[KB8422] Optimer dit ESET Inspect On-Prem-produkt

Sørg for, at din ESET Inspect-server er i overensstemmelse med specifikationerne og opfylder (eller overgår) software- og hardwarekravene.

Hvis du har en dedikeret maskine med rigelig lagerplads til at køre databasesystemet, kan det forbedre ydeevnen yderligere. Dette er ikke obligatorisk, du kan køre ESET Inspect i et enkelt servermiljø.

Dette gælder kun, når din ESET Inspect-database kører på en anden server end ESET Inspect-serveren. Hvis din ESET Inspect Server og ESET Inspect Database kører på samme maskine, konfigureres dette automatisk, og du kan springe dette trin over.

Indstil antallet af kerner for at øge ydeevnen og gøre din ESET Inspect Server mere effektiv.

Klik på Mere → Indstillinger → Databaseydelse (kun tilgængelig i den lokale version), og angiv Antal tråde, der skriver til databasen, i henhold til denne formel:

1.5x antallet af fysiske kerner på din server, der kører ESET Inspect-databasen

Vi anbefaler, at du sørger for, at dit system er i orden, har kapacitet og fungerer godt.

Da ESET Inspect håndterer mange data, kan du opleve problemer med ydeevnen. Generelt kan databasen være en flaskehals. Sådanne ydelsesproblemer skyldes normalt underdimensionerede hardwarespecifikationer, især utilstrækkelig diskplads.

Ydeevnen kan dog også blive hæmmet, hvis der er for mange hændelser, der indsamles af ESET Inspect.

En sund server behandler et højt antal hændelser pr. sekund, men har en lav hændelsespakkekø-længde. Udfør et præstationstjek af din server for at se, hvordan den har det.

De hændelser, der behandles og lagres pr. computer (lagres/modtages inden for 24 timer), har størst indflydelse på ydeevnen.

En hændelse er en handling, der udføres af en proces, f.eks. en filskrivning, et DNS-opslag, en ny post i registreringsdatabasen osv. Alle disse er individuelle hændelser, der vises i Raw Events-visningen.

En gennemsnitlig arbejdsstation producerer omkring 100.000 lagrede hændelser pr. 24 timer (afhængigt af miljøet). Dit mål er at sænke antallet af lagrede hændelser.

Nogle hændelsesfiltre (automatiske udelukkelser) foreslås af ESET Inspect, klik på Spørgsmål for at gennemgå udelukkelserne, og accepter eller afvis dem. Du kan også tilpasse eller manuelt oprette udelukkelser for yderligere at optimere ydeevnen i hændelsesfiltre.

Klik på Indstillinger → Dataindsamling for at vælge, hvilken type data der skal indsamles fra slutpunktscomputere. Kun tilgængelig i den lokale version.

ESET Inspect indsamler hændelsesdata, blandt hvilke der er anomalier eller afvigelser.

Identificer afvigelserne, f.eks. kendte eksekverbare hændelser, der betragtes som sikre og genererer for mange forekomster.

For at reducere antallet af hændelser skal du oprette et filter for den eksekverbare fil:

1. Klik på Dashboard → Indlæsning af hændelser → Hændelser pr. eksekverbar fil. Klik på den højeste kolonne med genererede hændelser for at se, hvilke eksekverbare filer der producerer for mange hændelser.
2. Klik på navnet på den eksekverbare fil for at se dens detaljer. Hvis du anser denne hændelse for sikker, kan du oprette et hændelsesfilter.
3. Klik på Filtrer hændelser nederst til højre, følg guiden og angiv kriterier og hændelsestyper for denne eksekverbare fil. Vælg de hændelsestyper, der forårsager flest hændelser. Hvis du har brug for yderligere kriterier, kan du bruge den avancerede editor til at oprette et dybdegående filter. Se vejledningen til ESET Inspect-regler som reference.

Gentag denne proces, indtil du har håndteret de fleste af de afvigende hændelser. Følg også proceduren for de andre tabeller i hændelsesindlæsningen.

Denne optimering kan have en betydelig indvirkning på den øgede ydeevne.

