更新时间:2023-02-16 GMT+08:00
查看白名单策略列表
企业主机安全支持程序运行认证功能,可有效防止您云主机上有未经过认证或授权的程序运行,为您提供可信的资产运行环境。
背景信息
程序运行认证功能支持将重点防御的主机加入到白名单策略中,通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”,防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害,还能防止不必要的资源浪费、保证您的资源被合理利用。
在创建白名单策略之后,您可以通过在需要重点防御的主机中应用该白名单策略,企业主机安全将检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示或者隔离。
- 非白名单中的应用程序启动时,会触发告警。
- 非白名单内的应用程序启动,可能是新启动的正常程序,或是被入侵后植入的恶意程序。
- 若提示告警的应用程序为正常程序、常用程序或者您安装的第三方程序,建议您将该应用程序加入白名单。已加入白名单的应用程序再次启动时,将不再触发告警。
- 若该进程为恶意程序,建议您及时清理该进程,并查看计划任务等配置文件是否被篡改。
查看白名单策略列表
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“程序运行认证”页面,选择“白名单策略”页签,查看白名单策略列表,如图1所示。
表1 策略列表说明 参数
参数说明
策略名称
创建的白名单策略的策略名称。
已生效服务器
应用白名单策略生效的服务器数量。
状态
策略的生效状态。包含以下状态:
应用数
HSS自动识别学习服务器中应用进程的风险数量,包含“可信”、“不可信”和“未知”应用进程的数量。
策略状态
策略的状态,白名单策略处于“学习完成,策略未生效”,可单击,开启白名单策略。开启白名单策略后,策略才生效。
操作
可对该策略执行的操作。支持以下操作:
- 单击策略名称,进入白名单策略详情页面,查看关联服务器的“应用程序”,如图2所示。
- 单击“生效服务器”页签,查看应用该白名单策略的生效服务器,如图3所示。
您可以查看生效服务器的“服务器名称/IP地址”、“白名单策略”、“异常行为数”和“异常处理模式”。
- 异常行为数:异常行为包括非白名单策略中的进程启动行为和白名单内的“不可信”或者“未知”进程的启动行为。
- 异常处理模式:当HSS检测发现异常行为时,触发告警。
你可以根据需要删除生效服务器,删除生效服务器后,生效服务器的进程将不再受到该白名单策略的保护。
父主题: 程序运行认证