优化 Elastic Defend
Elastic Stack Serverless Security
如果您遇到问题,例如与其他防病毒软件不兼容、误报警报过多或存储或 CPU 使用率过高,您可以优化 Elastic Defend 以缓解这些问题。
端点项目(例如受信任的应用程序和事件过滤器)和端点例外允许您修改Elastic Endpoint的行为和性能,Elastic Endpoint 是安装在每个主机上的组件,用于执行 Elastic Defend 的威胁监控、防御和响应操作。
下表解释了几个端点项目和例外的区别,以及如何使用它们
| 受信任的应用程序 | 阻止 Elastic Endpoint 监控进程。 用于避免与其他软件(通常是其他防病毒或端点安全应用程序)的冲突。 - 在您的安全环境中创建有意的盲点 - 请谨慎使用! - 不会监控应用程序的威胁,也不会生成警报,即使它的行为类似于恶意软件、勒索软件等。 - 不会为应用程序生成事件,除了用于可视化和 Elastic Stack 其他内部用途的进程事件。 - 可能会提高性能,因为 Elastic Endpoint 监控的进程更少。 - 如果应用程序的进程事件表明存在恶意行为,则可能仍然会生成恶意行为警报。 要禁止警报,请创建端点警报例外。 |
| 事件过滤器 | 阻止将事件文档写入 Elasticsearch。 用于减少 Elasticsearch 中的存储使用量。 不会降低 Elastic Endpoint 的 CPU 使用率。 它仍然监控事件数据中是否存在可能的威胁,但不会将事件数据写入 Elasticsearch。 |
| 阻止列表 | 阻止已知恶意软件运行。 用于扩展 Elastic Defend 对恶意进程的保护。 不适用于为非安全原因而广泛阻止良性应用程序。 |
| 端点警报例外 | 阻止 Elastic Endpoint 生成警报或停止进程。 用于减少误报警报,并防止 Elastic Endpoint 阻止您想要允许的进程。 也可能提高性能:Elastic Endpoint 在大多数其他处理之前检查例外情况,如果例外情况允许,则停止监控进程。 |