更新时间:2024-07-04 GMT+08:00
分享

配置黑白名单策略

背景信息

每台终端均有一个黑白名单策略。云端会根据HiSec Endpoint Agent上报的进程信息,与黑白名单策略进行比对,用于判断该终端上是否存在恶意进程,并对相关进程进行管控。

如果进程在白名单中,表示用户认可该进程不存在潜在风险,系统将忽略其可能触发的风险行为,不会再上报给云端进行检测和处置。

如果进程在黑名单中,表示用户不希望该进程继续运行,如果检测到该进程启动,用户可以选择手动处置或开启自动处置功能,系统将在进程启动后自动关闭该进程。

操作步骤

  1. 登录华为乾坤控制台,选择 > 我的服务 > 智能终端安全
  2. 在右上角菜单栏选择策略配置 > 防护策略 > 黑白名单策略配置
  3. 选择资产或资产组,填写策略信息并应用。

    图1 黑白名单配置策略

    表1 黑白名单策略配置界面关键参数说明

    模块

    参数

    参数说明

    资产

    -

    支持面向不同的资产组设置不同的策略,设置过的子分组不继承上级分组的策略。

    资产或资产组前的图标代表以下含义。

    • :策略配置下发失败。
    • :已设置过自定义策略,未继承父层策略。

    白名单配置

    开启白名单配置

    开启白名单策略配置时,置为打开状态。

    关闭白名单策略配置时,置为关闭状态。

    策略配置

    说明:

    白名单策略配置最大规格为200条。

    目录

    进程文件所在目录(粗粒度,该目录下所有进程文件均列入白名单)。

    示例:D:\tmp\

    完整路径

    进程文件完整路径(细粒度,精确到单个进程)。

    示例:D:\tmp\xxx

    SHA256

    进程的标识。有如下几种获取方式:

    • 正在运行的进程:选择资源中心 > 资产管理,在资产详情页面选择“运行进程”,单击“进程名称”查看进程详情页面中的“SHA256”
    • 恶意进程:选择威胁事件 > 高级威胁,筛选“异常进程”威胁事件,单击“事件名称”进入事件详情页面,查看“威胁信息”页签中的“SHA256”

    黑名单配置(只支持进程黑名单)

    开启黑名单配置

    开启黑名单策略配置时,置为打开状态。

    关闭黑名单策略配置时,置为关闭状态。

    黑名单策略配置

    说明:

    黑名单策略配置最大规格为200条。

    SHA256

    进程的标识。有如下几种获取方式:

    • 正在运行的进程:选择资源中心 > 资产管理,在资产详情页面选择“运行进程”,单击“进程名称”查看进程详情页面中的“SHA256”
    • 恶意进程:选择威胁事件 > 高级威胁,筛选“异常进程”威胁事件,单击“事件名称”进入事件详情页面,查看“威胁信息”页签中的“SHA256”

    进程

    进程名称。

    进程防护自动处置

    置为打开状态时,针对检出的异常进程威胁事件,系统将进行自动处置。

    说明:

    加入白名单策略的进程不会被自动处置。

    (可选)继承父层策略

    -

    一键应用该资产或资产组上级分组的策略。

    (可选)应用至下层所有资产

    -

    仅适用于资产组

    强制覆盖当前资产组下所有的资产/资产组的对应策略配置。

    应用

    -

    • 选择资产组时:覆盖当前资产组下所有资产(除自定义资产/资产组以外)的对应策略配置。
    • 选择资产时:应用该策略配置至指定资产。

  4. (可选)如果黑白名单策略下发失败,请根据页面提示排查原因。排查完毕后,请依次单击“重试”按钮,查看最新状态。

    图2 策略配置下发失败提示

相关文档