpoint Security toma medidas para regular su uso del tiempo de CPU a fin de evitar que se supere el parámetro configurado. Por ejemplo, si limitar el uso máximo de la CPU está establecido en un valor de 25%, Endpoint Security intentará mantener elMcShield.exe proceso controlando el análisis por debajo de ese valor, excepto al introducir acciones críticas como analizar dentro de los archivos. Aunque es sumamente eficaz en el rendimiento del análisis, esta opción tiene un resultado directo en los tiempos de análisis y no surte efecto si existe alguna exclusión para el análisis bajo demanda.
Endpoint Security también incluye la opción de configurar los análisis para que solo se ejecuten cuando se determina que el sistema está en un estado de inactividad, mediante el análisis de configuración solo cuando el sistema está inactivo. Esta opción detiene completamente un análisis en ejecución cuando los usuarios finales están activos en el sistema, y una vez que deja de funcionar la actividad de los usuarios en el sistema, el análisis continúa mientras se intenta utilizar la cantidad máxima de recursos disponibles. Esta opción tiene en cuenta varios parámetros diferentes para determinar si un sistema está inactivo, como la entrada del ratón o el teclado, E/S de disco, etc. Esta opción puede ser muy efectiva en los sistemas de los usuarios finales. No obstante, no se recomienda seleccionarlo al analizar los sistemas del servidor.
Puede realizar más acciones en términos de ubicaciones de análisis y elementos de análisis para mejorar el rendimiento del análisis. El análisis de archivos comprimidos puede ser redundante, ya que el hecho de extraer un archivo también invoca un análisis en tiempo real. La realización de análisis rápidos de ámbito pequeño a diario de ubicaciones comunes, como los directorios de descarga de usuarios, las carpetas de Windows y las carpetas temporales, puede mejorar la postura de seguridad y también crear una caché de análisis para evitar el análisis duplicado. Se han realizado mejoras adicionales para el análisis de confianza y la caché de análisis bajo demanda en la actualización de ENS 10.7.0 de junio de 2021 y la ejecución de la versión más reciente de Endpoint Security garantiza la utilización de las mejoras y mejoras del producto más recientes.
Volver a los temas
Las exclusiones no son la forma más eficiente de mejorar el rendimiento
Cuando se accede a un archivo, existen varios puntos de decisión en la lógica de análisis o en el flujo de trabajo de análisis. La decisión más temprana que se puede tomar para evitar el análisis del archivo y su contenido, mejor mejora del rendimiento. Las exclusiones se procesan al final del flujo de trabajo de análisis, lo que los convierte en la forma menos efectiva de mejorar el rendimiento.
Las exclusiones son un medio sencillo para mejorar el rendimiento, ya que las opciones para excluir archivos son flexibles y puede configurar cualquier número de ellos. No obstante, si tiene muchas exclusiones o muchos archivos exclusivos que requieren exclusión, el tiempo de flujo de trabajo de análisis y el esfuerzo para procesar exclusiones pueden reducir el rendimiento. La práctica recomendada es utilizar las exclusiones como medio para mejorar el rendimiento del análisis cuando:
Volver a los temas
Permitir archivos mediante la herramienta GetClean
Utilice la herramienta McAfee Enterprise llamada GetClean (véase la Guía del producto de GetClean, disponible en el sitio de descargas de productos) para mejorar el rendimiento del análisis. Esta herramienta proporciona muestras o información de archivos a McAfee Enterprise y se utiliza para actualizar nuestra Global Threat Intelligence (GTI) Cloud. Una vez que se actualiza la nube, cuando se produce un análisis y se lleva a cabo una búsqueda en GTI, la respuesta de "" válidos conocidos a menudo se puede devolver más rápido de lo que se completa un análisis. Este hecho anula la necesidad de inspeccionar con más detalle el archivo.
GetClean también se utiliza para obtener información de certificados de los archivos firmados digitalmente. Periódicamente, el equipo de McAfee Enterprise que recibe estos datos revisa los datos enviados para su posible inclusión en nuestros archivos DAT de confianza (solo para Endpoint Security). Cuando hemos designado una firma digital como de confianza a través de los archivos DAT, permite que todos los sistemas de todo el mundo aprovechen esta información. Sacan partido como parte de la tecnología de prevención de análisis que se integra en el analizador y se explica a continuación.
