查看和处理程序运行事件
服务器应用白名单策略后,HSS将检测该服务器中进程的风险类型,包括“可信”、“不可信”和“未知”,帮助您有效识别服务器中的风险,并对不在白名单策略中的进程进行告警提示或者隔离。
你可以对进程告警事件进行“可信”、“不可信”和“未知”标记。
若您判断进程为恶意程序,可以手动执行“隔离查杀”。程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对恶意进程执行误杀,您可以执行取消隔离查杀操作。
事件管理列表展示生效服务器命中白名单策略的“不可信”、“未知”和不在白名单策略中的进程。
建议您对“不可信”、“未知”和不在白名单策略中的进程进行重点排查和处理。
查看程序运行事件
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“程序运行认证”页面,选择“事件管理”,如图1所示。
表1 程序运行事件管理 参数
参数说明
程序路径
运行程序的路径。
信任状态
运行程序的可信状态,包括:可信、不可信和未知。
影响服务器名称/IP
影响的服务器的名称和IP地址。
命中白名单策略
告警命中的白名单策略。
发生时间
触发告警的时间。
简述
告警事件的简要描述信息。
状态
程序运行事件的处理状态,包括“已处理”和“未处理”。
处理程序运行事件
- 在事件管理列表的操作列中,单击“处理”,处理进程告警事件,如图2所示。
- 在弹出的处理事件窗口中,选择处理方式,处理进程告警事件,如图3所示。
表2 处理告警事件 处理方式
处理方式说明
可信
标记进程为“可信”状态,标记为“可信”的进程,该进程启动后将不会触发告警。
不可信
标记进程为“不可信”状态,标记为“不可信”的进程,该进程启动后将触发告警。
未知
标记进程为“未知”状态,标记为“未知”的进程,该进程启动后将触发告警。
隔离查杀
选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。
说明:程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对进程进行误杀,您可以对隔离查杀文件执行恢复操作。
取消隔离查杀
若对进程进行误杀,您可以该进程进行取消隔离查杀。
说明:请确认取消隔离查杀的进程不是恶意程序,执行取消隔离查杀后,将对隔离查杀的文件进行恢复,请谨慎操作。
- 单击“确定”,完成进程告警事件处理。