En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Las siguientes prácticas recomendadas se dividen en tres grupos.
Contenido:
Haga clic para expandir la sección que desee ver:
Escalabilidad
El número de sistemas que administra el servidor de ePO determina el número y el tamaño de los Controladores de agentes y los repositorios adicionales necesarios. Se recomienda tener un controlador de agentes por cada 50 000 sistemas.
En el caso de entornos que administren más de 10.000 nodos, se recomienda instalar ePO y SQL en sistemas físicos para obtener el mejor rendimiento. La principal limitación es la SQL Server rendimiento, en concreto, el rendimiento del disco. (IOPS-10 por segundo). A medida que aumenta el número de nodos, es posible que el rendimiento del disco sea menor. Consulte la Guía de instalaciónde las recomendaciones para el despliegue de ePO en plataformas virtuales.
Para instalar el servidor de ePO en una máquina virtual (VM) y resolver este problema de rendimiento del disco, debe realizar las siguientes acciones:
Dedique discos físicos al servidor de ePO en la máquina virtual.
Asigne prioridad para las CPU al servidor de ePO.
Recomendaciones de tamaño:
Menos de 10.000 sistemas gestionados: puede instalar el servidor de PO y la base de datos SQL en el mismo servidor físico o máquina virtual. Puede utilizar la base de datos de Microsoft SQL Express si tiene menos de 1500 sistemas gestionados.
de 10000 a 25.000 sistemas gestionados: Instale los servidores de ePO y SQL en distintos servidores.
25000 – 75 000 sistemas gestionados: Instale ePO, un Controlador de agentes y repositorios distribuidos, así como un SQL Server físico independiente.
75 000 – 150000 + sistemas gestionados: Instale el servidor de ePO, un SQL Server físico independiente, tres Controladores de agentes y repositorios distribuidos debidamente colocados.
Requisitos del sistema
El número de sistemas gestionados también determina el tamaño recomendado del servidor necesario para administrar estos sistemas. "
Nota: Los requisitos detallados en la documentación son los requisitos mínimos. No obstante, es posible que el servidor ePO (o SQL) tenga que ser más potente que estos requisitos. Depende del tamaño y la complejidad del entorno o del número de productos instalados y gestionados. Le recomendamos que supere las recomendaciones mínimas siempre que sea posible.
CPU del servidor de ePO
Número de nodos
Núcleos de procesador
< 10000
4
10 000-25 000
4
25 000–75 000
8
75 000-150 000
8
150,000+ 16
16
memoria del servidor de ePO
Agregue 16 GB de RAM por cada 25.000 nodos.
La máquina virtual Java (JVM) ejecuta el servidor de aplicaciones de ePO. La JVM representa el conjunto de memoria que puede utilizar el servidor de aplicaciones de ePO. Las métricas describen la utilización tanto del montón (objetos en tiempo de ejecución) como de uso distinto del montón (metadatos y objetos del método local).
Nota: Tras agregar más RAM a ePO, mire la asignación de JVM y realice los ajustes necesarios para aumentar la asignación de JVM. La configuración de la memoria de JVM se encuentra en el registro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2. 0\MCAFEETOMCATSRV530\Parameters\Java\JvmMx.
Antes de aumentar la memoria de asignación a la JVM, asegúrese de que el sistema operativo tenga suficiente memoria. Debe conservar aproximadamente el 10% de los recursos de memoria disponibles. Para obtener más información sobre la configuración de memoria recomendada para la JVM, consulte KB71516 - Memory allocated to the ePolicy Orchestrator Application Server needs to be increased .
SQL Server
La base de datos de SQL, en la que se almacenan el servidor de ePO y el SQL Server determina el rendimiento del servidor de ePO. Esta base de datos es el principal que subyace al servidor de ePO. Los tres elementos que afectan al rendimiento de SQL son la CPU, la RAM y el rendimiento del disco. Estos tres elementos controlan la capacidad de respuesta del servidor de ePO desde una perspectiva de SQL. Le recomendamos que supere las recomendaciones mínimas siempre que sea posible.
