[KB8422] Optimaliser ESET Inspect On-Prem

MERK:

Denne siden er oversatt av en datamaskin. Klikk på engelsk under Språk på denne siden for å se originalteksten. Hvis noe er uklart, kan du kontakte din lokale kundestøtte.

Problemstilling

  • Optimaliser ytelsen til ESET Inspect On-Prem

Løsning

  1. Fastslå maskinvarekravene til ESET Inspect On-Prem
  2. Installer ESET Inspect On-Prem
  3. Optimaliser ytelsen til ESET Inspect On-Prem

I. Fastslå maskinvarekravene for ESET Inspect On-Prem

Krav til ESET Inspect On-Prem-maskinvare

Maskinvarekravene til ESET Inspect On-Prem avhenger av antallet hendelser som genereres av endepunktsenheter der ESET Inspect Connector er installert. Disse hendelsene samles inn og sendes til serveren, inkludert filsystemhendelser (for eksempel lesing og skriving av filer), TCP-hendelser, registerhendelser, HTTP-hendelser, DNS-hendelser og annet.

Du kan bestemme gjennomsnittlig antall hendelser per dag enten før ESET Inspect Server installeres eller etter at den er installert. Vi anbefaler at du bestemmer antallet før ESET Inspect Server installeres.

  1. Bestem gjennomsnittlig antall hendelser per dag på endepunktsenheter.

    Før ESET Inspect Server installeres

    1. Installer ESET Inspect Connector på minst tre endepunkter (ESET Inspect Connector kan brukes uten ESET Inspect Server).

    2. Aktiver modulen med et gyldig ESET Inspect On-Prem-abonnement. Aktiveringen utføres ved å opprette en modulaktiveringsoppgave i ESET PROTECT On-Prem.

    3. Vent i minst én dag.

    4. Kontroller gjennomsnittlig antall hendelser per dag på hver endepunktsenhet: Naviger til mappen der ESET Inspect Connector er installert (standardplasseringen er C:\Program Files\ESET\Inspect Connector), kjør kommandoen EIConnector.exe --stats, og kontroller beregningen Gjennomsnittlig antall hendelser per dag i utdataene.

    Etter at ESET Inspect Server er installert

    Gå til fanen Dashboard Hendelsesbelastning, og i diagrammet Behandlede og lagrede hendelser per datamaskin merker du av for de høyeste verdiene for mottatte hendelser per 24 timer.

  2. Bruk kalkulatoren i den elektroniske hjelpen for å beregne de estimerte kravene til CPU, RAM og diskplass for ESET Inspect Server og MySQL på samme enhet.

Verdiene i tabellen nedenfor er basert på antakelsen om at endepunktet ikke har mer enn 100 000 genererte hendelser per dag, og at standard datalagringsperiode er 31 dager. Hvis antallet hendelser i miljøet ditt overstiger 100 000, bør du skalere antallet proporsjonalt fra tabellen nedenfor.

EPS for IOPS

EPS (Events Per Second) refererer til antallet hendelser som mottas av ESET Inspect On-Prem, mens IOPS (Input/Output Operations Per Second) refererer til diskens lese-/skrivehastighet. Se emnet Online Help for mer informasjon om hvordan du minimerer diskplassforbruket, forbedrer diskens IOPS eller minimerer påvirkningen på CPU og RAM.

Minimumskrav

MS SQL Server

MySQL

Antall endepunkter

500

1000

5000

500

1000

5000

Minne

4 GB

4 GB

12 GB

4 GB

4 GB

12 GB

Diskplass

566 GB

1.24 TB

6.2 TB

566 GB

1.1 TB

5.6 TB

Disk IOPS

1500

1500

3000

1000

2000

3000

Antall CPU-kjerner

2

2

10

2

2

8

II. Installere ESET Inspect On-Prem

  1. Sørg for at SQL-databasen er på samme server som ESET Inspect On-Prem, og at SQL-forekomsten er dedikert.

  2. Last ned og installer ESET Inspect Server.

  3. Velg typen ESET Inspect On-Prem-brukere som administrerer ESET Inspect On-Prem Security Operations Center (SOC), sikkerhetsfokusert IT eller IT-administratorer. Hvis du vil ha mer informasjon om forskjellen mellom alternativene, kan du se dette emnet i netthjelpen.

  4. Velg de aktuelle alternativene for datainnsamling.

  5. Konfigurer ESET Inspect On-Prem for å optimalisere databasestørrelsen. Hvis du lagrer alle tilgjengelige data for datainnsamling, kan det være nødvendig å opprette hendelsesfiltre for kjørbare filer som sender ekstremt store mengder hendelser. Hvis du har valgt å lagre alle tilgjengelige data, finner du mer informasjon i emnet Online Help.