Volver a los temas
Uso de la prevención del análisis como la forma más eficiente de mejorar el rendimiento
Esta función del analizador aprovecha nuestro marco de confianza para ayudar a reconocer cuándo no es necesario un análisis. Este mecanismo proporciona el mayor aumento del rendimiento. Esta función indica si es necesario un análisis al principio del flujo de trabajo de análisis. Esta función también tiene mayor relevancia, ya que los resultados en caché de Trusted + Clean prevalecen sobre una actualización de DAT mientras que los resultados limpios por sí mismos no. El uso de la utilidad GetClean se inserta en las mejoras de contenido que se aplican para evitar el análisis.
Volver a los temas
Protección adaptable frente a amenazas (ATP)
Los usuarios de ATP pueden producir mejoras de rendimiento cuando un proveedor de confianza y un certificado firman digitalmente los objetos de proceso y archivo de la acción. Un objeto en el que se confía evita más decisiones en ATP. Por ejemplo, evita una búsqueda de reputación de la nube y la comprobación de la disposición de confianza del analizador hacia el objeto.
Volver a los temas
Para recibir una notificación por correo electrónico cuando se actualice este artículo, haga clic en Suscribirse en la parte derecha de la página. Para suscribirse debe haber iniciado sesión.
Temas de este artículo:
- McShield. exe : el uso elevado de la CPU de McShield podría no ser el problema
- Analizador en tiempo real : utiliza la CPU solo cuando es necesario
- Analizador bajo demanda : análisis cuando el inactividad puede utilizar toda la CPU
- Exclusiones : no es la forma más eficiente de mejorar el rendimiento.
- Análisis de perfiles para mejorar el rendimiento
- Permitir archivos mediante la herramienta GetClean
- Evitar análisis : forma más eficiente de mejorar el rendimiento
- Protección adaptable frente a amenazas -otra opción de mejora del rendimiento
El
Para determinar si el analizador bajo demanda contribuye a un síntoma de rendimiento de
Volver a los temas
Analizador en tiempo real
El analizador en tiempo real es el analizador de la hora en la que se utiliza la CPU únicamente cuando otros procesos en ejecución acceden a los archivos del disco. Un análisis de lectura se produce antes de que se lea un archivo, se realiza un análisis de escritura después de que se escriba un archivo en el disco. El uso de la CPU es proporcional a la cantidad de actividad de archivo que se produce para lecturas o escrituras.
Si cree que el analizador en tiempo real utiliza una CPU excesiva, póngase en contacto con Soporte técnico para investigar el comportamiento. Existen varios enfoques que pueden mejorar el rendimiento del analizador en tiempo real, ya sea para el análisis de lectura o para el análisis de escritura.
Volver a los temas
Uso del análisis de perfiles para mejorar el rendimiento
Segundo plano:
El analizador en tiempo real está equipado con tres perfiles de análisis, denominados estándar, riesgo altoy riesgo bajo. De forma predeterminada, solo se utiliza el perfil estándar. Este hecho significa que la configuración de estándar se aplica a todos los procesos. Es decir, cuando un proceso accede a un archivo del disco, se utiliza la configuración estándar para determinar si se debe realizar un análisis. Las exclusiones se definen para cada perfil de análisis.
Para activar los perfiles de análisis adicionales, seleccione configurar opciones distintas para procesos de riesgo alto y bajo riesgo en configuración de procesos. Esta selección ofrece más flexibilidad a la hora de controlar lo que se analiza o no, ya que las exclusiones se definen por perfil. Si desea que las exclusiones se apliquen solo a ciertos procesos en lugar de a todos los procesos, agregue exclusiones a un perfil de riesgo alto o bajo e indique los procesos que desea definir para ese perfil.
Ejemplo: Supongamos
Para utilizar la opción establecer una configuración distinta para los procesos de riesgo alto y bajo, se define
El método del ejemplo puede llevar un paso más adelante y este paso es donde puede mejorar el rendimiento mediante el análisis de perfiles. En el caso de los procesos que defina para utilizar el perfil de bajo riesgo, en lugar de solo las exclusiones, puede establecer no analizar al leer o escribir en el disco. Esta configuración evita el análisis de la actividad de archivo generada por
Si es necesario, puede definir el proceso del sistema como un proceso de riesgo bajo. Esta definición es aplicable cuando el archivo de lectura/escritura en el disco se está produciendo en otro sistema.
