文档首页 > > 用户指南> 高级防御> 程序运行认证>

应用白名单策略

应用白名单策略

分享
更新时间:2021/01/05 GMT+08:00

白名单策略通过机器学习引擎实现自动化和收集正常的进程行为数据,您可以将重点防御的主机中应用该白名单策略。HSS将检测该主机中是否存在可疑或恶意进程,并对不在白名单策略中的进程进行告警提示或者隔离。

前提条件

  • 已开启旗舰版防护。
  • 添加为智能学习的服务器处于“运行中”、Agent为“在线”状态,且已开启旗舰版防护。
  • 一个服务器只能应用一个白名单策略。

创建白名单策略

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择安全 > 企业主机安全,进入企业主机安全页面。

    图1 企业主机安全

  3. 进入“程序运行认证”页面,选择“白名单策略”,单击“创建策略”,如图2所示。

    图2 创建白名单策略

  4. 在创建策略页面中,配置策略“基本信息”,如图3所示。

    • 策略名称:设置白名单策略的名称。
    • 智能学习天数:请根据您业务的场景选择智能学习的天数,您可以选择“7天”“15天”或者“30天”
      如果选择的智能学习天数小于实际业务场景操作的天数,会导致智能学习失败。
      图3 配置策略信息

  5. 单击“添加服务器”,添加智能学习服务器,如图4所示。

    • 添加为智能学习的服务器,服务器处于“运行中”、Agent为“在线”状态,且需要开启旗舰版防护。
    • 添加学习服务器时,可以添加一个或者多个服务器,HSS将对一个或多个服务器进行自动化聚类和收集“可信”“不可信”“未知”的应用进程数据。
    图4 添加白名单策略学习服务器

  6. 单击“确认”,完成白名单策略学习服务器的添加。

    • 在学习服务器列表中,您可以查看学习服务器的“服务名称”“IP地址”“系统”
    • 您可以根据需要新增或者删除添加的学习服务器。

  7. 单击“创建并学习”,完成白名单策略的创建。

    创建的白名单策略展示在白名单策略列表中,您可以查看策略的“策略名称”“已生效服务器”、策略学习的“状态”“应用数”“策略状态”

  8. 白名单策略学习完成后,处于“学习完成,策略未生效”。单击,开启白名单策略。

    开启白名单策略后,白名单策略状态为“学习完成,策略已生效”,说明白名单策略创建成功。

添加生效服务器

白名单策略创建完成后,需要将重点防御的主机添加到白名单策略中,HSS将根据白名单策略检测该主机中是否存在可疑或恶意进程。

白名单策略状态处于“学习完成,策略已生效”,才能成功添加生效服务器。

  1. 单击“关联生效服务器”,为白名单策略添加生效服务器,如图5所示。

    图5 添加关联生效服务器

  2. 在弹出的“关联生效服务器”窗口中,在“异常处理方式”下拉列表中选择“告警”,并在可选服务器列表中,选择生效服务器,如图6所示。

    图6 配置关联生效服务器

  3. 配置完成后,单击“确认”,完成关联生效服务器的添加。

    生效服务器添加完成后,在白名单策略列表中,可以查看该白名单策略已生效服务器的数量。

相关操作

管理生效服务器

  • 您也可以选择“生效服务器”页签,单击“添加服务器”,为白名单策略添加生效服务器。

    您可以查看生效服务器的“服务器名称/IP地址”“白名单策略”“异常行为数”“异常处理模式”

  • 若不需要检测添加的生效服务器,可以在该生效服务器所在行的“操作”列,单击“删除”,删除生效服务器。删除后,该服务器的进程将不再受该白名单策的保护。

编辑白名单策略

单击“编辑”,打开编辑策略白名单页面,对该策略进行修改。可修改该策略的“智能学习天数”和执行智能学习的服务器。

修改“智能学习天数”或者智能学习的服务器,学习完成前不再受策略保护,请谨慎操作。

删除白名单策略

单击“删除”,删除白名单策略,白名单策略删除后,对应的生效服务器的进程将不再受到该白名单策略的保护。

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问
{{site}}{{lan}}
{{site}}{{language}}