更新时间:2024-11-15 GMT+08:00

创建白名单策略

在开启应用进程控制防护前,您需要为服务器创建白名单策略,设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等;HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。

创建白名单策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  1. 在左侧导航栏,选择主机防御 > 应用进程控制,进入“应用进程控制”界面。
  2. 选择“白名单策略”页签,单击“创建策略”
  3. “创建策略”弹窗中,设置策略参数,相关参数说明请参见表 创建白名单策略参数说明

    图1 创建白名单策略
    表1 创建白名单策略参数说明

    参数名称

    参数说明

    取值样例

    策略模式

    应用进程控制防护策略模式。

    默认配置下日常运营模式允许可信、可疑进程运行,仅对恶意进程进行告警。

    -

    白名单策略名称

    系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。

    test

    智能学习天数

    HSS学习服务器应用进程的天数。学习天数越多,学习结果越准确。

    7

    学习结果确认方式

    当HSS学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。

    • 自动确认可疑进程:HSS根据应用进程特征库,自动确认并标记特征不明显的可疑应用进程。
    • 手动确认可疑进程:您在应用进程控制 > 白名单策略页面,单击策略名称,进入策略详情页,选择“进程文件”页签,筛选“待确认状态”的进程,根据实际业务情况确认并手动标记特征不明显的可疑进程。

    自动确认可疑进程

    策略生效方式

    当HSS学习完策略关联的服务器后,开启应用进程控制的方式。

    • 学习完成后自动开启:系统自动开启策略关联的服务器的应用进程控制。
    • 学习完成后手动开启:您根据业务情况手动开启应用进程控制。开启方式请参见开启应用进程控制防护

    学习完成后自动开启

    防护动作

    当发现恶意进程后的防护动作。对恶意进程进行告警。

    告警

    选择服务器

    选择需要防护的服务器。当服务器的防护状态为“防护中”时,才会在列表中呈现,查看服务器状态的操作请参见查看主机防护状态

    -

  4. 单击“确认”,完成创建。

    您策略列表中可以查看已创建的策略及策略当前状态。

    创建白名单策略完成后,HSS会自动开始对策略关联的服务器进行学习,学习服务器中的应用进程特征。待策略状态变更为“学习完成,未生效”表示学习完成,可确认学习结果

相关操作

编辑白名单策略

如果创建策略完成后,您需要修改策略模式、防护动作或防护的服务器,您可以编辑白名单策略。

  1. 在目标策略所在行的操作列,单击“编辑”
  2. 在编辑策略弹窗中完成信息修改后,单击“确认”

删除白名单策略

如果不再需要HSS为您的某个策略中关联的所有服务器提供应用进程控制防护,且无需保留HSS已学习到的应用进程信息,您可以删除白名单策略。删除后,如果后续再次开启应用进程控制,HSS需要重新学习服务器,请谨慎操作!

  1. 在目标策略所在行的操作列,单击“删除”
  2. 在弹窗中,单击“确认”