管理防护策略
防护策略创建完成后,通过机器学习引擎学习服务器上的进程修改文件的行为。策略学习完成后,自动应用于关联服务器。
如果您需要修改已创建策略的基本信息或者关联服务器,您可以通过策略管理页面,执行相关操作。
防勒索病毒功能在当前版本中为测试使用,可能存在无法完全满足对应能力的情况,您可购买升级后的主机安全(新版)进行使用。
前提条件
“服务器状态”为“运行中”,已安装HSS的Agent,且“Agent状态”为“在线”。
查看防护策略列表
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“勒索病毒防护”页面,单击“策略管理”,进入防护策略管理列表页面,如图1所示。
表1 防护策略列表说明 参数
参数说明
策略名称
创建的防护策略的策略名称。
已生效服务器
应用防护策略生效的服务器数量。
学习中服务器
智能学习进行中,自动对关联服务器执行智能学习。新创建的策略状态都为“学习中”。
可信进程数
HSS自动识别关联服务器中的可信进程的数量。
监控文件路径
监控的文件的路径,多个文件以分号分隔。监控该路径下的文件操作。
如果监控文件路径为“--”,表示HSS会监控主机上所有的文件路径。
扩展名
检测监控路径下包含文件扩展名的所有文件。
防护状态
检测到进程文件对监控路径文件扩展名的文件的不可信操作,触发进行告警。
诱饵防护状态
仅Linux防护列表中,包含诱饵防护状态。
- 开启:诱饵防护为开启状态,HSS在关联服务器中预置诱饵文件,发现未知勒索病毒加密诱饵文件的行为,立即告警。
- 关闭:诱饵防护为关闭状态。
- 单击策略名称,进入策略详细信息页面,您可以查看策略的“基本信息”和“进程文件”信息,如图2所示。
- 您可以查看策略的名称、智能学习天数、防护状态、监控文件路径、扩展名和更新时间。
- 您也可以查看进程文件的“进程总数”、“可信进程”和“不可信进程”,以及“进程文件”、“进程签名的发布者”、“进程HASH”和“信任状态”。
- 您也可以根据进程文件的实际情况为进程文件标记“可信”和“不可信”状态。标记为不可信状态的进程启动时,根据策略防护状态,进行告警。
- 单击“已关联服务器”,查看关联服务器,如图3所示。
表2 已关联服务器列表 参数
参数说明
服务器名称
服务器的名称。
IP地址
服务器的IP地址。
系统
服务器的操作系统,仅支持防护Windows操作系统。
策略状态
策略的生效状态。包含以下状态:
操作
可对该策略执行的操作。支持以下操作:
- 重新学习
- 若软件出现重大改版,需要对关联服务器进行重新学习。
- 若设置的智能学习天数不够,不能完成机器的智能学习,或者策略学习的时间已超过设置的“智能学习天数”,仍然处于“学习中”状态。
请根据业务场景重新设置“智能学习天数”后,单击“重新学习”,重新对关联服务器进行智能学习。
- 若学习过程中,服务器处于“关机”或者“故障”状态、Agent处于“离线”状态、或者服务器关闭旗舰版防护,学习将会已中断,但策略仍然处于“学习中”,单击“重新学习”,无法对Agent下发任务。
请检查并恢复以上场景,满足服务器“运行中”、Agent“在线”和开启旗舰版防护后,单击“重新学习”,重新对关联服务器进行学习。
- 删除
- 重新学习
编辑防护策略
编辑防护策略后,防护策略需要重新开始学习。
若编辑防护策略前已开启诱饵防护,编辑防护策略时关闭诱饵防护,预置的诱饵文件会被删除。HSS将无法及时隔离查杀新型未知的勒索病毒,请谨慎操作。
管理策略中的关联服务器
若在创建智能学习策略时添加的关联服务器无法满足您的要求,您可以在“已关联服务器”页签下,为该智能学习策略添加或者删除关联服务器。
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
- 进入“勒索病毒防护”页面,单击“策略管理”,进入防护策略管理列表页面,如图1所示。
图6 策略管理列表
- 单击已创建策略的策略名称,进入详情页面,以Linux防护为例,如图7所示。
- 选择“关联服务器”,单击“添加服务器”,添加关联的服务器,如图8所示。
- 在弹出的添加服务器窗口中,选择关联的服务器,如图9所示。
- 单击“确认”,完成关联服务器添加。
关联服务器添加完成后,您可以查看关联服务器的服务器名称、IP地址、系统和策略状态,策略默认状态处于“学习中”。
学习完成后,策略状态处于“学习完成,策略已生效”。勒索病毒防护策略自动应用于该策略下的所有服务器。