› ›

优化 Elastic Defend

如果您遇到与其他杀毒软件不兼容、误报过多或存储或 CPU 使用率过高等问题，您可以优化 Elastic Defend 来缓解这些问题。

终端工件（例如受信任的应用程序和事件过滤器）和终端例外允许您修改Elastic Endpoint 的行为和性能，Elastic Endpoint 是安装在每个主机上执行 Elastic Defend 的威胁监控、预防和响应操作的组件。

下表解释了几个终端工件和例外的区别，以及如何使用它们。

受信任的应用程序	*阻止 Elastic Endpoint 监控进程。* 用于避免与其他软件（通常是其他杀毒软件或终端安全应用程序）发生冲突。会在您的安全环境中创建有意忽略的盲点——谨慎使用！不会监控应用程序是否存在威胁，也不会生成警报，即使它的行为类似于恶意软件、勒索软件等。不会为应用程序生成事件，除了用于可视化和其他 Elastic Stack 内部使用的进程事件。可能会提高性能，因为 Elastic Endpoint 监控的进程更少。如果应用程序的进程事件指示恶意行为，仍然可能会生成恶意行为警报。要抑制警报，请创建终端警报例外。
事件过滤器	*阻止将事件文档写入 Elasticsearch。* 用于减少 Elasticsearch 中的存储使用量。不会降低 Elastic Endpoint 的 CPU 使用率。它仍然会监控事件数据中是否存在可能的威胁，但不会将事件数据写入 Elasticsearch。
黑名单	*阻止已知恶意软件运行。* 用于增强 Elastic Defend 对恶意进程的防护能力。并非旨在出于非安全原因广泛阻止良性应用程序。
终端警报例外	*阻止 Elastic Endpoint 生成警报或停止进程。* 用于减少误报，并防止 Elastic Endpoint 阻止您想要允许的进程。也可能提高性能：Elastic Endpoint 在大多数其他处理之前检查例外情况，如果例外允许，则停止监控进程。