SentinelOne利用端末のリソース消費

SentinelOne利用端末におけるリソース消費の目安と
フルディスクスキャン時の負荷軽減について、ご紹介します。

SentinelOneは自律型で端末内で検知・防御が完結できるがゆえに、エージェント(ソフトウェア)のプロセス自体が重くなるのではないか、とご質問をいただくことがございます。

実際のところはどうなのか、2つのシチュエーションについて記載します。
※数値は、Windows10 における目安です。

1.【通常利用時の負荷】

日常の端末利用において
SentinelOneエージェントが使用する端末リソースの目安は下記のとおりです。

　CPU: 1-2％、メモリ: 300MB程度

一般的なWebブラウザやコミュニケーションツールと同程度、と言えるのではないでしょうか。

2.【フルディスクスキャン時の負荷】

SentinelOneは、常に端末を監視し、リアルタイムでファイルスキャンをかけるため
フルディスクスキャンは必須な運用ではありませんが
運用管理者により任意の端末に対してフルディスクスキャンを実行することができます。

(フルディスクスキャン利用例)
　SentinelOneをはじめてインストールした際、既存ファイルの全チェックのために実施

フルディスクスキャン時には、

・スキャン対象ファイルの列挙
・ファイルのスキャン
・証明書のスキャン

のプロセスが動き、通常利用時に比べCPU使用率が増加します。
(ただし優先度:低 のプロセスとして実行されます)

もしご利用の端末環境において、CPU使用率の増加が負荷となる場合は
下記のようにCPU使用率上限の設定変更が可能です。

設定画面（ポリシーオーバーライド機能）
・SentinelOneの管理コンソールより、全端末(または特定の端末群)に対して一括で設定をおこないます。

設定変更前と変更後のパフォーマンス（タスクマネージャー）

もしフルディスクスキャン実施にあたり、少しでも負荷軽減を図りたい場合は
CPU使用率上限の設定変更をご活用ください。

おわりに

1.【通常利用時の負荷】
2.【フルディスクスキャン時の負荷】

について挙げさせていただきました。

他のセキュリティ製品に比べ、数値上、相対的に小さい・大きいはあるものと考えますが
日常業務に影響を与えるような過剰な負荷はありません。

SentinelOneのユニークなポイントである
「端末内(エージェント)でプロセスの分析をおこない、検知・防御まで完結させる」
ために適切にリソースを利用しているのです。