企业主机安全 HSS
企业主机安全 HSS
- 最新动态
- 功能总览
- 服务公告
- 技术画册
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 最佳实践
- API参考
- SDK参考
-
常见问题
- 产品咨询
-
Agent相关
- 购买HSS会自动安装Agent吗?
- Agent是否和其他安全软件有冲突?
- 如何卸载Agent?
- Agent安装失败应如何处理?
- Agent状态异常应如何处理?
- Agent的默认安装路径是什么?
- Agent检测时占用多少CPU和内存资源?
- 购买不同版本HSS,可以共用同一Agent吗?
- 如何查看未安装Agent的主机?
- Agent如何升级?
- 企业主机安全升级失败怎么处理?
- 服务器安装Agent后会访问哪些资源?
- 如何使用镜像批量安装Agent?
- 无法访问Windows或Linux版本Agent下载链接?
- 升级Agent失败,提示“替换文件失败”
- 批量安装Agent失败,提示“网络不通”
- 如何验证主机与HSS服务端的网络是否打通成功?
- 防护相关
- 漏洞管理
- 检测与响应
- 异常登录
- 账户暴力破解
- 基线检查
- 网页防篡改
- 容器安全
- 勒索防护
- 区域和可用区
- 安全配置
- 防护配额
- 计费、续费与退订
- 其他
- 视频帮助
-
更多文档
- 用户指南(安卡拉区域)
- 用户指南(阿布扎比区域)
- 用户指南(巴黎区域)
- 通用参考
链接复制成功!
创建白名单策略
在开启应用进程控制防护前,您需要为服务器创建白名单策略,设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等;HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。
创建白名单策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击
,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
- 在左侧导航栏,选择“主机防御 > 应用进程控制”,进入“应用进程控制”界面。
- 选择“白名单策略”页签,单击“创建策略”。
- 在“创建策略”弹窗中,设置策略参数,相关参数说明请参见表 创建白名单策略参数说明。
图1 创建白名单策略
表1 创建白名单策略参数说明 参数名称
参数说明
取值样例
策略模式
应用进程控制防护策略模式。
默认配置下日常运营模式允许可信、可疑进程运行,仅对恶意进程进行告警。
-
白名单策略名称
系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。
test
智能学习天数
HSS学习服务器应用进程的天数。学习天数越多,学习结果越准确。
7
学习结果确认方式
当HSS学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。
- 自动确认可疑进程:HSS根据应用进程特征库,自动确认并标记特征不明显的可疑应用进程。
- 手动确认可疑进程:您在“应用进程控制 > 白名单策略”页面,单击策略名称,进入策略详情页,选择“进程文件”页签,筛选“待确认状态”的进程,根据实际业务情况确认并手动标记特征不明显的可疑进程。
自动确认可疑进程
策略生效方式
当HSS学习完策略关联的服务器后,开启应用进程控制的方式。
- 学习完成后自动开启:系统自动开启策略关联的服务器的应用进程控制。
- 学习完成后手动开启:您根据业务情况手动开启应用进程控制。开启方式请参见开启应用进程控制防护。
学习完成后自动开启
防护动作
当发现恶意进程后的防护动作。对恶意进程进行告警。
告警
选择服务器
选择需要防护的服务器。当服务器的防护状态为“防护中”时,才会在列表中呈现,查看服务器状态的操作请参见查看主机防护状态。
-
- 单击“确定”,完成创建。
您策略列表中可以查看已创建的策略及策略当前状态。
相关操作
编辑白名单策略
如果创建策略完成后,您需要修改策略模式、防护动作或防护的服务器,您可以编辑白名单策略。
- 在目标策略所在行的操作列,单击“编辑”。
- 在编辑策略弹窗中完成信息修改后,单击“确定”。
删除白名单策略
如果不再需要HSS为您的某个策略中关联的所有服务器提供应用进程控制防护,且无需保留HSS已学习到的应用进程信息,您可以删除白名单策略。删除后,如果后续再次开启应用进程控制,HSS需要重新学习服务器,请谨慎操作!
- 在目标策略所在行的操作列,单击“删除”。
- 在弹窗中,单击“确定”。
父主题: 应用进程控制