A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
As práticas recomendadas a seguir são divididas em três grupos.
Conteúdo:
Clique para expandir a seção que você deseja exibir:
Escalabilidade
O número de sistemas gerenciados pelo servidor ePO determina o número e o tamanho dos manipuladores de Agent adicionais e os repositórios necessários. Recomendamos um manipulador de agentes a cada 50.000 sistemas.
Para ambientes que gerenciam mais de 10.000 nós, é recomendável instalar o ePO e o SQL em sistemas físicos para obter o melhor desempenho. A principal limitação é o desempenho do SQL Server, especificamente o desempenho do disco. (IOPS-10 por segundo). À medida que a contagem de nós aumenta, você pode enfrentar um desempenho de disco mais lento. Consulte as recomendações de distribuição do ePO no Guia de instalaçãode plataformas virtuais.
Para instalar o servidor ePO em uma máquina virtual (VM) e resolver esse problema de desempenho do disco, você deve executar as seguintes ações:
Dedicar discos físicos ao servidor ePO na VM.
Atribua a prioridade das CPUs ao servidor ePO.
Recomendações de dimensionamento:
Menos de 10.000 sistemas gerenciados — você pode instalar o servidor de OC e o banco de dados SQL no mesmo servidor físico ou VM. Se você tiver menos de 1.500 sistemas gerenciados, você pode usar o banco de dados Microsoft SQL Express.
10000 – 25.000 sistemas gerenciados — instale o ePO e o SQL Servers em servidores separados.
25.000 – 75.000 sistemas gerenciados — instale o ePO, um Manipulador de agentes e repositórios distribuídos, e um SQL Server físico separado.
75.000 – 150.000 ou mais + sistemas gerenciados — instale o ePO Server, um SQL Server físico separado, três manipuladores de Agent e repositórios distribuídos corretamente posicionados.
Requisitos do sistema
O número de sistemas gerenciados também determina o dimensionamento recomendado servidor necessário para gerenciar esses sistemas. "
Nota: Os requisitos detalhados na documentação são os requisitos mínimos. No entanto, o servidor ePO (ou SQL) pode precisar ser mais potente do que esses requisitos. Depende do tamanho e da complexidade do ambiente ou do número de produtos instalados e gerenciados. Recomendamos que você exceda as recomendações mínimas sempre que possível.
CPU do servidor ePO
Contagem de nós
Núcleos de CPU
< 10000
4
10.000 a 25.000
4
25.000 a 75.000
8
75.000 a 150.000
8
150,000+ 16
16
memória do servidor ePO
Adicione 16 GB de RAM para cada 25.000 nós.
A máquina virtual do Java (JVM) executa o servidor de aplicativos do ePO. A JVM representa o conjunto de memórias que o servidor de aplicativos ePO pode usar. As métricas descrevem a utilização de heap (objetos de tempo de execução) e de não heap (metadados e objetos de método local).
Nota: Depois de adicionar mais RAM ao ePO, examine a alocação da JVM e faça ajustes conforme necessário para aumentar a alocação da JVM. A configuração de memória da JVM está no registro Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun 2. 0\MCAFEETOMCATSRV530\Parameters\Java\JvmMx.
SQL Server
O banco de dados SQL, no qual são armazenados, o servidor ePO e o SQL Server determina o desempenho do servidor ePO. Esse banco de dados é o principal força de fundo por trás do servidor ePO. Os três itens que afetam o desempenho do SQL são a CPU, a RAM e o desempenho do disco. Esses três itens controlam a capacidade de resposta do servidor ePO a partir de um ponto de vista do SQL. Recomendamos que você exceda as recomendações mínimas sempre que possível.
Não instale o banco de dados SQL do servidor ePO em um SQL Server compartilhado se estiver gerenciando mais de 25.000 nós. Espera-se que o servidor ePO execute milhares de leituras e gravações de disco de banco de dados SQL em intervalos de alguns segundos. Como resultado, o desempenho pode ser afetado negativamente em um SQL Server superutilizado.
Você pode compartilhar seu ambiente SQL em cluster, redundante e gerenciado de forma centralizada, se os critérios abaixo forem atendidos:
A SQL Server compartilhada já não está superutilizada.
O servidor ePO gerencia menos de 25.000 nós.
Outras funções do banco de dados SQL não provocam picos que podem tornar as leituras e gravações do banco de dados SQL do servidor ePO mais lentas.
Se uma solução AV, como o VSE ou o ENS, estiver instalada no SQL Server hospedando o banco de dados do ePO, certifique-se de aplicar as exclusões de AV necessárias. Essas exclusões impedem a possível perda de desempenho durante a varredura. Defina essas exclusões para as varreduras ao acessar e para todas as varreduras por solicitação programadas.
