El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Cada vez que se crea, mueve, copia o ejecuta un archivo en un terminal Mac, se envía un evento para ese archivo desde el sistema operativo al conector Mac de punto final seguro. El evento hace que el conector analice ese archivo. El proceso de análisis generalmente implica el hash del archivo en cuestión y ejecutarlo a través de diferentes motores de análisis tanto en el equipo como en la nube. Es importante reconocer que este acto de hashing sí consume ciclos de CPU.
Cuantas más operaciones y ejecuciones de archivos se produzcan en un punto final determinado, más ciclos de CPU y recursos de E/S necesitará el conector para el hash. Hay varias funciones que se han agregado al conector para reducir la sobrecarga. Por ejemplo, si se ha analizado previamente un archivo que se está creando, moviendo o copiando, el conector utilizará un resultado almacenado en caché. Sin embargo, en el caso de algunos eventos, como los que se ejecutan en los que la seguridad es primordial, todos los eventos se analizan por completo mediante el conector. Esto significa que las aplicaciones o los procesos que propagan múltiples ejecuciones repetitivas de procesos secundarios -especialmente durante un período breve- pueden causar problemas de rendimiento. Encontrar y excluir aplicaciones que ejecutan repetidamente procesos secundarios a una velocidad mayor que una vez por segundo puede reducir significativamente el uso de la CPU y aumentar la duración de la batería en los portátiles.
Las operaciones de archivos, como la creación y los movimientos, generalmente tienen menos impacto que los ejecutados, pero las escrituras de archivos excesivas y la creación temporal de archivos pueden ocasionar problemas similares. Una aplicación que escribe con frecuencia en un archivo de registro o que genera varios archivos temporales puede hacer que el terminal seguro consuma muchos ciclos de CPU con análisis innecesarios y puede crear mucho ruido para el motor de punto final seguro. Distinguir partes ruidosas de aplicaciones legítimas es un paso muy importante para mantener un terminal productivo y seguro.
El propósito de este documento es ayudar a distinguir las operaciones del archivo (crear, mover y copiar) y ejecuta que tendrán un efecto negativo en el rendimiento del demonio y desperdiciarán los ciclos de CPU. La identificación de estas rutas de acceso de directorio y archivo le permitirá crear y mantener los conjuntos de exclusión adecuados para su organización.
Puede agregar listas de exclusión precreadas a las políticas que mantiene Cisco para proporcionar una mejor compatibilidad entre el conector de terminal seguro y el antivirus, la seguridad u otro software. Estas listas están disponibles en la página Exclusiones de la consola como Exclusiones Mantenidas por Cisco.
Hay tres tipos de opciones de ajuste de exclusión disponibles:
El ajuste previo a la instalación es la forma más básica de ajuste y se realiza principalmente a través de la línea de comandos en una sesión de terminal.
Para el nuevo mac de OS X El Capitan, deberá iniciar primero para recuperar el modo (command-r) mientras inicia y desactiva la protección para dtrace:
csrutil enable --without dtrace
Para inspeccionar las ejecuciones de archivos más frecuentes, ejecute lo siguiente:
$ sudo newproc.d | perl -pe 'use POSIX strftime; print strftime "[%Y-%m-%d %H:%M:%S] ", localtime'
Esto generalmente mostrará qué aplicaciones se ejecutan una y otra vez. Muchas aplicaciones de aprovisionamiento ejecutarán secuencias de comandos o binarios en intervalos cortos para mantener las políticas de software de la empresa. Cualquier solicitud que se considere ejecutada a un ritmo superior a una vez por segundo o ejecutada varias veces en ráfagas cortas debe considerarse un buen candidato para la exclusión.
Para inspeccionar qué operaciones de archivo son más frecuentes, ejecute el siguiente comando:
$ sudo iosnoop | perl -pe 'use POSIX strftime; print strftime "[%Y-%m-%d %H:%M:%S] ", localtime'
Verá inmediatamente qué archivos se están escribiendo a la mayoría. A menudo, se escribirán archivos de registro en los que se ejecutan aplicaciones, se copian archivos de software de copia de seguridad o se escriben aplicaciones de correo electrónico que escriben archivos temporales. Además de esto, una buena regla general es que cualquier cosa con una extensión de archivo de registro o diario debe considerarse un candidato de exclusión adecuado.