  6. Etter den første installasjonen av ESET Inspect On-Prem er det nødvendig å opprette ekskluderinger for å minimere antallet godartede oppdagelser. Dette kan gjøres på følgende måter:

    • Opprett utelukkelser manuelt.
    • Aktiver læringsmodus, slik at regellæringsmodusen automatisk foreslår ekskluderinger. Utelukkelsene vises i spørsmål som du kan gå gjennom. Dette kan aktiveres under den første ledeteksten etter første pålogging til ESET Inspect Web Console eller ved å gå til Mer Innstillinger Regellæringsmodus.
    • Aktiver forhåndsbygde utelukkelser.

III. Optimaliser ytelsen til ESET Inspect On-Prem

For å få mest mulig ut av ESET Inspect anbefaler vi at du utfører følgende oppdateringer for å optimalisere ESET Inspect før du begynner å bruke det fullt ut. Det gir deg to fordeler: Det øker den generelle ytelsen og gjør det enklere for deg å bruke ESET Inspect når du administrerer oppdagelser og reagerer på dem for å redusere trusler.

Oppdatering Beskrivelse
Systemkrav

Sørg for at ESET Inspect-serveren din er i henhold til spesifikasjonene og oppfyller (eller overgår) kravene til programvare og maskinvare.

Hvis du har en dedikert maskin med god lagringsplass til å kjøre databasesystemet, kan det forbedre ytelsen ytterligere. Dette er ikke obligatorisk; du kan kjøre ESET Inspect i et miljø med én server.
MySQL Hvis du har muligheten, bør du velge MySQL for å kjøre ESET Inspect-databasen. Det gir for øyeblikket bedre ytelse enn Microsoft SQL Server når ESET Inspect-databasen kjøres.
Antall tråder

Dette gjelder bare når ESET Inspect-databasen kjører på en annen server enn ESET Inspect-serveren. Hvis ESET Inspect Server og ESET Inspect Database kjører på samme maskin, konfigureres dette automatisk; du kan hoppe over dette trinnet.

Angi antall kjerner for å øke ytelsen og gjøre ESET Inspect Server mer effektiv.

Klikk på Mer InnstillingerDatabaseytelse (kun tilgjengelig i den lokale versjonen), og angi Antall tråder som skriver til databasen i henhold til denne formelen:

1.5x antall fysiske kjerner på serveren som kjører ESET Inspect-databasen
Ytelseskontroll

Vi anbefaler at du sørger for at systemet ditt er i god form og har god ytelse.

Siden ESET Inspect håndterer en stor mengde data, kan det oppstå ytelsesproblemer. Generelt kan databasen være en flaskehals. Slike ytelsesproblemer skyldes vanligvis underdimensjonerte maskinvarespesifikasjoner, spesielt utilstrekkelig diskplass.

Ytelsen kan imidlertid også bli redusert hvis det er for mange hendelser som samles inn av ESET Inspect.

En sunn server behandler et høyt antall hendelser per sekund, men har en lav hendelsespakkelengde. Utfør en performance check av serveren din for å se hvordan det står til.
Minimer antall hendelser

De hendelsene som behandles og lagres per datamaskin (innen 24 timer etter at de er lagret eller mottatt), har størst innvirkning på ytelsen.

En hendelse er en handling som utføres av en prosess, for eksempel en filskriving, et DNS-oppslag eller opprettelse av en ny registeroppføring. Alle disse hendelsene er individuelle hendelser som vises i Raw Events-visningen.

En gjennomsnittlig arbeidsstasjon produserer rundt 100 000 lagrede hendelser i løpet av 24 timer (avhengig av miljøet). Målet ditt er å redusere antallet lagrede hendelser.

ESET Inspect foreslår noen hendelsesfiltre (automatiske utelukkelser). Klikk på Varsler for å se gjennom ekskluderingene, og godta eller avvise dem. Du kan også tilpasse eller opprette ekskluderinger manuelt for å optimalisere ytelsen ytterligere i Hendelsesfiltre.

Klikk på InnstillingerDatainnsamling for å velge hvilken type data som skal samles inn fra endepunktdatamaskiner. Kun tilgjengelig i den lokale versjonen.
Last inn hendelser

ESET Inspect samler inn hendelsesdata, inkludert avvik eller ekstremverdier.

Identifiser avvikende hendelser, for eksempel kjente kjørbare hendelser som anses som trygge, men som genererer for mange forekomster.

Opprett et filter for den kjørbare filen for å redusere antallet hendelser:

  1. Klikk på DashbordHendelseslastHendelser per kjørbar fil. Klikk på den høyeste kolonnen med genererte hendelser for å se hvilke kjørbare filer som produserer for mange hendelser.

  2. Klikk på navnet på den kjørbare filen for å se detaljer om den. Hvis du anser denne hendelsen som trygg, kan du opprette et hendelsesfilter.

  3. Klikk på Filtrer hendelser nederst til høyre, følg veiviseren og angi kriterier og hendelsestyper for denne kjørbare filen. Velg de hendelsestypene som forårsaker flest hendelser. Hvis du trenger flere kriterier, kan du bruke Avansert redigeringsprogram til å opprette et mer detaljert filter. Se ESET Inspect-regelveiledningen for referanse.