Repositórios distribuídos
Os repositórios distribuídos funcionam como compartilhamentos de arquivo que armazenam e distribuem conteúdo de segurança para os sistemas clientes gerenciados; Use-as para ajudar a tirar o upload do próprio servidor ePO. O servidor ePO sempre age como o repositório mestre. Ele mantém a cópia principal de todo o conteúdo necessário para os seus agentes e o ePO e replica o conteúdo para cada um dos repositórios em todo o seu ambiente. Como resultado, os agentes podem recuperar o conteúdo atualizado de uma origem alternativa e de um nível mais próximo.
SuperAgent tipo de repositório é o tipo mais eficiente de repositório distribuído, pois ele pode ser configurado para uso LazyCaching . O recurso de cache lento permite que os SuperAgents recuperem dados do servidor ePO somente quando solicitados por um nó de agente local. A criação de uma hierarquia de SuperAgents junto com o armazenamento em cache lento economiza largura de banda e reduz o tráfego de rede de longa distância.
Normalmente, você pode criar um repositório para cada localização geográfica grande. No entanto, você deve evitar ter muitos ou poucos repositórios e sobrecarregar a largura de banda da rede.
Não é aconselhável adicionar um repositório distribuído em um manipulador de agentes. O Manipulador de agentes já armazena em cache uma cópia do conteúdo repositório mestre. Se um agente gerenciado entrar em contato com o Manipulador de agentes de pacotes de software, o Manipulador de agentes recuperará o pacote do repositório mestre do servidor ePO.
Gerenciamento de árvore de sistemas
Quando possível, use Active Directory (AD) para sincronizar o Árvore de sistemas. Esse recurso ajuda a garantir que todos os sistemas em seu domínio sejam trazidos para o gerenciamento do ePO. Nas configurações de sincronização do AD, você pode optar por configurar Agent distribuição para o sistema descoberto durante a sincronização.
Esse recurso funciona contanto que você tenha uma estrutura de AD bem mantida. Caso contrário, você acabará com alguns sistemas não gerenciados ou espaços reservados em seu Árvore de sistemas. Esses sistemas não gerenciados ou espaços reservados são aqueles que foram importados do seu servidor AD, mas nunca receberam um McAfee Agent (MA). Você pode filtrar sistemas não gerenciados em seus relatórios. Mas é muito melhor ter certeza de que o seu ambiente ePO inclui somente sistemas gerenciados. Exclua os sistemas não gerenciados usando uma tarefa do servidor ePO regularmente.
Também é recomendável adicionar o MA à imagem corporativa. A adição do MA durante o processo de geração de imagens é uma boa estratégia de conformidade. Ele certifica-se de que todos os novos sistemas tenham um MA instalado. Ele também ajuda a fornecer o máximo de cobertura de segurança para todos os sistemas do seu ambiente.
Nota: Consulte o guia de produto do MA para obter a sua versão do Agent para instalar em uma imagem virtual não persistente, ou no modo de infraestrutura de área de trabalho virtual (VDI).
Diretrizes de Agent para o intervalo de comunicação do servidor (ASCI)
Contagem de nós
ASCI recomendado
100–10,000
60 a 120 minutos
10,000–50,000
120 a 240 minutos
50,000+
240 a 360 minutos
Ao definir a configuração ASCI, a principal consideração é reduzir a sobrecarga no servidor ePO com todas as comunicações de todos os agentes em ambientes maiores.
Para organizações com menos de 10.000 nós, a configuração padrão do ASCI não é uma preocupação com 60 minutos. No entanto, para organizações com mais de 10.000 nós, altere a configuração padrão de 60 minutos para cerca de 3 a 4 horas. Para organizações com mais de 60.000 nós, a configuração de ASCI é muito mais importante. Se o seu servidor ePO não estiver com problemas de desempenho, você poderá usar o intervalo de ASCI de quatro horas. Se houver algum problema de desempenho, considere a possibilidade de aumentar o ASCI para 6 horas e, possivelmente, até mais tempo. Esse aumento reduz o número de agentes que se conectam ao servidor ePO simultaneamente e melhora o desempenho do servidor.
Espelhamento de banco de dados-configurações do servidor
O recurso de espelhamento de banco de dados ajuda a aumentar a eficiência em pesquisas LDAP no ePO e Agent manipuladores em relação a políticas baseadas no usuário. Esse recurso funciona com a tarefa de sincronização de LDAP. Quando a tarefa de sincronização do LDAP é executada, ela efetua pull de informações de servidores LDAP registrados e as armazena no banco de dados do ePO.
Quando um cliente é configurado para usar uma política baseada no usuário, o servidor ePO ou Manipulador de agentes deve executar uma pesquisa LDAP. Ele faz isso para determinar a associação de grupo do usuário para verificar se uma política baseada em usuário se aplica.
A consulta LDAP pode levar um tempo significativo para ser concluída. Portanto, ele pode acelerar os tempos de seção e levar ao máximo problemas de conexão no Manipulador de agentes. Essa situação é uma vez na qual o espelhamento de banco de dados pode ajudar.
