Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Chaque fois qu'un fichier est créé, déplacé, copié ou exécuté sur un point d'extrémité Mac, un événement pour ce fichier est envoyé du système d'exploitation au connecteur Mac de point d'extrémité sécurisé. L'événement entraîne l'analyse de ce fichier par le connecteur. Le processus d'analyse consiste généralement à hacher le fichier en question et à l'exécuter via différents moteurs d'analyse, à la fois sur l'ordinateur et dans le cloud. Il est important de reconnaître que cet acte de hachage consomme des cycles CPU.
Plus le nombre d'opérations et d'exécutions de fichiers survenant sur un point de terminaison donné est important, plus le processeur et les ressources d'E/S nécessaires au connecteur pour le hachage sont nombreuses. Plusieurs fonctions ont été ajoutées au connecteur pour réduire la surcharge. Par exemple, si un fichier en cours de création, de déplacement ou de copie a déjà été analysé, le connecteur utilise un résultat mis en cache. Cependant, dans le cas de certains événements tels que les exécutions où la sécurité est primordiale, tous les événements sont toujours entièrement analysés par le connecteur. Cela signifie que les applications ou les processus qui propagent plusieurs exécutions répétitives de processus enfants, en particulier sur une courte période, peuvent causer des problèmes de performances. Rechercher et exclure les applications qui exécutent des processus enfants de manière répétitive à un rythme supérieur à celui d'une fois par seconde peut réduire considérablement l'utilisation du processeur et augmenter l'autonomie de la batterie sur les ordinateurs portables.
Les opérations de fichiers telles que les créations et les déplacements ont généralement moins d'impact que les exécutions, mais les écritures excessives et la création temporaire de fichiers peuvent entraîner des problèmes similaires. Une application qui écrit fréquemment dans un fichier journal, ou qui génère plusieurs fichiers temporaires, peut entraîner une consommation excessive de cycles CPU avec analyse inutile du point de terminaison sécurisé et peut créer beaucoup de bruit pour le serveur principal du point de terminaison sécurisé. Distinguer les parties bruyantes des applications légitimes est une étape très importante pour maintenir un terminal productif et sûr.
L'objectif de ce document est d'aider à distinguer les opérations de fichiers (création, déplacement et copie) et les exécutions qui auront un effet négatif sur les performances du démon et les cycles CPU de gaspillage. L'identification de ces chemins de fichiers et de répertoire vous permettra de créer et de gérer les jeux d'exclusion appropriés pour votre organisation.
Vous pouvez ajouter des listes d'exclusion précréées à vos politiques qui sont mises à jour par Cisco afin d'assurer une meilleure compatibilité entre le connecteur Secure Endpoint et l'antivirus, la sécurité ou d'autres logiciels. Ces listes sont disponibles sur la page Exclusions de la console sous la forme Exclusions gérées par Cisco.
Il existe trois types d'options de réglage des exclusions :
Le réglage pré-installation est la forme de réglage la plus basique et se fait principalement par la ligne de commande dans une session Terminal.
Pour les mac plus récents d'OS X El Capitan, vous devez d'abord démarrer pour récupérer le mode (commande-r) lors du démarrage et désactiver la protection pour dtrace :
csrutil enable --without dtrace
Pour vérifier quelles exécutions de fichiers sont les plus courantes, exécutez les opérations suivantes :
$ sudo newproc.d | perl -pe 'use POSIX strftime; print strftime "[%Y-%m-%d %H:%M:%S] ", localtime'
Ceci montre généralement les applications qui sont exécutées à plusieurs reprises. De nombreuses applications de mise en service exécutent des scripts ou exécutent des binaires à intervalles courts pour gérer les stratégies logicielles de l'entreprise. Toute application considérée comme exécutée à un rythme supérieur à une seconde, ou exécutée plusieurs fois en brèves rafales, devrait être considérée comme un bon candidat à l'exclusion.
Pour vérifier les opérations de fichiers les plus courantes, exécutez la commande suivante :
$ sudo iosnoop | perl -pe 'use POSIX strftime; print strftime "[%Y-%m-%d %H:%M:%S] ", localtime'
Vous verrez immédiatement à quels fichiers la plupart sont écrits. Souvent, il s'agit de fichiers journaux écrits par des applications en cours d'exécution, des logiciels de sauvegarde copiant des fichiers ou des applications de messagerie écrivant des fichiers temporaires. En outre, une bonne règle est que tout ce qui a une extension de fichier journal ou journal doit être considéré comme un candidat à l'exclusion approprié.