No instale la base de datos SQL del servidor de ePO en un SQL Server compartido si está administrando más de 25.000 nodos. Se espera que el servidor de ePO realice miles de lecturas y escrituras de disco de base de datos de SQL cada pocos segundos. Como resultado, el rendimiento puede verse afectado negativamente en un SQL Server sobreutilizado.
Puede compartir su entorno SQL, redundante y gestionado de forma centralizada, totalmente en clústeres, si se cumplen los siguientes criterios:
La SQL Server compartida no está ya sobreutilizada.
Su servidor de ePO administra menos de 25.000 nodos.
Otras funciones de base de datos SQL no provocan picos que pueden ralentizar la lectura y escritura de la base de datos SQL del servidor de ePO.
Si se instala una solución antivirus, como VSE o ENS, en la SQL Server que aloja la base de datos de ePO, asegúrese de aplicar las exclusiones de AV necesarias. Estas exclusiones impiden la pérdida de rendimiento potencial durante el análisis. Defina estas exclusiones para los análisis en tiempo real y para los análisis bajo demanda planificados.
Repositorios distribuidos
Los repositorios distribuidos funcionan como recursos compartidos de archivos que almacenan y distribuyen contenido de seguridad para los sistemas cliente gestionados; Utilícelas para contribuir a la carga del propio servidor de ePO. El servidor de ePO siempre actúa como repositorio principal. Mantiene la copia principal de todo el contenido que necesitan sus agentes y ePO, y replica el contenido en cada uno de los repositorios de todo el entorno. Como resultado, sus agentes pueden recuperar contenido actualizado de un origen alternativo y más cercano.
SuperAgent tipo de repositorio es el tipo de repositorio distribuido más eficiente porque se puede configurar para su uso LazyCaching . La función de almacenamiento en caché diferido permite a los SuperAgent recuperar datos del servidor de ePO solo cuando lo solicita un nodo de agente local. La creación de una jerarquía de SuperAgents con almacenamiento en caché en diferido ahorra ancho de banda y minimiza el tráfico de red WAN.
Normalmente, puede crear un repositorio para cada una de las ubicaciones geográficas de gran tamaño. No obstante, debe evitar tener demasiados o pocos repositorios y sobrecargar el ancho de banda de la red.
No es aconsejable agregar un repositorio distribuido en un controlador de agentes. El Controlador de agentes ya almacena en caché una copia del contenido del repositorio principal. Si un agente gestionado Contacta con el Controlador de agentes de paquetes de software, el Controlador de agentes recupera el paquete del repositorio principal del servidor de ePO.
Administración de árbol de sistemas
Cuando sea posible, utilice Active Directory (AD) para sincronizar el Árbol de sistemas. Esta función le ayuda a asegurarse de que todos los sistemas de su dominio se encuentren bajo la administración de ePO. En la configuración de sincronización de AD, puede optar por configurar Agent despliegue en el sistema descubierto durante la sincronización.
Esta función funcionará siempre que disponga de una estructura de AD bien contenida. De lo contrario, obtendrá un número excesivo de marcadores de posición o sistemas no gestionados en su Árbol de sistemas. Estos sistemas no gestionados o marcadores de posición son los que se han importado desde el servidor de AD, pero nunca han recibido un McAfee Agent (MA). Puede filtrar los sistemas no gestionados en sus informes. No obstante, es mucho mejor asegurarse de que su entorno de ePO solo incluya sistemas gestionados. Elimine los sistemas no gestionados mediante una tarea servidor de ePO de forma regular.
Se recomienda agregar también el MA a la imagen corporativa. La adición del MA durante el proceso de creación de imágenes es una buena estrategia de conformidad. Se asegura de que todos los sistemas nuevos tengan un MA instalado. También ayuda a proporcionar una cobertura de seguridad máxima para todos los sistemas de su entorno.