El demonio del conector debe ponerse en modo de registro de depuración antes de comenzar a ajustar el archivo de soporte. Esto se realiza a través de la consola de terminal seguro, a través de la configuración de políticas del conector en Management -> Policies. Seleccione la política, edite la política y vaya a la sección Funciones administrativas de la barra lateral Configuración avanzada. Cambie la configuración de nivel de registro del conector a Depurar.
Siguiente, guarde su política. Una vez guardada la política, asegurarse de que se ha sincronizadoronizado a laconector. Ejecute el comando cconector en este modo para al menos 15-20 minutos antes de continuar con el resto de los ajustes.
NOTE: Una vez finalizada la adaptación, no olvidarse de cambiar el Nivel de registro del conector configuración Predeterminado de modo que la cconector ejecutar in su más eficientes y modo efectivo.
Herramienta de soporte en ejecución
Este método implica el uso de la herramienta Support Tool, una aplicación instalada con el conector Mac de punto final seguro. Se puede acceder a él desde la carpeta Aplicaciones haciendo doble clic en /Applications->Cisco Secure Endpoint->Support Tool.app. Esto generará un paquete de soporte completo que contiene archivos de diagnóstico adicionales.
Un alternativa, y más rápido, el método es ejecutar el línea de comandos siguiente desde a Terminal sesión:
sudo /Library/Application Support/Cisco/AMP for Endpoints/SupportTool –x
Esto resultará en un archivo de soporte mucho más pequeño que contiene solamente los archivos de ajuste relevantes.
De cualquier manera que elija ejecutarlo, Support Tool generará un archivo zip en su escritorio que contiene dos archivos de soporte de ajuste: fileops.txt y execs.txt. fileops.txt contiene una lista de los archivos creados y modificados con más frecuencia en el equipo. execs.txt contendrá la lista de los archivos ejecutados con mayor frecuencia. Ambas listas se ordenan por recuento de escaneo, lo que significa que las rutas exploradas más frecuentemente aparecen en la parte superior de la lista.
Deje el conector ejecutándose en modo Debug durante un período de 15-20 minutos y, a continuación, ejecute la herramienta de soporte. Una buena regla general es que cualquier archivo o ruta de acceso con un promedio de 1000 visitas o más durante ese tiempo son buenos candidatos para ser excluidos.
Una forma de comenzar con las reglas de exclusión de rutas es encontrar las rutas de acceso de archivos y carpetas más exploradas de fileops.txt y, a continuación, considerar la creación de reglas de exclusión para esas rutas. Una vez descargada la política, monitoree el nuevo uso de CPU. Puede tardar entre 5 y 10 minutos después de que se actualice la política antes de que observe la caída del uso de la CPU, ya que podría tardar el demonio en ponerse al día. Si todavía está viendo problemas, vuelva a ejecutar la herramienta para ver qué rutas nuevas observa.
NOTE: Process Exclusions on Mac can only be implemented forMach-O
files. Users cannot implement Process Exclusions for file formats such as.sh (Shell Scripts)
or.app (Application Bundles)
.
Para obtener información sobre las prácticas recomendadas en relación con las exclusiones de procesos, consulte:Terminal seguro: Exclusiones de procesos en MacOS y Linux
Un buen patrón de ajuste primero es identificar los procesos con un alto volumen de ejecuciones de execs.txt, encontrar la trayectoria al ejecutable y crear una exclusión para esta trayectoria. Sin embargo, hay algunos procesos que no deben incluirse, entre ellos:
Encontrar el proceso principal es importante para las exclusiones de procesos. Una vez que se encuentra el proceso principal y/o el usuario del proceso, el usuario puede crear la exclusión para un usuario específico y aplicar la exclusión del proceso a procesos secundarios, lo que a su vez excluirá los procesos ruidosos que no pueden convertirse en exclusiones del proceso.
Identificación del proceso principal
PP:
de la línea de registro (p: PP:3200).Identificación del usuario del proceso
U:
en la línea de registro (p. ej.: U:502).dscl .
list /Users UniqueID
| grep #
, donde #
es la ID de usuario.Nombre de usuario 502
, donde Nombre de usuario
es el Usuario del proceso dado.Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
25-Feb-2022 |
Cambio de la marca del conector a un terminal seguro |
1.0 |
24-Oct-2019 |
Versión inicial |