Amélioration des performances avec Endpoint Security
Articles techniques ID:
KB88205
Date de la dernière modification : 2022-09-12 16:50:45 Etc/GMT
Date de la dernière modification : 2022-09-12 16:50:45 Etc/GMT
Environnement
Protection adaptive contre les menaces McAfee Endpoint Security (ATP) 10.x
McAfee Endpoint Security Prévention contre les menaces 10.x
McAfee Endpoint Security Prévention contre les menaces 10.x
Synthèse
Utilisez cet article pour améliorer les performances et résoudre les problèmes qui peuvent se produire après l’installation de Endpoint Security. L’article est mis à jour à mesure que des informations supplémentaires sont rassemblées sur les problèmes de performances. Par conséquent, commencez par consulter cette page pour obtenir de l’aide si vous rencontrez des problèmes de performances.
Rubriques de cet article :
McShield.exe
LeMcShield.exe processus de Endpoint Security est le processus qui effectue des analyses des fichiers. Lors de l’analyse des fichiers, l’analyse à l’accès est effectuée à l’accès. Lorsque des fichiers sont analysés à mesure qu’ils sont spécifiés, il s’agit d’une analyse à la demande. Il est facile de confondre la fonctionnalité qui contribue au problème de performances si vous observez uniquement ce processus et sa consommation processeur.
Pour déterminer si l’analyseur à la demande contribue à un problème de performances pourMcShield.exe , inspectez le OnDemandScan_Activity.log (at %ProgramData%\McAfee\Endpoint Security\Logs ). Si le symptôme coïncide avec l' OnDemandScan_Activity.log activité de, il est probable que la analyseur à la demande soit impliquée. Si ce n’est pas le cas, il est probable que la analyseur à l’accès est impliquée. Ensuite, procédez à l’amélioration des performances des analyseur à l’accès, des analyseur à la demande, ou des deux, dans les sections ci-dessous.
Retour aux sujets
Analyseur à l’accès
L’analyseur à l’accès est le analyseur en temps réel, et il utilise le processeur uniquement lorsque d’autres processus en cours d’exécution accèdent à des fichiers sur le disque. Une analyse en lecture se produit avant la lecture d’un fichier, une analyse en écriture se produit après l’écriture d’un fichier sur le disque. L’utilisation du processeur est proportionnelle à la quantité d’activité de fichier qui se produit pour les lectures ou écritures.
Si vous pensez que l’analyseur à l’accès utilise un processeur excessif, contactez Support technique pour en savoir plus sur le comportement. Plusieurs approches peuvent améliorer les performances de l’analyseur à l’accès, qu’il s’agisse d’une analyse en lecture ou d’une analyse en écriture.
Retour aux sujets
Utilisation de l’analyse des profils pour améliorer les performances
Arrière-plan :
L’analyseur à l’accès est dotée de trois profils d’analyse, nommés standard, risque élevéet risque faible. Par défaut, seul le profil standard est utilisé. Cela signifie que la configuration de la norme est appliquée à tous les processus. En d’autres cas, lorsqu’un processus accède à un fichier sur le disque, la configuration standard est utilisée pour déterminer si une analyse doit être effectuée. Les exclusions sont définies pour chaque profil d’analyse.
Pour activer les profils d’analyse supplémentaires, sélectionnez configurer différents paramètres pour les processus à risque élevé et à faible risque sous paramètres de processus. Cette sélection offre une plus grande flexibilité dans le contrôle des éléments analysés ou non analysés, car vous définissez des exclusions par profil. Si vous souhaitez que les exclusions s’appliquent uniquement à certains processus et non à tous les processus, ajoutez des exclusions à un profil à risque élevé ou à faible risque, puis indiquez les processus que vous souhaitez définir pour ce profil.
Exemple : SupposonsMyApp.exe qu’il s’agit du seul processus d’écriture de dizaines de milliers de fichiers temporaires dans le C:\Windows\Temp dossier. De plus, supposons que vous savez que ces fichiers n’ont pas besoin d’être analysés en raison MyApp.exe d’un comportement, mais que vous ne souhaitez pas exclure \Windows\Temp de tous les processus.
