文档首页/ 企业主机安全 HSS/ 常见问题/ 检测与响应/ 如何为高危命令执行类告警添加白名单?
更新时间:2024-11-15 GMT+08:00

如何为高危命令执行类告警添加白名单?

如果您在服务器上执行了正常业务相关命令,HSS进行“高危命令执行”告警,您可以添加白名单,避免告警。

添加命令告警白名单方式如下:

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航树中选择安全运营 > 策略管理,进入“策略管理”页面。
  4. 找到服务器对应防护版本的策略组,单击策略组名称,进入策略组管理页面。
  5. 单击“实时进程”策略名称。
  6. 添加命令白名单。参数说明如下:
    • 进程全路径或程序名:填写进程的全路径或者程序名称,例如/usr/bin/sleep或sleep。
    • 命令行正则表达式:填写需要加白的命令行的正则表达式,例如^[A-Za-z0-9[:space:]\\*\\.\\\":_'\\(>=-]+$
    图1 添加白名单
  7. 单击“确认”,保存修改。