Hvis der stadig er for mange hændelser, kan du beslutte at reducere det interval, hvor hændelserne sendes, ved at oprette en ny politik i ESET PROTECT On-Prem:

Klik på Politikker → Ny politik → Indstillinger, og vælg ESET Inspect Connector. I Interval for afsendelse af hændelser til serveren skal du angive det ønskede tidspunkt og den ønskede frekvens for afsendelse af hændelser.

Slip af med falske positiver for at aflaste databasen og forhindre fremtidig oversvømmelse med unødvendige data. Opret regeleksklusioner for falsk positive detektioner.

• Aktivér hændelsesfiltre (automatiske udelukkelser) foreslået af ESET Inspect, klik på Spørgsmål for at gennemgå udelukkelserne, og accepter eller afvis dem. Du kan også tilpasse eller manuelt oprette udelukkelser for yderligere at optimere ydeevnen i hændelsesfiltre.
• Genovervej den valgte type ESET Inspect-bruger. Hvis du ikke løbende vil analysere et stort antal registreringer dagligt (i tilfælde af brugertypen Security Operations Center ), skal du vælge en anden ESET Inspect-brugertype, f.eks. et sikkerhedsfokuseret IT-team eller endda en IT-administrator. På den måde kan du håndtere færre opdagelser.
• Aktivér regellæringstilstand i Indstillinger (hvis den ikke kører).
• Brug Markér som sikker til eksekverbare filer, der ikke anses for at være risikable. Markering som sikker kan forhindre, at nogle regler udløses og giver falske positiver.
• Deaktiver regler, der ikke passer til dit miljø. Hvis du f.eks. bruger VNC til fjernforbindelse, skal du deaktivere reglen VNC-forbindelse fra internt IP-område [D0523a].
• Ændr standardreglerne, så de passer til dit netværk. Rediger f.eks. reglen VNC-forbindelse fra internt IP-område [D0523a], så den kun accepterer forbindelser på angivne IP-adresser, -områder eller -porte, så reglen kun udløses, når der opstår en mistænkelig forbindelse.
• Kontrollér, at LiveGrid®-forbindelsen fungerer. Mange regler er afhængige af LiveGrid®-oplysninger for at fungere korrekt. Hvis der er et problem med LiveGrid®, vil du se en advarsel i afsnittet Spørgsmål , også i Dashboard → Serverstatus.
• Vær forsigtig, når du bruger Microsoft Signer Name, når du opretter eksklusioner. Microsofts eksekverbare filer er nogle gange signeret forskelligt i forskellige Microsoft Windows-udgaver.

• Hold ESET Inspect Connectors og ESET Inspect Server opdateret. Uoverensstemmende ESET Inspect Connector- og ESET Inspect Server-versioner kan forårsage uforudsigelig adfærd. Den seneste ESET Inspect Server-version indeholder normalt flere rettelser og forbedringer.
• Hvis du bruger et "golden master"-image med en forudinstalleret ESET Inspect Connector til at implementere klientarbejdsstationer, skal du sørge for at træffe de nødvendige foranstaltninger. Ellers bruger alle kloner, der oprettes fra billedet, den samme databasetråd, hvilket giver meget dårlig ydeevne. For at undgå problemer skal du bruge de samme metoder, som gælder for ESET Management Agent.
• Hold øje med diskpladsen. Hvis diskpladsen på ESET Inspect Database-serveren falder til under 10 %, holder databaseudrensningen op med at virke og bruger endnu mere diskplads. Dette gælder kun for ESET Inspect On-Prem-versionen.
• Overvej at sænke indstillingerne for databaseopbevaring (kun tilgængelig i den lokale version).
• Husk sproget i operativsystemet, når du opretter undtagelser. "NT AUTHORITY\NETWORK SERVICE" på en engelsk Windows-installation hedder "NT AUTHORITY\Servicio de Red" på spansk. Dette kan også variere mellem Microsoft Windows-udgaver. I dette tilfælde skal du bruge "TriggeringUserSid" og ikke "TriggeringUserName".
• Hav en kopi af ESET Inspect Rules-guiden ved hånden som reference.
• Gør indlæsningen af tabelvisningen hurtigere (f.eks. i Detections), brug tandhjulsikonet til at ændre tabelindstillingerne og fjerne unødvendige kolonner og filtre.