查看和处理程序运行事件
服务器应用白名单策略后,HSS将检测该服务器中进程的风险类型,包括“可信”、“不可信”和“未知”,帮助您有效识别服务器中的风险,并对不在白名单策略中的进程进行告警提示或者隔离。
你可以对进程告警事件进行“可信”、“不可信”和“未知”标记。
若您判断进程为恶意程序,可以手动执行“隔离查杀”。程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对恶意进程执行误杀,您可以执行取消隔离查杀操作。
事件管理列表展示生效服务器命中白名单策略的“不可信”、“未知”和不在白名单策略中的进程。
建议您对“不可信”、“未知”和不在白名单策略中的进程进行重点排查和处理。
程序运行认证检测功能在当前版本中为测试使用,可能存在无法完全满足对应能力的情况,你可购买升级后的主机安全(新版)进行使用。
查看程序运行事件
处理程序运行事件
- 在事件管理列表的操作列中,单击“处理”,处理进程告警事件,如图3所示。
- 在弹出的处理事件窗口中,选择处理方式,处理进程告警事件,如图4所示。
表2 处理告警事件 处理方式
处理方式说明
可信
标记进程为“可信”状态,标记为“可信”的进程,该进程启动后将不会触发告警。
不可信
标记进程为“不可信”状态,标记为“不可信”的进程,该进程启动后将触发告警。
未知
标记进程为“未知”状态,标记为“未知”的进程,该进程启动后将触发告警。
隔离查杀
选择隔离查杀后,该程序无法执行“读/写”操作,同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱,被隔离的文件不会对主机造成威胁。
您可以单击“文件隔离箱”,查看已隔离的文件,详细信息请参见管理文件隔离箱。
说明:程序被隔离查杀时,该程序的进程将被立即终止,为避免影响业务,请及时确认检测结果,若对进程进行误杀,您可以对隔离查杀文件执行恢复操作。
取消隔离查杀
若对进程进行误杀,您可以该进程进行取消隔离查杀。
说明:请确认取消隔离查杀的进程不是恶意程序,执行取消隔离查杀后,将对隔离查杀的文件进行恢复,请谨慎操作。
- 单击“确定”,完成进程告警事件处理。