更新时间:2022-09-08 GMT+08:00
分享

查看和处理程序运行事件

服务器应用白名单策略后,HSS将检测该服务器中进程的风险类型,包括“可信”“不可信”“未知”,帮助您有效识别服务器中的风险,并对不在白名单策略中的进程进行告警提示或者隔离。

你可以对进程告警事件进行“可信”“不可信”“未知”标记。

若您判断进程为恶意程序,可以手动执行“隔离查杀”。程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对恶意进程执行误杀,您可以执行取消隔离查杀操作。

事件管理列表展示生效服务器命中白名单策略的“不可信”“未知”和不在白名单策略中的进程。

建议您对“不可信”“未知”和不在白名单策略中的进程进行重点排查和处理。

程序运行认证检测功能在当前版本中为测试使用,可能存在无法完全满足对应能力的情况,你可购买升级后的主机安全(新版)进行使用。

查看程序运行事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全与合规 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 进入“程序运行认证”页面,选择“事件管理”,如图2所示。

    图2 程序运行事件管理页面
    表1 程序运行事件管理

    参数

    参数说明

    程序路径

    运行程序的路径。

    信任状态

    运行程序的可信状态,包括:可信、不可信和未知。

    影响服务器名称/IP

    影响的服务器的名称和IP地址。

    命中白名单策略

    告警命中的白名单策略。

    发生时间

    触发告警的时间。

    简述

    告警事件的简要描述信息。

    状态

    程序运行事件的处理状态,包括“已处理”“未处理”

处理程序运行事件

  1. 在事件管理列表的操作列中,单击“处理”,处理进程告警事件,如图3所示。

    图3 处理应用进程告警事件

  2. 在弹出的处理事件窗口中,选择处理方式,处理进程告警事件,如图4所示。

    图4 处理进程告警事件
    表2 处理告警事件

    处理方式

    处理方式说明

    可信

    标记进程为“可信”状态,标记为“可信”的进程,该进程启动后将不会触发告警。

    不可信

    标记进程为“不可信”状态,标记为“不可信”的进程,该进程启动后将触发告警。

    未知

    标记进程为“未知”状态,标记为“未知”的进程,该进程启动后将触发告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对进程进行误杀,您可以对隔离查杀文件执行恢复操作。

    取消隔离查杀

    若对进程进行误杀,您可以该进程进行取消隔离查杀。

    说明:

    请确认取消隔离查杀的进程不是恶意程序,执行取消隔离查杀后,将对隔离查杀的文件进行恢复,请谨慎操作。

  3. 单击“确定”,完成进程告警事件处理。
分享:

    相关文档

    相关产品