Quando o recurso de espelhamento de banco de dados está ativado, o Manipulador de agentes altera consultas LDAP para consultas do banco de dados SQL. O Manipulador de agentes segue o mesmo algoritmo que quando o recurso de espelhamento de banco de dados está desativado. Mas, em vez de consultar o LDAP, ele consulta as tabelas do banco de dados preenchidas pela tarefa de sincronização do LDAP para pesquisar informações sobre os usuários. A consulta SQL para as informações do usuário normalmente é concluída mais rapidamente do que a pesquisa de LDAP. Para obter mais informações, consulte KB84683-explicação sobre como o recurso de espelhamento de banco de dados do EPolicy Orchestrator funciona.
Políticas e configurações do servidor de retenção de tarefas
A retenção de tarefas e políticas é um recurso com segurança contra falhas que pode ser ativado com as configurações do servidor ePO. Ativar esse recurso para ajudar a preservar dados de configuração de tarefas e política no caso raro, ocorre um problema fatal com uma extensão de gerenciamento específica.
Esse recurso deve ser usado para concluir os backups regulares do ePO e do SQL:
Manutenção do banco de dados SQL
Os bancos de dados do ePO requerem manutenção regular para promover o desempenho ideal e proteger seus dados. Execute essas tarefas regularmente, toda semana ou todo dia. Essas tarefas não são as únicas tarefas de manutenção disponíveis. Consulte a documentação do SQL para obter detalhes sobre o que mais você pode fazer para manter o banco de dados.
Faça backup regularmente do banco de dados SQL do ePO e de seu registro de transações. Se o servidor ePO precisar ser reconstruído ou restaurado, os backups atuais verificarão se há uma cópia segura disponível.
Nota: O conteúdo mencionado está disponível somente para logon feito no ServicePortal users. Para exibir o conteúdo, clique no link e efetue login quando solicitado.
Limpe eventos antigos usando tarefas do servidor. Elimine regularmente eventos antigos, como todos os eventos com mais de três meses, usando a tarefa do servidor depurar eventos do ePO para reduzir o crescimento do tamanho do banco de dados. Para obter detalhes, consulte KB76720 - How to identify why the ePolicy Orchestrator database is very large .
Use o modelo de recuperação simples para o seu banco de dados. O modelo de recuperação simples permite que o SQL gerencie o registro de transações para você, evitando o crescimento do log de transações. Revise os detalhes neste documento de Microsoft.
Executar a tarefa do cliente agora e o agendamento de tarefas
O servidor Apache tem uma limitação de 245 conexões simultâneas. Os cenários a seguir podem contribuir para o máximo de conexões que estão sendo atingidas no servidor ePO, resultando em uma interrupção:
Tarefas de distribuição de produtos configuradas para execução com muita frequência em vários sistemas
Usando "executar tarefa do cliente agora" em um grande grupo de sistemas (mais de 245)
Configurando um baixo ASCI para um ambiente maior
Configure as agendas de tarefas do cliente de uma maneira que não sobrecarrega a capacidade dos sistemas que hospedam o conteúdo repositório. Por exemplo, se uma tarefa do cliente for atribuída a todos os sistemas, certifique-se de incluir o randomização suficiente para variar a hora de início da tarefa na rede. A randomização suficiente evita um problema de negação de serviço no servidor ePO ou no sistema que hospeda o repositório distribuído.
O recurso Executar tarefa do cliente agora não se destina a ser usado no lugar de tarefas programadas para distribuições de produtos ou projetos de distribuição de produtos. O recurso Executar tarefa do cliente agora é melhor usado para executar uma tarefa específica em um único sistema ou pequeno grupo de sistemas de cada vez.
Gerenciamento de contas
Evite usar a conta de administrador global para o gerenciamento diário do ePO.
A definição de um usuário e a atribuição de um conjunto de permissões para cada usuário administrador do ePO melhora o registro de auditoria. Ele também facilita o rastreamento do usuário que fez uma alteração específica.
Configure pelo menos uma outra conta de administrador global do ePO com a senha armazenada de forma segura para impedir o bloqueio do ePO.
Caso a senha do administrador seja perdida, a Pre-Installation Auditor 2.0.0 do ePO permite que você altere a senha do administrador do ePO. Você será solicitado a informar as informações da conta de usuário do banco de dados do SQL Server para concluir a redefinição de senha. Para obter detalhes, consulte KB60112-como redefinir uma senha no EPolicy Orchestrator 5.x.
Desativar os logons em vez de excluir usuários.
No ePO, todos os objetos pertencentes a um usuário são excluídos quando a conta é removida do ePO. Os objetos de propriedade incluem tarefas do servidor, pois as tarefas do servidor são executadas no contexto de permissão do usuário que as cria. Se o ePO permitir a transferência de propriedade para tarefas do servidor, os resultados dessas tarefas do servidor poderão ser diferentes. O motivo é que as permissões do proprietário atual podem não coincidir com as permissões do usuário que criou a tarefa do servidor. Para obter detalhes, consulte KB65775-contas de usuário excluídas do EPolicy Orchestrator remova as tarefas de servidor associadas criadas por essas contas.
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.