Nota: Consulte la guía del producto de MA para obtener la versión de la Agent para instalarla en una imagen virtual no persistente, o en el modo de Virtual Desktop Infrastructure (VDI).
Directrices de Agent a intervalo de comunicación del servidor (ASCI)
Número de nodos
ASCI recomendado
100–10,000
60 – 120 minutos
10,000–50,000
de 120 a 240 minutos
más de 50000
entre 240 y 360 minutos
Al configurar el ajuste del ASCI, la principal consideración es reducir la presión en el servidor de ePO con cada comunicación de cada agente en entornos más grandes.
En el caso de organizaciones con menos de 10.000 nodos, la configuración de ASCI predeterminada no es una preocupación de 60 minutos. No obstante, en el caso de organizaciones con más de 10.000 nodos, cambie la configuración predeterminada de 60 minutos a aproximadamente 3 – 4 horas. En el caso de organizaciones con más de 60.000 nodos, la configuración de ASCI es mucho más importante. Si su servidor de ePO no tiene problemas de rendimiento, puede utilizar el intervalo de ASCI de cuatro horas. Si hay algún problema de rendimiento, considere la posibilidad de aumentar el ASCI a 6 horas, y posiblemente incluso más tiempo. Este aumento reduce el número de agentes que se conectan simultáneamente al servidor de ePO y mejora el rendimiento del servidor.
Duplicación de base de datos-configuración del servidor
La función de duplicación de bases de datos ayuda a mejorar la eficacia de las búsquedas LDAP en ePO y Controladores de agentes en relación con las directivas basadas en usuario. Esta función funciona con la tarea de sincronización de LDAP. Cuando se ejecuta la tarea de sincronización de LDAP, extrae la información de los servidores LDAP registrados y la almacena en la base de datos de ePO.
Cuando un cliente está configurado para utilizar una directiva basada en usuario, el servidor de ePO o Controlador de agentes debe realizar una búsqueda LDAP. Lo hace para determinar la pertenencia a grupos del usuario para ver si se aplica una directiva basada en usuario.
La consulta LDAP puede tardar bastante tiempo en completarse. Por lo tanto, puede impulsar los tiempos de sesión y provocar un número máximo de problemas de conexión en el Controlador de agentes. Esta situación es una vez en que la duplicación de bases de datos puede ser de ayuda.
Cuando la función de creación de reflejo de base de datos está activada, el Controlador de agentes cambia las consultas de LDAP a consultas de base de datos SQL. El Controlador de agentes sigue el mismo algoritmo que cuando la función de creación de reflejo de base de datos está desactivada. No obstante, en lugar de consultar LDAP, consulta las tablas de base de datos rellenadas por la tarea de sincronización de LDAP para buscar información sobre los usuarios. La consulta SQL de la información del usuario suele completarse más rápido que la búsqueda LDAP. Para obtener más información, consulte KB84683-explicación de cómo funciona la función de duplicación de bases de datos de EPolicy Orchestrator.
Retención de directivas y tareas-configuración del servidor
La retención de directivas y tareas es una función a prueba de errores que se puede activar con la configuración del servidor de ePO. Active esta función para ayudar a conservar los datos de configuración de directivas y tareas en el caso raro de que se produzca un problema grave con una extensión de administración específica.
Esta función se debe utilizar además de completar las copias de seguridad de ePO y SQL recomendadas de forma regular:
Mantenimiento de la base de datos SQL
Las bases de datos de ePO requieren un mantenimiento regular para aumentar el rendimiento óptimo y proteger sus información. Realice estas tareas periódicamente, ya sea semanal o diariamente. Estas tareas no son las únicas tareas de mantenimiento disponibles. Véase la documentación de SQL para obtener detalles sobre otros procedimientos de mantenimiento de la base de datos.