Pour utiliser l’option configurer différents paramètres pour les processus à risque élevé et à risque faible, vous devez définir**\Windows\Temp\* un modèle exclusion dans le profil à faible risque. Vous pouvez également définir MyApp.exe comme processus d’utilisation du profil à faible risque. Désormais, tous les autres processus qui accèdent à \Windows\Temp leurs activités sont analysés. Toutefois, les activités de MyApp.exe sont exclues de l’analyse, car elles se trouvent dans le profil à faible risque avec le exclusion.
La méthode de l’exemple peut être réexécutée et cette étape vous permet d’améliorer les performances à l’aide de l’analyse de profil. Pour les processus que vous définissez pour utiliser le profil à faible risque, au lieu d’exclure uniquement des exclusions, vous pouvez définir ne pas analyser lors de la lecture ou de l’écriture sur le disque. Ce paramètre évite l’activité d’analyse des fichiers générées parMyApp.exe et tout autre processus de ce profil, et est un point de décision plus tôt dans l’Workflow d’analyse. C’est pourquoi cette méthode offre une amélioration significative des performances par rapport aux exclusions.
Vous pouvez définir le processus système comme processus à faible risque, le cas échéant. Cette définition s’applique lorsque le fichier en lecture/écriture sur le disque est en cours d’un autre système.
Retour aux sujets
Analyseur à la demande
L’analyseur à la demande s’exécute uniquement lorsque vous cliquez sur "analyser maintenant" à partir de la console Endpoint Security, ou en tant que tâche planifiée (configurée à partir de la console Endpoint Security ou via des tâches/stratégies ePolicy Orchestrator). L’analyseur à la demande utilise le processeur uniquement lorsqu’il a été invoqué via ces méthodes. La analyseur à la demande peut utiliser plus de 90% de l’UC disponible lorsqu’elle est exécutée.
Il existe des pratiques recommandées qui peuvent être configurées pour réduire l’impact du système sur les analyses à la demande. Toutefois, la diminution de l’utilisation des ressources est censée survenir au coût des temps d’analyse accrus. Vous pouvez configurer les options d'
utilisation du système . Cette option est associée au contrôle de priorité Windows, qui détermine la priorité du processus d’analyse à la demande lorsque le système d’exploitation détermine où affecter les ressources système selon les besoins. A un niveau de base, la priorité la plus élevée est affectée à un processus sous Windows Priority Control, plus le nombre de ressources qu’il peut prétendre est élevé par rapport aux processus de faible priorité tentant d’accéder à ces mêmes processus. Pour plus d’informations, reportez-vous à la section : KB55145-présentation des paramètres de performances de l’analyse à la demande. L’exécution d’une analyse à la demande en dessous de la normale empêche l’analyse de prendre le temps processeur des processus exécutés à une priorité normale . Si la valeur est définie sur Low, l’analyse à la demande ne prend pas de temps processeur pour les processus s’exécutant à une priorité plus élevée. Bas et inférieur à la normale sont des options efficaces, dont la consommation de ressources est inférieure à la normale , par rapport à l’augmentation du temps des analyses.
Une alternative à l’utilisation du système consiste à utiliser l’option permettant de limiter l’utilisation maximale du processeur. Cette option n’est disponible que lorsque le système à analyser est en cours d’exécution Endpoint Security 10.7.x et uniquement lorsque l’option analyser à la recherche est sélectionnée dans la configuration de l’analyse. Cette option remplace la dépendance de la logique de planification système du système d’exploitation par les seuils de consommation processeur des processus dans la stratégie d’analyse à la demande Endpoint Security elle-même. Une fois que les seuils sont atteints, Endpoint Security prend des mesures pour limiter son utilisation du temps processeur pour éviter de dépasser le paramètre configuré. Par exemple, si l' utilisation maximale de la CPU est définie sur une valeur de 25%, Endpoint Security tente de conserver le processus gérant l’analyse au-dessous de cette valeur, sauf lors de laMcShield.exe saisie d’actions critiques telles que l’analyse à l’intérieur des archives. Si les performances de l’analyse sont très efficaces, cette option a un résultat direct en temps d’analyse et elle ne prend pas effet si des exclusions sont présentes pour l’analyse à la demande.
