デフォルトのオプションをすべて選択して検出と応答ポリシーを適用したが、Symantec Endpoint Security (SES) クライアントの ccSvcHst.exe の CPU 使用率が高い状態が続いている。この現象が発生し続ける理由はなにか。スキャン属性を変更して、CPU 使用率を最小限に抑えることはできるか。

検出と応答ポリシーが CPU 使用率の高さに関与しているかどうかを切り分けるには、検出と応答ポリシーを編集し、エンドポイント活動レコーダをオフにして変更を保存します。次に、SES クライアントをチェックして効果があるかどうかを確認します。効果がない場合は、検出と応答ポリシーを削除してさらに切り分けします。 

エンドポイント活動レコーダをオフにするか、検出と応答ポリシーを削除することで CPU 使用率が高くなる問題が解決されることが確認でき、検出と応答ポリシーを有効にしたい場合は、エンドポイント活動レコーダ固有の除外を追加して、CPU 使用率を最小限に抑える必要があります。 

最もノイズの多いイベントを特定するために、以下を実行してください。

1. ICDm クラウドコンソールにログインします。
2. [解析] タブをクリックします。
3. [フィルタ基準] で [デバイス名: <マシン名>] と入力し、[クエリの実行] をクリックします。
4. 結果が表示されたら、[グループ基準]、[その他のフィールド] の順に移動し、[イベントの種類 ID] を検索/選択します。

注: 最も多くのイベントが表示されます。(最大 10,000 イベント)

5. [イベント数] のハイパーリンクをクリックすると、イベントの種類 ID (例：8015-監視対象ソース) のイベントリストが表示されます。

• • 説明を確認し、イベントに関連するファイルまたは exe を特定する必要があります。
  • これらのイベントが収集されないよう設定するには、後のステップで必要な SHA256 を取得する必要があります。

6. SHA256 に基づいてイベントを除外するには、検出と応答ポリシーを開き、[エンドポイント活動レコーダルール] セクションまでスクロールダウンします。  
[追加] をクリックし、次に利用可能なオプション ([記録しない] または [監視を無効化する]) から選択し、除外する SHA256 ハッシュを指定します。

注: [記録しない] は、指定された SHA256 値に関連する特定のイベントの記録のみを停止します。また、この設定は、項目は監視されるが記録はされないため、CPU 使用率に影響を与える可能性が高いと考えられます。監視を無効にすると、特定のイベントだけでなく全てのイベントタイプの監視を停止します。

さらに、単一の SES クライアントシステムに特化した除外をテストまたは追加したい場合は、本番環境の検出と応答ポリシーを複製し、その複製をクライアントに割り当てて、除外が本番環境の全マシンではなく単一のシステムにのみ影響するようにする必要があります。

7. エンドポイント活動レコーダの除外が適用されたら、SES クライアントのパフォーマンスが向上しているか監視します。 

エンドポイント活動レコーダの除外を適用しても問題が解決しない場合は、ICDm コンソールからフルダンプを収集します。

問題の発生した時間帯のフルダンプを収集し、追加したい除外の可能性がないかファイルを分析します。

注: フルダンプには、指定した時間範囲のすべてのイベントが含まれ、多くの場合、SES Cloud / ICDm に表示される 10,000 イベントの制限を超えます。

8. エンドポイント活動レコーダの除外を追加しても同じ問題が発生する場合は、ccSvcHst.exe の CPU 使用率がビジネスクリティカルシステム上で高い に記載されているデータを収集し、サポートにお問い合わせください。 

[英語文書] High CPU Utilization found on Endpoint Security client after deploying Endpoint Detection and Response in the Cloud