Fortsett denne prosessen til du har tatt hånd om de fleste avvikende hendelsene. Følg også fremgangsmåten for de andre tabellene i Hendelseslast.

Denne optimaliseringen kan ha en betydelig innvirkning på ytelsen.
Endre hendelsesfrekvensen

Hvis det fremdeles er for mange hendelser, kan du bestemme deg for å redusere intervallet for når hendelsene sendes ved å opprette en ny policy i ESET PROTECT On-Prem:

Klikk på PolicyerLegg tilInnstillinger, og velg ESET Inspect Connector. I Intervall for sending av hendelser til serveren angir du ønsket tidspunkt og hyppighet for når hendelsene skal sendes.
Falske positive deteksjoner

Fjern falske positive for å avlaste databasen og forhindre fremtidig overbelastning av data. Opprett regelekskluderinger for falske positive deteksjoner.

  • Aktiver hendelsesfiltre (automatiske utelukkelser) som foreslås av ESET Inspect, klikk på Spørsmål for å se gjennom utelukkelsene, og godta eller avvise dem. Du kan også tilpasse eller opprette utelukkelser manuelt for å optimalisere ytelsen i hendelsesfiltre ytterligere.
  • Vurder den valgte typen ESET Inspect-bruker på nytt. Hvis du ikke skal analysere et stort antall oppdagelser kontinuerlig hver dag (i tilfellet med brukertypen Security Operations Center ), kan du velge en annen ESET Inspect-brukertype, for eksempel et sikkerhetsfokusert IT-team eller til og med en IT-administrator. Dette gjør at du kan håndtere færre oppdagelser.
  • Aktiver regellæringsmodus i Innstillinger (hvis den ikke er aktivert).
  • Bruk Merk som trygt for kjørbare filer som ikke anses som risikable. Merking som trygt kan forhindre at noen regler utløses og produserer falske positive resultater.
  • Deaktiver regler som ikke passer til miljøet ditt. Hvis du for eksempel bruker VNC for ekstern tilkobling, kan du deaktivere regelen VNC-tilkobling fra internt IP-område [D0523a].
  • Endre standardregler slik at de passer til nettverket ditt. Rediger for eksempel regelen VNC-tilkobling fra internt IP- område [D0523a] slik at den bare godtar tilkoblinger på spesifiserte IP-adresser, -områder eller -porter, slik at regelen bare utløses når det oppstår en mistenkelig tilkobling.
  • Kontroller at LiveGrid®-tilkoblingen fungerer. Mange regler er avhengige av LiveGrid®-informasjon for å fungere korrekt. Hvis det er et problem med LiveGrid®, vil du se en advarsel i Spørsmål-delen , samt i DashboardServerstatus.
  • Vær forsiktig når du bruker Microsoft Signer Name når du oppretter ekskluderinger. Kjørbare filer fra Microsoft signeres noen ganger ulikt i ulike utgaver av Microsoft Windows.
Tips
  • Hold ESET Inspect Connectors og ESET Inspect Server oppdatert. Uoverensstemmende versjoner av ESET Inspect Connector og ESET Inspect Server kan forårsake uforutsigbar oppførsel. Den nyeste ESET Inspect Server-versjonen inneholder vanligvis flere rettelser og forbedringer.
  • Hvis du bruker et "golden master"-bilde med en forhåndsinstallert ESET Inspect Connector for å distribuere klientarbeidsstasjoner, må du sørge for å ta de nødvendige forholdsreglene. Ellers vil alle klonene som opprettes fra avbildningen, bruke den samme databasetråden, noe som kan føre til svært dårlig ytelse. For å unngå problemer bør du bruke de samme metodene som gjelder for ESET Management Agent.
  • Hold øye med diskplassen. Hvis diskplassen på ESET Inspect Database-serveren faller under 10 %, vil databaserengjøringen slutte å fungere, noe som forbruker enda mer diskplass. Dette gjelder kun ESET Inspect On-Prem-versjonen.
  • Vurder å senke Database Retention settings (kun tilgjengelig i den lokale versjonen).
  • Vær oppmerksom på operativsystemets språk når du oppretter ekskluderinger. "NT AUTHORITY\NETWORK SERVICE" på en engelsk installasjon av Windows omtales som "NT AUTHORITY\Servicio de Red" på spansk. Dette kan også variere mellom ulike Microsoft Windows-utgaver. I dette tilfellet skal du bruke "TriggeringUserSid" og ikke "TriggeringUserName".
  • Ha en kopi av ESET Inspect Rules-veiledningen tilgjengelig som referanse.
  • Gjør det raskere å laste inn tabellvisningen (for eksempel i Detections) ved å bruke tannhjulikonet til å endre tabellalternativene og fjerne unødvendige kolonner og filtre.
Sist oppdatert: 17. mar. 2026

Tilleggsressurser

Brukerveiledninger

ESET Forum

YouTube-videoer
ESET Status Portal ESET Technical Support

Eksisterende kunde?