文档首页 > > 用户指南> 高级防御> 程序运行认证>

查看和处理程序运行事件

查看和处理程序运行事件

分享
更新时间:2021/01/05 GMT+08:00

服务器应用白名单策略后,HSS将检测该服务器中进程的风险类型,包括“可信”“不可信”“未知”,帮助您有效识别服务器中的风险,并对不在白名单策略中的进程进行告警提示或者隔离。

你可以对进程告警事件进行“可信”“不可信”“未知”标记。

若您判断进程为恶意程序,可以手动执行“隔离查杀”。程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对恶意进程执行误杀,您可以执行取消隔离查杀操作。

事件管理列表展示生效服务器命中白名单策略的“不可信”“未知”和不在白名单策略中的进程。

建议您对“不可信”“未知”和不在白名单策略中的进程进行重点排查和处理。

查看程序运行事件

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 进入“程序运行认证”页面,选择“事件管理”,如图2所示。

    图2 程序运行事件管理页面
    表1 程序运行事件管理

    参数

    参数说明

    程序路径

    运行程序的路径。

    信任状态

    运行程序的可信状态,包括:可信、不可信和未知。

    影响服务器名称/IP

    影响的服务器的名称和IP地址。

    命中白名单策略

    告警命中的白名单策略。

    发生时间

    触发告警的时间。

    简述

    告警事件的简要描述信息。

    状态

    程序运行事件的处理状态,包括“已处理”“未处理”

处理程序运行事件

  1. 在事件管理列表的操作列中,单击“处理”,处理进程告警事件,如图3所示。

    图3 处理应用进程告警事件

  2. 在弹出的处理事件窗口中,选择处理方式,处理进程告警事件,如图4所示。

    图4 处理进程告警事件
    表2 处理告警事件

    处理方式

    处理方式说明

    可信

    标记进程为“可信”状态,标记为“可信”的进程,该进程启动后将不会触发告警。

    不可信

    标记进程为“不可信”状态,标记为“不可信”的进程,该进程启动后将触发告警。

    未知

    标记进程为“未知”状态,标记为“未知”的进程,该进程启动后将触发告警。

    隔离查杀

    选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。

    您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱

    说明:

    程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对进程进行误杀,您可以对隔离查杀文件执行恢复操作。

    取消隔离查杀

    若对进程进行误杀,您可以该进程进行取消隔离查杀。

    说明:

    请确认取消隔离查杀的进程不是恶意程序,执行取消隔离查杀后,将对隔离查杀的文件进行恢复,请谨慎操作。

  3. 单击“确定”,完成进程告警事件处理。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问