更新时间:2024-04-08 GMT+08:00
配置黑白名单策略
背景信息
每台终端均有一个黑白名单策略。云端会根据EDR Agent上报的进程信息,与黑白名单策略进行比对,用于判断该终端上是否存在恶意进程,并对相关进程进行管控。
如果进程在白名单中,表示用户认可该进程不存在潜在风险,系统将忽略其可能触发的风险行为,不会再上报给云端进行检测和处置。
如果进程在黑名单中,表示用户不希望该进程继续运行,如果检测到该进程启动,用户可以选择手动处置或开启自动处置功能,系统将在进程启动后自动关闭该进程。
操作步骤
- 登录华为乾坤控制台,选择“
> 我的服务 > 终端防护与响应”。 - 在右上角菜单栏选择。
- 选择资产或资产组,填写策略信息并应用。
图1 黑白名单配置策略
表1 黑白名单策略配置界面关键参数说明 模块
参数
参数说明
资产
-
支持面向不同的资产组设置不同的策略,设置过的子分组不继承上级分组的策略。
资产或资产组前的图标代表以下含义。
:策略配置下发失败。
:已设置过自定义策略,未继承父层策略。
白名单配置
开启白名单配置
开启白名单策略配置时,置为打开状态。
关闭白名单策略配置时,置为关闭状态。
策略配置
说明:白名单策略配置最大规格为200条。
目录
进程文件所在目录(粗粒度,该目录下所有进程文件均列入白名单)。
示例:D:\tmp\
完整路径
进程文件完整路径(细粒度,精确到单个进程)。
示例:D:\tmp\xxx
SHA256
进程的标识。有如下几种获取方式:
- 正在运行的进程:选择,在资产详情页面选择“运行进程”,单击“进程名称”查看进程详情页面中的“SHA256”。
- 恶意进程:选择,筛选“异常进程”威胁事件,单击“事件名称”进入事件详情页面,查看“威胁信息”页签中的“SHA256”。
黑名单配置(只支持进程黑名单)
开启黑名单配置
开启黑名单策略配置时,置为打开状态。
关闭黑名单策略配置时,置为关闭状态。
黑名单策略配置
说明:黑名单策略配置最大规格为200条。
SHA256
进程的标识。有如下几种获取方式:
- 正在运行的进程:选择,在资产详情页面选择“运行进程”,单击“进程名称”查看进程详情页面中的“SHA256”。
- 恶意进程:选择,筛选“异常进程”威胁事件,单击“事件名称”进入事件详情页面,查看“威胁信息”页签中的“SHA256”。
进程
进程名称。
进程防护自动处置
置为打开状态时,针对检出的异常进程威胁事件,系统将进行自动处置。
说明:加入白名单策略的进程不会被自动处置。
(可选)继承父层策略
-
一键应用该资产或资产组上级分组的策略。
(可选)应用至下层所有资产
-
仅适用于资产组。
强制覆盖当前资产组下所有的资产/资产组的对应策略配置。
应用
-
- 选择资产组时:覆盖当前资产组下所有资产(除自定义资产/资产组以外)的对应策略配置。
- 选择资产时:应用该策略配置至指定资产。
- (可选)如果黑白名单策略下发失败,请根据页面提示排查原因。排查完毕后,请依次单击“重试”和
按钮,查看最新状态。
图2 策略配置下发失败提示
父主题: 配置威胁事件防护策略