Endpoint Security inclut également l’option permettant de configurer les analyses pour qu’elles s’exécutent uniquement lorsque le système est en état d’inactivité, par le biais du paramètre analyser uniquement lorsque le système est inactif. Cette option interrompt complètement une analyse en cours d’exécution lorsque les utilisateurs finaux sont actifs sur le système, et une fois que l’activité des utilisateurs sur le système cesse, l’analyse se poursuit lors de la tentative d’utilisation de la quantité maximale de ressources mises à la disposition de ce dernier. Cette option tient compte de plusieurs paramètres différents pour déterminer si un système est inactif, y compris la saisie souris/clavier, l’e/s disque, etc. Cette option peut être très efficace sur les systèmes des utilisateurs finaux. Cependant, il n’est pas recommandé de sélectionner cette option lorsque vous analysez des systèmes serveur.
Vous pouvez effectuer d’autres actions en termes d’emplacements d’analyse et d’éléments à analyser pour améliorer les performances de l’analyse. L’analyse des fichiers d’archive compressés peut être redondante, car l’extraction d’une archive appelle également une analyse à l’accès. L’exécution quotidienne d’analyses rapides de portée réduite, telles que les répertoires de téléchargement de l’utilisateur, les dossiers Windows et les dossiers temporaires, permet d’améliorer la posture de la sécurité, ainsi que build une cache d’analyse pour éviter les analyses en double. Les améliorations apportées à l’analyse d’approbation et à l’analyse à la demande cache ont été effectuées dans la mise à jour ENS 10.7.0 de juin 2021 et l’exécution de la version la plus récente de Endpoint Security permet de s’assurer que les dernières améliorations et améliorations apportées au produit sont en cours d’utilisation.
Retour aux sujets
Les exclusions ne sont pas le moyen le plus efficace d’améliorer les performances
Lors de l’accès à un fichier, plusieurs points de décision sont détectés dans la logique d’analyse ou dans l’workflow d’analyse. L’ancienne décision peut être prise pour éviter d’analyser le fichier et son contenu, ce qui améliore le gain de performances. Les exclusions sont traitées à la fin de l’analyse workflow, ce qui en fait la solution la moins efficace pour améliorer les performances.
Les exclusions sont un moyen simple d’améliorer les performances, car les options d’exclusion de fichiers sont flexibles et vous pouvez en configurer autant que vous le souhaitez. Toutefois, si vous avez de nombreuses exclusions ou un grand nombre de fichiers uniques qui requièrent l’exclusion, l’analyse workflow le temps et les efforts nécessaires pour traiter les exclusions peuvent nuire aux performances. La meilleure pratique consiste à utiliser les exclusions comme moyen d’améliorer les performances de l’analyse dans les cas suivants :
Retour aux sujets
Autorisation des fichiers via l’outil GetClean
Utilisez l’outil Enterprise McAfee nommé GetClean (reportez-vous au Guide produit GetClean, disponible sur le site de téléchargement de produits) pour améliorer les performances de l’analyse. Cet outil fournit des exemples ou des informations sur le fichier à McAfee entreprise et permet de mettre à jour notre Cloud Global Threat Intelligence (GTI). Une fois le Cloud mis à jour, lorsqu’une analyse se produit et qu’une recherche GTI est effectuée, la réponse de "bon" connu peut souvent être renvoyée plus rapidement qu’une analyse terminée. Ce fait annule la nécessité de poursuivre l’examen du fichier.
GetClean est également utilisé pour obtenir les informations de certificat des fichiers signés numériquement. De temps en temps, McAfee l’équipe de l’entreprise qui reçoit ces données examine les données envoyées pour les inclure dans nos fichiers DAT d’approbation (utilisé par Endpoint Security uniquement). Lorsque nous avons désigné un signature numérique comme approuvé via les fichiers DAT, il permet à tous les systèmes du monde entier de tirer parti de ces informations. Ils tirent parti de la technologie d’élimination des analyses intégrée à la analyseur et expliquée ci-dessous.