Volver a los temas
Analizador bajo demanda
El analizador bajo demanda solo se ejecuta cuando se hace clic en "analizar ahora" desde la consola de Endpoint Security, o bien como tarea planificada (configurada desde la consola de Endpoint Security o a través de las directivas o tareas de ePolicy Orchestrator). El analizador bajo demanda solo utiliza la CPU cuando se ha invocado a través de estos métodos. El analizador bajo demanda puede utilizar más del 90% de la CPU disponible cuando se ejecuta.
Existen algunas prácticas recomendadas que se pueden configurar para reducir el impacto del sistema en los análisis bajo demanda. No obstante, se espera que las disminuciones en el uso de recursos se reduzcan al coste de los tiempos de análisis más elevados. Las opciones de
utilización del sistema están disponibles para su configuración. Esta opción está relacionada con Windows Priority control, que determina la prioridad del proceso de análisis bajo demanda cuando el sistema operativo determina dónde asignar los recursos del sistema según sea necesario. En un nivel básico, la prioridad más alta que se asigna a un proceso bajo Windows control de prioridad, cuantos más recursos pueda reclamar a los procesos con menor prioridad que intenten acceder a esos mismos procesos. Para obtener más información, véase: KB55145-Descripción de la configuración del rendimiento del análisis bajo demanda. La ejecución de un análisis bajo demanda a continuación normal impide que el análisis deje tiempo de CPU de los procesos que se ejecutan con una prioridad normal . Si se establece en bajo, el análisis bajo demanda no se aleja el tiempo de CPU de los procesos que se ejecuten con una prioridad superior. Tanto baja como por debajo de lo normal son opciones efectivas, con la siguiente normalidad , con el equilibrio más eficiente del consumo de recursos comparado con los incrementos de tiempo en los análisis.
Una alternativa a la utilización del sistema es utilizar la opción para limitar el uso máximode la CPU. Esta opción solo está disponible cuando el sistema que se va a analizar se está ejecutando Endpoint Security 10.7.x y solo cuando se selecciona la opción analizar en cualquier momento en la configuración del análisis. Esta opción sustituye la dependencia de la lógica de planificación de sistemas del sistema operativo con umbrales de consumo de CPU de proceso en la propia Directiva de análisis bajo demanda de Endpoint Security. Una vez que se cumplen los umbrales, Endpoint Security toma medidas para regular su uso del tiempo de CPU a fin de evitar que se supere el parámetro configurado. Por ejemplo, si limitar el uso máximo de la CPU está establecido en un valor de 25%, Endpoint Security intentará mantener el
Endpoint Security también incluye la opción de configurar los análisis para que solo se ejecuten cuando se determina que el sistema está en un estado de inactividad, mediante el análisis de configuración solo cuando el sistema está inactivo. Esta opción detiene completamente un análisis en ejecución cuando los usuarios finales están activos en el sistema, y una vez que deja de funcionar la actividad de los usuarios en el sistema, el análisis continúa mientras se intenta utilizar la cantidad máxima de recursos disponibles. Esta opción tiene en cuenta varios parámetros diferentes para determinar si un sistema está inactivo, como la entrada del ratón o el teclado, E/S de disco, etc. Esta opción puede ser muy efectiva en los sistemas de los usuarios finales. No obstante, no se recomienda seleccionarlo al analizar los sistemas del servidor.
Puede realizar más acciones en términos de ubicaciones de análisis y elementos de análisis para mejorar el rendimiento del análisis. El análisis de archivos comprimidos puede ser redundante, ya que el hecho de extraer un archivo también invoca un análisis en tiempo real. La realización de análisis rápidos de ámbito pequeño a diario de ubicaciones comunes, como los directorios de descarga de usuarios, las carpetas de Windows y las carpetas temporales, puede mejorar la postura de seguridad y también crear una caché de análisis para evitar el análisis duplicado. Se han realizado mejoras adicionales para el análisis de confianza y la caché de análisis bajo demanda en la actualización de ENS 10.7.0 de junio de 2021 y la ejecución de la versión más reciente de Endpoint Security garantiza la utilización de las mejoras y mejoras del producto más recientes.
