查看白名单策略列表

背景信息

程序运行认证功能支持将重点防御的主机加入到白名单策略中，通过检测白名单中指定的应用程序区分“可信”、“不可信”和“未知”，防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害，还能防止不必要的资源浪费、保证您的资源被合理利用。

在创建白名单策略之后，您可以通过在需要重点防御的主机中应用该白名单策略，企业主机安全将检测服务器中是否存在可疑或恶意进程，并对不在白名单中的进程进行告警提示或者隔离。

• 非白名单中的应用程序启动时，会触发告警。
• 非白名单内的应用程序启动，可能是新启动的正常程序，或是被入侵后植入的恶意程序。
  • 若提示告警的应用程序为正常程序、常用程序或者您安装的第三方程序，建议您将该应用程序加入白名单。已加入白名单的应用程序再次启动时，将不再触发告警。
  • 若该进程为恶意程序，建议您及时清理该进程，并查看计划任务等配置文件是否被篡改。

查看白名单策略列表

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入企业主机安全页面。
   图1 企业主机安全
   

3. 进入“程序运行认证”页面，选择“白名单策略”页签，查看白名单策略列表，如图2所示。
   图2 查看白名单策略列表
   

   表1 策略列表说明

   参数	参数说明
   策略名称	创建的白名单策略的策略名称。
   已生效服务器	应用白名单策略生效的服务器数量。
   状态	策略的生效状态。包含以下状态： 学习中 智能学习进行中。 策略创建完成后，自动对学习的服务器执行智能学习。新创建的策略状态都为“学习中”。 学习完成，策略未生效 该策略已完成智能学习，需确认并启用策略。 智能学习完成后，您还需单击该策略状态下的，启用该策略。启用策略后，策略才能生效，HSS会自动识别您服务器中进程的风险类型（可信、不可信和未知）。 学习完成，策略已生效 该策略已完成智能学习，并且已应用到关联生效服务器中。
   应用数	HSS自动识别学习服务器中应用进程的风险数量，包含“可信”、“不可信”和“未知”应用进程的数量。
   策略状态	策略的状态，白名单策略处于“学习完成，策略未生效”，可单击，开启白名单策略。开启白名单策略后，策略才生效。
   操作	可对该策略执行的操作。支持以下操作： 关联生效服务器：单击“关联生效服务器”，打开“关联生效服务器”页面，可增加或删除应用该白名单策略的服务器。 编辑：单击“编辑”打开编辑策略白名单页面，对该策略进行修改。可修改该策略的“智能学习天数”和执行智能学习的服务器。 删除：删除白名单策略。 策略删除后，对应的生效服务器的进程将不再受到该白名单策略的保护。

4. 单击策略名称，进入白名单策略详情页面，查看关联服务器的“应用程序”，如图3所示。
   您可以查看应用总数、可信应用数、不可信应用数和未知应用数。您可以自行识别并判断应用程序是否可信，并为应用程序标记“可信”、“不可信”或者“未知”，为应用程序创建应用白名单。

   图3 应用程序列表
   

5. 单击“生效服务器”页签，查看应用该白名单策略的生效服务器，如图4所示。

   您可以查看生效服务器的“服务器名称/IP地址”、“白名单策略”、“异常行为数”和“异常处理模式”。

   • 异常行为数：异常行为包括非白名单策略中的进程启动行为和白名单内的“不可信”或者“未知”进程的启动行为。
   • 异常处理模式：当HSS检测发现异常行为时，触发告警。
     图4 查看生效服务器
     
     

     你可以根据需要删除生效服务器，删除生效服务器后，生效服务器的进程将不再受到该白名单策略的保护。