创建白名单策略

创建白名单策略

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。

3. 在左侧导航栏，选择“主机防御 > 应用进程控制”，进入“应用进程控制”界面。
4. 选择“白名单策略”页签，单击“创建策略”。
5. 在“创建策略”弹窗中，设置策略参数，相关参数说明请参见表 创建白名单策略参数说明。
   图1 创建白名单策略
   

   表1 创建白名单策略参数说明

   参数名称	参数说明	取值样例
   策略模式	应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。	-
   白名单策略名称	系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。	test
   智能学习天数	HSS学习服务器应用进程的天数。学习天数越多，学习结果越准确。	7
   学习结果确认方式	当HSS学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。	自动确认可疑进程
   策略生效方式	当HSS学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。开启方式请参见开启应用进程控制防护。	学习完成后自动开启
   防护动作	当发现恶意进程后的防护动作。对恶意进程进行告警。	告警
   选择服务器	选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现，查看服务器状态的操作请参见查看主机防护状态。	-

6. 单击“确认”，完成创建。

   您策略列表中可以查看已创建的策略及策略当前状态。

   

   创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成，可确认学习结果。

相关操作

编辑白名单策略

如果创建策略完成后，您需要修改策略模式、防护动作或防护的服务器，您可以编辑白名单策略。

1. 在目标策略所在行的操作列，单击“编辑”。
2. 在编辑策略弹窗中完成信息修改后，单击“确认”。

删除白名单策略

如果不再需要HSS为您的某个策略中关联的所有服务器提供应用进程控制防护，且无需保留HSS已学习到的应用进程信息，您可以删除白名单策略。删除后，如果后续再次开启应用进程控制，HSS需要重新学习服务器，请谨慎操作！

1. 在目标策略所在行的操作列，单击“删除”。
2. 在弹窗中，单击“确认”。