Volver a los temas
Las exclusiones no son la forma más eficiente de mejorar el rendimiento
Cuando se accede a un archivo, existen varios puntos de decisión en la lógica de análisis o en el flujo de trabajo de análisis. La decisión más temprana que se puede tomar para evitar el análisis del archivo y su contenido, mejor mejora del rendimiento. Las exclusiones se procesan al final del flujo de trabajo de análisis, lo que los convierte en la forma menos efectiva de mejorar el rendimiento.
Las exclusiones son un medio sencillo para mejorar el rendimiento, ya que las opciones para excluir archivos son flexibles y puede configurar cualquier número de ellos. No obstante, si tiene muchas exclusiones o muchos archivos exclusivos que requieren exclusión, el tiempo de flujo de trabajo de análisis y el esfuerzo para procesar exclusiones pueden reducir el rendimiento. La práctica recomendada es utilizar las exclusiones como medio para mejorar el rendimiento del análisis cuando:
- Se necesita una solución rápida y sencilla
- Ya no dispone de un número excesivo de exclusiones
- No tiene un número completo de archivos exclusivos a los que se accede que requieren exclusión
Volver a los temas
Permitir archivos mediante la herramienta GetClean
Utilice la herramienta McAfee Enterprise llamada GetClean (véase la Guía del producto de GetClean, disponible en el sitio de descargas de productos) para mejorar el rendimiento del análisis. Esta herramienta proporciona muestras o información de archivos a McAfee Enterprise y se utiliza para actualizar nuestra Global Threat Intelligence (GTI) Cloud. Una vez que se actualiza la nube, cuando se produce un análisis y se lleva a cabo una búsqueda en GTI, la respuesta de "" válidos conocidos a menudo se puede devolver más rápido de lo que se completa un análisis. Este hecho anula la necesidad de inspeccionar con más detalle el archivo.
GetClean también se utiliza para obtener información de certificados de los archivos firmados digitalmente. Periódicamente, el equipo de McAfee Enterprise que recibe estos datos revisa los datos enviados para su posible inclusión en nuestros archivos DAT de confianza (solo para Endpoint Security). Cuando hemos designado una firma digital como de confianza a través de los archivos DAT, permite que todos los sistemas de todo el mundo aprovechen esta información. Sacan partido como parte de la tecnología de prevención de análisis que se integra en el analizador y se explica a continuación.
Volver a los temas
Uso de la prevención del análisis como la forma más eficiente de mejorar el rendimiento
Esta función del analizador aprovecha nuestro marco de confianza para ayudar a reconocer cuándo no es necesario un análisis. Este mecanismo proporciona el mayor aumento del rendimiento. Esta función indica si es necesario un análisis al principio del flujo de trabajo de análisis. Esta función también tiene mayor relevancia, ya que los resultados en caché de Trusted + Clean prevalecen sobre una actualización de DAT mientras que los resultados limpios por sí mismos no. El uso de la utilidad GetClean se inserta en las mejoras de contenido que se aplican para evitar el análisis.
Volver a los temas
Protección adaptable frente a amenazas (ATP)
Los usuarios de ATP pueden producir mejoras de rendimiento cuando un proveedor de confianza y un certificado firman digitalmente los objetos de proceso y archivo de la acción. Un objeto en el que se confía evita más decisiones en ATP. Por ejemplo, evita una búsqueda de reputación de la nube y la comprobación de la disposición de confianza del analizador hacia el objeto.
Volver a los temas
Información relacionada
Para ponerse en contacto con Soporte técnico, vaya a la Página crear una solicitud de servicio e inicie sesión en ServicePortal.
- Si es un usuario registrado, escriba su ID de usuario y contraseña y, a continuación, haga clic en iniciar sesión.
- Si no es un usuario registrado, haga clic en registrar y rellene los campos para que la contraseña y las instrucciones se envíen por correo electrónico.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.
Productos implicados
Idiomas:
Este artículo se encuentra disponible en los siguientes idiomas: