优化 Elastic Defend
编辑优化 Elastic Defend编辑
如果您遇到与其他反病毒软件不兼容、误报过多或存储或 CPU 使用率过高等问题,您可以优化 Elastic Defend 来缓解这些问题。
终端工件(例如受信任的应用程序和事件过滤器)以及终端异常使您能够修改Elastic Endpoint的行为和性能,该组件安装在每个主机上,执行 Elastic Defend 的威胁监控、防御和响应操作。
下表解释了几个终端工件和异常之间的区别,以及如何使用它们
|
阻止 Elastic Endpoint 监控进程。 用于避免与其他软件冲突,通常是其他反病毒或终端安全应用程序。
|
|
|
阻止事件文档写入 Elasticsearch。 用于减少 Elasticsearch 中的存储使用量。 不会降低 Elastic Endpoint 的 CPU 使用率。它仍然监控事件数据以查找可能的威胁,但不会将事件数据写入 Elasticsearch。 |
|
|
阻止已知恶意软件运行。 用于扩展 Elastic Defend 对恶意进程的保护。 不打算出于非安全原因广泛阻止良性应用程序。 |
|
|
阻止 Elastic Endpoint 生成警报或停止进程。 用于减少误报,并防止 Elastic Endpoint 阻止您想要允许的进程。 也可能提高性能:Elastic Endpoint 在执行大多数其他处理之前检查异常,如果异常允许,则停止监控进程。 |