Le démon du connecteur doit être mis en mode de journalisation de débogage avant de commencer le réglage du fichier de support. Cela se fait via la console Secure Endpoint, via les paramètres de stratégie du connecteur à Management -> Policies. Sélectionnez la stratégie, modifiez la stratégie et accédez à la section Fonctions d'administration sous la barre latérale Paramètres avancés. Modifiez le paramètre Niveau du journal du connecteur en Débogage.
Suivant, enregistrez votre stratégie. Une fois votre stratégie enregistrée, s'assurer qu'il a été synchroniséinventé à cconnecteur. Exécuter le cconnecteur dans ce mode pour au moins 15 à 20 minutes avant de continuer le reste du réglage.
NOTE: Lorsque votre réglage est terminé, ne oublier modifier Niveau du journal du connecteur retour à Par défaut pour que cconnecteur exécuter dans ses le plus efficace et le plus efficace mode effectif.
Exécution de l'outil de support
Cette méthode implique l'utilisation de l'outil de support, une application installée avec le connecteur Secure Endpoint Mac. Vous pouvez y accéder à partir du dossier Applications en double-cliquant sur /Applications->Cisco Secure Endpoint->Support Tool.app. Cela générera un package de support complet contenant des fichiers de diagnostic supplémentaires.
Un alternative, et plus rapide, est d'exécuter ligne de commande suivante expéditeur a Terminal session :
sudo /Library/Application Support/Cisco/AMP for Endpoints/SupportTool –x
Cela se traduira par un fichier de support beaucoup plus petit contenant uniquement les fichiers de réglage pertinents.
Dans les deux cas, l'outil de support générera un fichier zip sur votre Bureau qui contient deux fichiers de support de réglage : fileops.txt et exécuts.txt. fileops.txt contient une liste des fichiers les plus fréquemment créés et modifiés sur votre machine. le fichier exécuts.txt contient la liste des fichiers les plus fréquemment exécutés. Les deux listes sont triées par nombre d'analyses, ce qui signifie que les chemins les plus fréquemment analysés apparaissent en haut de la liste.
Laissez le connecteur en mode Débogage pendant 15 à 20 minutes, puis exécutez l'outil de support. Une bonne règle de base est que tous les fichiers ou chemins qui ont en moyenne 1000 résultats ou plus pendant cette période sont de bons candidats à être exclus.
Pour commencer avec les règles d'exclusion de chemin, recherchez les chemins d'accès de fichiers et de dossiers les plus fréquemment analysés à partir de fileops.txt, puis envisagez de créer des règles d'exclusion pour ces chemins. Une fois la stratégie téléchargée, surveillez l'utilisation du nouveau processeur. Cela peut prendre entre 5 et 10 minutes après la mise à jour de la stratégie avant que vous ne remarquiez la baisse de l'utilisation du CPU car il peut prendre du temps pour que le démon se rattrape. Si vous constatez toujours des problèmes, réexécutez l'outil pour voir quels nouveaux chemins vous observez.
NOTE: Process Exclusions on Mac can only be implemented forMach-O
files. Users cannot implement Process Exclusions for file formats such as.sh (Shell Scripts)
or.app (Application Bundles)
.
Pour connaître les meilleures pratiques concernant les exclusions de processus, consultez :Point de terminaison sécurisé : Exclusions de processus dans macOS et Linux
Un bon modèle de réglage consiste d'abord à identifier les processus avec un volume élevé d'exécutables à partir du fichier exécuts.txt, à trouver le chemin d'accès à l'exécutable et à créer une exclusion pour ce chemin. Cependant, certains processus ne doivent pas être inclus, notamment :
La recherche du processus parent est importante pour les exclusions de processus. Une fois le processus parent et/ou l'utilisateur du processus trouvé, l'utilisateur peut créer l'exclusion pour un utilisateur spécifique et appliquer l'exclusion de processus aux processus enfants, ce qui à son tour exclut les processus bruyants qui ne peuvent pas eux-mêmes être transformés en exclusions de processus.
Identification du processus parent
PP :
de la ligne du journal (par exemple : PP : 3200).Identifier l'utilisateur du processus
U :
dans la ligne de journal (ex : U : 502).dscl .
liste /Users UniqueID
| grep #
, où #
est l'ID utilisateur.Username 502
, où Username
est l'utilisateur du processus donné.Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
25-Feb-2022 |
Rebranding du connecteur vers un point de terminaison sécurisé |
1.0 |
24-Oct-2019 |
Première publication |