Retour aux sujets
Utilisation de la fonction d’élimination d’analyse comme le moyen le plus efficace d’améliorer les performances
Cette fonctionnalité de la analyseur tire parti de notre structure Trust pour aider à reconnaître le moment où une analyse n’est pas nécessaire. Ce mécanisme améliore les performances. Cette fonctionnalité indique si une analyse est nécessaire au début de l’analyse workflow. Cette fonctionnalité présente également une pertinence plus longue, car les résultats approuvés + propres mis en cache résistent à une mise à jour des fichiers DAT alors que seuls les résultats propres ne le sont pas. L’utilisation de l’utilitaire GetClean alimente les améliorations de contenu qui s’appliquent à la prévention des analyses.
Retour aux sujets
Protection adaptive contre les menaces (ATP)
Les utilisateurs ATP peuvent améliorer les performances lorsqu’un fournisseur approuvé et un certificat signent numériquement le processus en action et les objets fichier. Un objet approuvé évite un plus grand choix de prise de décision dans ATP. Par exemple, elle évite une recherche de réputation de la cloud et la vérification de la disposition de confiance du analyseur vers l’objet.
Retour aux sujets
Pour recevoir une notification par e-mail lorsque cet article est mis à jour, cliquez sur S'inscrire sur la droite de la page. Vous devez être connecté pour vous inscrire.
Rubriques de cet article :
- McShield. exe -utilisation intensive du processeur à partir de McShield peut ne pas être à l’origine du problème
- Analyseur à l’accès -utilise le processeur uniquement lorsque cela est nécessaire
- Analyseur à la demande -analyseur en cas d’inactivité peut utiliser tous les processeurs
- Exclusions: la manière la plus efficace d’améliorer les performances
- Analyse du profil pour améliorer les performances
- Autorisation des fichiers via l’outil GetClean
- Prévention contre les analyses : la solution la plus efficace pour améliorer les performances
- Protection Adaptive contre les menaces -autre option d’amélioration des performances
Le
Pour déterminer si l’analyseur à la demande contribue à un problème de performances pour
Retour aux sujets
Analyseur à l’accès
L’analyseur à l’accès est le analyseur en temps réel, et il utilise le processeur uniquement lorsque d’autres processus en cours d’exécution accèdent à des fichiers sur le disque. Une analyse en lecture se produit avant la lecture d’un fichier, une analyse en écriture se produit après l’écriture d’un fichier sur le disque. L’utilisation du processeur est proportionnelle à la quantité d’activité de fichier qui se produit pour les lectures ou écritures.
Si vous pensez que l’analyseur à l’accès utilise un processeur excessif, contactez Support technique pour en savoir plus sur le comportement. Plusieurs approches peuvent améliorer les performances de l’analyseur à l’accès, qu’il s’agisse d’une analyse en lecture ou d’une analyse en écriture.
Retour aux sujets
Utilisation de l’analyse des profils pour améliorer les performances
Arrière-plan :
L’analyseur à l’accès est dotée de trois profils d’analyse, nommés standard, risque élevéet risque faible. Par défaut, seul le profil standard est utilisé. Cela signifie que la configuration de la norme est appliquée à tous les processus. En d’autres cas, lorsqu’un processus accède à un fichier sur le disque, la configuration standard est utilisée pour déterminer si une analyse doit être effectuée. Les exclusions sont définies pour chaque profil d’analyse.
Pour activer les profils d’analyse supplémentaires, sélectionnez configurer différents paramètres pour les processus à risque élevé et à faible risque sous paramètres de processus. Cette sélection offre une plus grande flexibilité dans le contrôle des éléments analysés ou non analysés, car vous définissez des exclusions par profil. Si vous souhaitez que les exclusions s’appliquent uniquement à certains processus et non à tous les processus, ajoutez des exclusions à un profil à risque élevé ou à faible risque, puis indiquez les processus que vous souhaitez définir pour ce profil.
Exemple : Supposons
Pour utiliser l’option configurer différents paramètres pour les processus à risque élevé et à risque faible, vous devez définir
La méthode de l’exemple peut être réexécutée et cette étape vous permet d’améliorer les performances à l’aide de l’analyse de profil. Pour les processus que vous définissez pour utiliser le profil à faible risque, au lieu d’exclure uniquement des exclusions, vous pouvez définir ne pas analyser lors de la lecture ou de l’écriture sur le disque. Ce paramètre évite l’activité d’analyse des fichiers générées par
Vous pouvez définir le processus système comme processus à faible risque, le cas échéant. Cette définition s’applique lorsque le fichier en lecture/écriture sur le disque est en cours d’un autre système.
