应用白名单策略
白名单策略通过机器学习引擎实现自动化和收集正常的进程行为数据,您可以将重点防御的主机中应用该白名单策略。HSS将检测该主机中是否存在可疑或恶意进程,并对不在白名单策略中的进程进行告警提示或者隔离。
前提条件
- 已开启旗舰版防护。
- 添加为智能学习的服务器处于“运行中”、Agent为“在线”状态,且已开启旗舰版防护。
- 一个服务器只能应用一个白名单策略。
创建白名单策略
- 登录管理控制台。
- 在页面左上角选择“区域”,单击,选择 ,进入企业主机安全页面。
图1 企业主机安全
- 进入“程序运行认证”页面,选择“白名单策略”,单击“创建策略”,如图2所示。
- 在创建策略页面中,配置策略“基本信息”,如图3所示。
- 策略名称:设置白名单策略的名称。
- 智能学习天数:请根据您业务的场景选择智能学习的天数,您可以选择“7天”、“15天”或者“30天”。
- 单击“添加服务器”,添加智能学习服务器,如图4所示。
- 添加为智能学习的服务器,服务器处于“运行中”、Agent为“在线”状态,且需要开启旗舰版防护。
- 添加学习服务器时,可以添加一个或者多个服务器,HSS将对一个或多个服务器进行自动化聚类和收集“可信”、“不可信”和“未知”的应用进程数据。
- 单击“确认”,完成白名单策略学习服务器的添加。
- 在学习服务器列表中,您可以查看学习服务器的“服务名称”、“IP地址”和“系统”。
- 您可以根据需要新增或者删除添加的学习服务器。
- 单击“创建并学习”,完成白名单策略的创建。
创建的白名单策略展示在白名单策略列表中,您可以查看策略的“策略名称”、“已生效服务器”、策略学习的“状态”、“应用数”和“策略状态”。
- 白名单策略学习完成后,处于“学习完成,策略未生效”。单击,开启白名单策略。
开启白名单策略后,白名单策略状态为“学习完成,策略已生效”,说明白名单策略创建成功。
添加生效服务器
白名单策略创建完成后,需要将重点防御的主机添加到白名单策略中,HSS将根据白名单策略检测该主机中是否存在可疑或恶意进程。
白名单策略状态处于“学习完成,策略已生效”,才能成功添加生效服务器。
相关操作
管理生效服务器
- 您也可以选择“生效服务器”页签,单击“添加服务器”,为白名单策略添加生效服务器。
您可以查看生效服务器的“服务器名称/IP地址”、“白名单策略”、“异常行为数”和“异常处理模式”。
- 若不需要检测添加的生效服务器,可以在该生效服务器所在行的“操作”列,单击“删除”,删除生效服务器。删除后,该服务器的进程将不再受该白名单策的保护。
编辑白名单策略
单击“编辑”,打开编辑策略白名单页面,对该策略进行修改。可修改该策略的“智能学习天数”和执行智能学习的服务器。
修改“智能学习天数”或者智能学习的服务器,学习完成前不再受策略保护,请谨慎操作。
删除白名单策略
单击“删除”,删除白名单策略,白名单策略删除后,对应的生效服务器的进程将不再受到该白名单策略的保护。