Symantec Endpoint Security (SES) Linux エージェントに検出と応答 (Endpoint Detection and Response) ポリシーを適用してから、sisidsdaemon の CPU 使用率が高い。

• EDR が有効な SES 14.3 RU4 以降

Linux マシンにインストールされているソフトウェアによっては、イベントの発生率が高くなることがあります (特にセキュリティおよび監視ソフトウェア)。イベント数が非常に多い場合、これらのイベントをキャプチャすると CPU 使用率に影響を与える可能性があります。

ほとんどの場合、イベントアクティビティが高いのは、セキュリティ、バックアップまたは監視ソフトウェアが生成しているためです。これらのプロセスをイベント記録から除外することで、イベントのキャプチャを担うデーモン (sisidsdaemon) の負荷を軽減できます。

SEP 14.3 RU6以降、Linux プロセスの除外は検出と応答ポリシーで設定できます。クライアントが SEP 14.3 RU6 以降を実行していることを確認し、多くのイベントを生成するが、インシデントレスポンスチームにとっては関心のないプロセスやイベントに対してプロセス除外を設定します。ネットワーク活動の監視も、生成されるイベント数を大幅に増やす可能性があります。これらのネットワークイベントが不要な場合は、記録を無効にすることができます。

Linux プロセスを記録から除外する

1. クラウド管理コンソールで検出と応答ポリシーを開きます。
2. [エンドポイント活動レコーダ ルール] で [Linux] タブを選択します。
3. [追加] をクリックします。
4. イベントの種類で [プロセス活動] を選択します。
5. [実行元] にプロセスのフルパスを入力します。
注: プロセス名を含める必要があります。プロセス名のないフォルダパスを入力すると、プロセスの除外に失敗します。

6. [保存する] をクリックします。

ホストネットワーク活動イベントを無効にする

1. クラウド管理コンソールで検出と応答ポリシーを開きます。
2. [エンドポイント活動レコーダ ルール] で [Linux] タブを選択します。
3. [追加] をクリックします。
4. イベントの種類で [ホストネットワーク活動] を選択します。
5. [保存する] をクリックします。

[英語文書] High sisidsdaemon CPU utilization on SEP Linux Agent