Retour aux sujets
Analyseur à la demande
L’analyseur à la demande s’exécute uniquement lorsque vous cliquez sur "analyser maintenant" à partir de la console Endpoint Security, ou en tant que tâche planifiée (configurée à partir de la console Endpoint Security ou via des tâches/stratégies ePolicy Orchestrator). L’analyseur à la demande utilise le processeur uniquement lorsqu’il a été invoqué via ces méthodes. La analyseur à la demande peut utiliser plus de 90% de l’UC disponible lorsqu’elle est exécutée.
Il existe des pratiques recommandées qui peuvent être configurées pour réduire l’impact du système sur les analyses à la demande. Toutefois, la diminution de l’utilisation des ressources est censée survenir au coût des temps d’analyse accrus. Vous pouvez configurer les options d'
utilisation du système . Cette option est associée au contrôle de priorité Windows, qui détermine la priorité du processus d’analyse à la demande lorsque le système d’exploitation détermine où affecter les ressources système selon les besoins. A un niveau de base, la priorité la plus élevée est affectée à un processus sous Windows Priority Control, plus le nombre de ressources qu’il peut prétendre est élevé par rapport aux processus de faible priorité tentant d’accéder à ces mêmes processus. Pour plus d’informations, reportez-vous à la section : KB55145-présentation des paramètres de performances de l’analyse à la demande. L’exécution d’une analyse à la demande en dessous de la normale empêche l’analyse de prendre le temps processeur des processus exécutés à une priorité normale . Si la valeur est définie sur Low, l’analyse à la demande ne prend pas de temps processeur pour les processus s’exécutant à une priorité plus élevée. Bas et inférieur à la normale sont des options efficaces, dont la consommation de ressources est inférieure à la normale , par rapport à l’augmentation du temps des analyses.
Une alternative à l’utilisation du système consiste à utiliser l’option permettant de limiter l’utilisation maximale du processeur. Cette option n’est disponible que lorsque le système à analyser est en cours d’exécution Endpoint Security 10.7.x et uniquement lorsque l’option analyser à la recherche est sélectionnée dans la configuration de l’analyse. Cette option remplace la dépendance de la logique de planification système du système d’exploitation par les seuils de consommation processeur des processus dans la stratégie d’analyse à la demande Endpoint Security elle-même. Une fois que les seuils sont atteints, Endpoint Security prend des mesures pour limiter son utilisation du temps processeur pour éviter de dépasser le paramètre configuré. Par exemple, si l' utilisation maximale de la CPU est définie sur une valeur de 25%, Endpoint Security tente de conserver le processus gérant l’analyse au-dessous de cette valeur, sauf lors de la
Endpoint Security inclut également l’option permettant de configurer les analyses pour qu’elles s’exécutent uniquement lorsque le système est en état d’inactivité, par le biais du paramètre analyser uniquement lorsque le système est inactif. Cette option interrompt complètement une analyse en cours d’exécution lorsque les utilisateurs finaux sont actifs sur le système, et une fois que l’activité des utilisateurs sur le système cesse, l’analyse se poursuit lors de la tentative d’utilisation de la quantité maximale de ressources mises à la disposition de ce dernier. Cette option tient compte de plusieurs paramètres différents pour déterminer si un système est inactif, y compris la saisie souris/clavier, l’e/s disque, etc. Cette option peut être très efficace sur les systèmes des utilisateurs finaux. Cependant, il n’est pas recommandé de sélectionner cette option lorsque vous analysez des systèmes serveur.
Vous pouvez effectuer d’autres actions en termes d’emplacements d’analyse et d’éléments à analyser pour améliorer les performances de l’analyse. L’analyse des fichiers d’archive compressés peut être redondante, car l’extraction d’une archive appelle également une analyse à l’accès. L’exécution quotidienne d’analyses rapides de portée réduite, telles que les répertoires de téléchargement de l’utilisateur, les dossiers Windows et les dossiers temporaires, permet d’améliorer la posture de la sécurité, ainsi que build une cache d’analyse pour éviter les analyses en double. Les améliorations apportées à l’analyse d’approbation et à l’analyse à la demande cache ont été effectuées dans la mise à jour ENS 10.7.0 de juin 2021 et l’exécution de la version la plus récente de Endpoint Security permet de s’assurer que les dernières améliorations et améliorations apportées au produit sont en cours d’utilisation.
