开启应用进程控制防护

操作场景

应用进程控制功能支持分类控制服务器中的应用进程运行，允许可疑、可信进程运行，告警恶意进程运行，为服务器进程运行提供安全防护，防止服务器遭受恶意进程的破坏。

开启应用进程控制防护的方式仅在创建白名单策略时可设置：

• “策略生效方式”选择“学习完成后自动开启”：系统完成策略关联服务器学习后，自动为该策略的服务器开启应用进程控制防护。
• “策略生效方式”选择“学习完成后手动开启”：您可根据实际业务情况手动为服务器开启应用进程控制防护。具体操作您可以参考本章节。

前提条件

已创建白名单策略并完成策略学习结果确认，具体操作请参见创建白名单策略和确认学习结果。

开启应用进程控制防护

1. 登录企业主机安全控制台。
2. 在控制台左上角，单击图标，选择区域或项目。

3. 在左侧导航栏，选择“主机防御 > 应用进程控制”，进入“应用进程控制”界面。

4. 选择“白名单策略”页签。
5. 在目标策略所在行的操作列，单击“开启防护”。

   您也可以批量选中所有目标策略，在策略列表左上方，单击“开启防护”，批量为多个策略开启防护。

6. 在开启防护弹窗中，单击“确定”。
7. 在策略列表中，查看目标策略的策略状态为“学习完成，防护中”，表示开启应用进程防护成功。

后续操作

开启应用进程控制防护后，服务器中出现的可疑或恶意进程运行事件将触发告警，处理相关事件请参见：

• 处理可疑进程运行事件：查看并处理可疑进程。
• 处理恶意进程运行事件：处理主机告警事件。