Cree copias de seguridad regulares de la base de datos SQL de ePO y su registro de transacciones. Si el servidor de ePO se debe reconstruir o restaurar, las copias de seguridad actuales se aseguran de que hay disponible una copia segura.
Nota: El contenido al que se hace referencia solo está disponible para los usuarios de ServicePortal registrados. Para ver el contenido, haga clic en el vínculo e inicie sesión cuando se le solicite.
Purgue los eventos antiguos mediante tareas servidor. Purgue con regularidad los eventos antiguos, como todos los eventos de más de tres meses, mediante la tarea servidor de eventos de purga de ePO para reducir el crecimiento del tamaño de la base de datos. Para obtener detalles, consulte KB76720 - How to identify why the ePolicy Orchestrator database is very large .
Utilice el modelo de recuperación simple para su base de datos. El modelo de recuperación simple permite que SQL administre el registro de transacciones para usted, evitando el crecimiento del registro de transacciones. Revise los detalles de este documento de Microsoft.
Ejecutar tarea cliente ahora y planificación de tareas
El servidor de Apache tiene una limitación de 245 conexiones simultáneas. Los siguientes casos pueden contribuir al máximo de conexiones que se alcanzan en el servidor de ePO, lo que provoca una interrupción:
Tareas de despliegue de productos configuradas para ejecutarse con demasiada frecuencia en varios sistemas
El uso de "Ejecutar tarea cliente ahora" en un grupo grande de sistemas (más de 245)
Configuración de un ASCI bajo para un entorno mayor
Configure las tareas cliente de forma que no sobresobrecarguen la capacidad de los sistemas que albergan el contenido del repositorio. Por ejemplo, si se asigna una tarea cliente a todos los sistemas, asegúrese de incluir una ejecución aleatoria suficiente para variar la hora de inicio de la tarea en la red. La ejecución aleatoria suficiente evita un problema de denegación de servicio en el servidor de ePO o en el sistema que aloja el repositorio distribuido.
No se pretende utilizar la función Ejecutar tarea cliente ahora en lugar de tareas planificadas para despliegues de productos o proyectos de despliegue de productos. La función Ejecutar tarea cliente ahora se utiliza para ejecutar una tarea específica en un solo sistema o en un grupo reducido de sistemas al mismo tiempo.
Administración de cuentas
Evite el uso de la cuenta de administrador global para la administración diaria de ePO.
La definición de un usuario y la asignación de un conjunto de permisos para cada usuario del administrador de ePO mejora el registro de auditoría. También hace que sea más fácil rastrear qué usuario ha realizado un cambio concreto.
Configure al menos otra cuenta de administrador global de ePO con la contraseña almacenada de forma segura para evitar el bloqueo de ePO.
En caso de que se pierda la contraseña de administrador, ePO Pre-Installation Auditor 2.0.0 le permite cambiar su contraseña de administrador de ePO. Se le pedirá la información de la cuenta de usuario de la base de datos de SQL Server para completar el restablecimiento de la contraseña. Para obtener más información, consulte KB60112-cómo restablecer una contraseña en EPolicy Orchestrator 5.x.
Desactive los inicios de sesión en lugar de eliminar los usuarios.
En ePO, todos los objetos con propietario de un usuario se eliminan cuando la cuenta se elimina de ePO. Los objetos con propietario incluyen tareas servidor porque las tareas servidor se ejecutan en el contexto de permiso del usuario que los crea. Si ePO permite la transferencia de la propiedad para las tareas servidor, los resultados de esas tareas servidor pueden ser potencialmente diferentes. El motivo es que los permisos del propietario actual podrían no coincidir con los permisos del usuario que creó la tarea servidor. Para obtener detalles, consulte KB65775-cuentas de usuario eliminadas de EPolicy Orchestrator eliminar las tareas servidor asociadas creadas por esas cuentas.
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.