Retour aux sujets
Les exclusions ne sont pas le moyen le plus efficace d’améliorer les performances
Lors de l’accès à un fichier, plusieurs points de décision sont détectés dans la logique d’analyse ou dans l’workflow d’analyse. L’ancienne décision peut être prise pour éviter d’analyser le fichier et son contenu, ce qui améliore le gain de performances. Les exclusions sont traitées à la fin de l’analyse workflow, ce qui en fait la solution la moins efficace pour améliorer les performances.
Les exclusions sont un moyen simple d’améliorer les performances, car les options d’exclusion de fichiers sont flexibles et vous pouvez en configurer autant que vous le souhaitez. Toutefois, si vous avez de nombreuses exclusions ou un grand nombre de fichiers uniques qui requièrent l’exclusion, l’analyse workflow le temps et les efforts nécessaires pour traiter les exclusions peuvent nuire aux performances. La meilleure pratique consiste à utiliser les exclusions comme moyen d’améliorer les performances de l’analyse dans les cas suivants :
- Une solution simple et rapide est nécessaire
- Vous ne disposez pas déjà d’un nombre excessif d’exclusions
- Vous ne disposez pas d’un nombre important de fichiers uniques qui nécessitent le exclusion
Retour aux sujets
Autorisation des fichiers via l’outil GetClean
Utilisez l’outil Enterprise McAfee nommé GetClean (reportez-vous au Guide produit GetClean, disponible sur le site de téléchargement de produits) pour améliorer les performances de l’analyse. Cet outil fournit des exemples ou des informations sur le fichier à McAfee entreprise et permet de mettre à jour notre Cloud Global Threat Intelligence (GTI). Une fois le Cloud mis à jour, lorsqu’une analyse se produit et qu’une recherche GTI est effectuée, la réponse de "bon" connu peut souvent être renvoyée plus rapidement qu’une analyse terminée. Ce fait annule la nécessité de poursuivre l’examen du fichier.
GetClean est également utilisé pour obtenir les informations de certificat des fichiers signés numériquement. De temps en temps, McAfee l’équipe de l’entreprise qui reçoit ces données examine les données envoyées pour les inclure dans nos fichiers DAT d’approbation (utilisé par Endpoint Security uniquement). Lorsque nous avons désigné un signature numérique comme approuvé via les fichiers DAT, il permet à tous les systèmes du monde entier de tirer parti de ces informations. Ils tirent parti de la technologie d’élimination des analyses intégrée à la analyseur et expliquée ci-dessous.
Retour aux sujets
Utilisation de la fonction d’élimination d’analyse comme le moyen le plus efficace d’améliorer les performances
Cette fonctionnalité de la analyseur tire parti de notre structure Trust pour aider à reconnaître le moment où une analyse n’est pas nécessaire. Ce mécanisme améliore les performances. Cette fonctionnalité indique si une analyse est nécessaire au début de l’analyse workflow. Cette fonctionnalité présente également une pertinence plus longue, car les résultats approuvés + propres mis en cache résistent à une mise à jour des fichiers DAT alors que seuls les résultats propres ne le sont pas. L’utilisation de l’utilitaire GetClean alimente les améliorations de contenu qui s’appliquent à la prévention des analyses.
Retour aux sujets
Protection adaptive contre les menaces (ATP)
Les utilisateurs ATP peuvent améliorer les performances lorsqu’un fournisseur approuvé et un certificat signent numériquement le processus en action et les objets fichier. Un objet approuvé évite un plus grand choix de prise de décision dans ATP. Par exemple, elle évite une recherche de réputation de la cloud et la vérification de la disposition de confiance du analyseur vers l’objet.
Retour aux sujets
Informations connexes
Pour contacter Support technique, accédez à la page créer une demande de service et connectez-vous au ServicePortal.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs pour que votre mot de passe et les instructions vous soient envoyés par e-mail.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :