Deep SecurityでEC2インスタンスのCPU利用率が上昇した場合の対処方法

Deep Securityは不正プログラム検索によりCPU利用率が上昇する場合があります。その対応方法についてお客様から不定期に質問を受けるためブログにしました。どなたかのお役に立てれば光栄です。
2021.03.05

こんにちは、コカコーラ大好きカジです。

Deep Securityは不正プログラム検索によりCPU利用率が上昇する場合があります。 その対応方法についてお客様から不定期に質問を受けるためブログにしました。どなたかのお役に立てれば光栄です。

定期的に上昇する場合

CPU利用率が上昇する時間にDeep Securityの予約タスクで、不正プログラム検索が実行されていることを確認します。

Deep Security Manager(またはCloud One Workload Security)の管理>予約タスクで確認できます。

CPU利用率の上昇と不正プログラム検索の実施時間が一致した場合は、不正プログラム検索が実行時にCPUを使用したものと考えられます。(侵入防御機能における「推奨設定の検索」の実行時も可能性ありますが、そちらは予約タスクで実行時間を変更する対処法のみのようです。)

保護対象サーバのポリシーを確認し、不正プログラム検索に指定している設定を確認(デフォルトはDefault Scheduled Scan Configurationを利用)設定でCPU使用率を「高」「中」「低」から選択できるので必要に応じて変更します。

ポリシー>その他(左側)>不正プログラム検索設定>上記ポリシーで利用している不正プログラム検索設定(デフォルトはDefault Scheduled Scan Configuration)をクリック

詳細>CPU使用率>「高」(デフォルト)から変更できます。

なお、不正プログラム検索処理が使用するCPU使用率を少なくしますと、検索に時間がかかるケースがありますのでワークロードに併せてご調整しましょう。

常にCPU利用率が上昇している場合

こちらは問い合わせ頂くことがほとんどないため、参考程度に記載しております。他の要因も考えられるため、Deep SecurityのリアルタイムスキャンにてCPU使用率が高くなっているのかを調査します。

該当する場合は、データベースソフトウェアなどファイルが頻繁に変化するミドルウェアをご利用していないでしょうか?

その場合にスキャン対象から除外する設定があり、トレンドマイクロやマイクロソフトからリスト提供されており、以下のリストが参考になります。EC2の場合は、インスタンスタイプを変えて負荷に対応することも可能なため、ケースバイケースで利用すると良いと思います。

除外対象の参考情報

検索除外を推奨するフォルダやファイル

Recommended scan exclusion list for Trend Micro Endpoint products

Microsoft Anti-Virus Exclusion List - TechNet Articles - United States (English) - TechNet Wiki

設定方法

以下のドキュメントを参照ください。

不正プログラム検索の設定 > 検索除外

参考元

Deep Security でCPU/メモリに負荷を与える動作について