云安全中心支持应用白名单的功能,可防止您服务器上有未经过认证或授权的程序运行,为您提供可信的资产运行环境。本文介绍如何使用应用白名单功能。

前提条件

已成功申请试用应用白名单功能。应用白名单功能处于邀测阶段,您必须在云安全中心控制台应用市场 > 概况申请试用后才能使用该功能。具体操作,请参见应用市场

背景信息

云安全中心应用白名单功能支持将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信、可疑和恶意程序,防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害,还能防止不必要的资源浪费、保证您的资源被合理利用。

在创建白名单策略之后,您可以通过在需要重点防御的服务器中应用该白名单策略,云安全中心将检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。

说明 不在白名单中的程序启动时会触发安全告警。云安全中心检测到的非白名单程序启动,可能是新启动的正常程序,或是被入侵后植入的恶意程序。如果提示告警的应用为正常程序、常用程序或者您安装的第三方程序,建议您将该程序加入白名单。已加入白名单的程序再次启动时将不再触发告警;如果该进程为恶意程序,建议您及时清理该进程,并查看计划任务等配置文件是否被篡改。

步骤一:配置应用白名单策略

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 应用白名单
  3. 应用白名单页面,单击策略管理页签。
  4. 策略管理页签,单击创建策略
  5. 创建白名单策略面板完成以下配置:
    • 策略名称:自定义白名单策略的名称。
    • 智能学习时长:选择策略的智能学习时长,可选1天、3天、7天或15天。智能学习功能通过机器学习引擎实现自动化聚类和搜集大量告警数据,帮助提升对可疑或恶意进程的识别能力。
    • 智能学习服务器:选择需要加入到该白名单的服务器。
  6. 单击下一步
  7. 单击暂不应用,创建完成
    白名单策略创建完成后,该策略的详情将会自动展示在策略列表中。策略列表
    以下表格介绍白名单策略列表的参数。
    参数 描述
    策略名称 创建的白名单策略的名称。
    生效服务器 应用该白名单策略的服务器数量。
    状态 策略的生效状态。包含以下状态:
    • 策略已生效:该策略已完成智能学习,并且已应用到服务器中。
    • 智能学习完成,待确认:该策略已完成智能学习,需确认并启用策略。

      智能学习完成后,您还需单击该策略策略状态下的开启按钮启用该策略。启用策略后,策略才能生效,云安全中心会自动识别您服务器中进程的风险类型(可信、可疑和恶意)。

    • 暂停:智能学习被手动暂停。您可单击继续恢复智能学习功能。
    • 学习中:智能学习进行中。

      策略创建完成后,云安全中心会对其自动执行智能学习。新创建的策略状态都为学习中
    应用 表示应用该策略的服务器中各类进程的分布情况,包含可信可疑恶意类型进程的数量。
    操作 可对该策略执行的操作。支持进行以下操作:
    • 应用:单击应用打开应用白名单策略页面,可增加或删除应用该策略白名单的服务器。
    • 编辑:单击编辑打开编辑策略白名单页面,对该策略进行修改。可修改该策略的策略名称智能学习时长和需自动执行智能学习的服务器。
    • 暂停学习:暂停智能学习。
    • 继续:继续执行智能学习。

      单击继续,该策略的状态会转为学习中,您可在状态栏查看策略的学习进度。

    • 删除:删除策略。

      策略删除后,对应的服务器进程将不再受到该策略的保护。

步骤二:将服务器添加到应用白名单

将白名单策略应用到服务器之前,您需已购买足够的应用白名单授权份额。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择主动防御 > 应用白名单
  3. 生效服务器页签单击添加服务器
  4. 添加服务器面板完成相应配置。添加服务器

    添加服务器页面您可以参考以下内容完成参数配置:

    • 白名单策略:从策略列表中选择已创建的白名单策略。
    • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

      不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数一栏的告警数量,跳转到该服务器资产管理 > 安全处理告警页面,查看这些告警的详细信息。

    • 生效服务器:选择需要添加到该白名单的服务器。 支持选择多台服务器。

      您可通过在生效服务器搜索框输入服务器名称,搜索需要添加到白名单的服务器。生效服务器名称支持模糊查询。

  5. 单击确认完成服务器的添加。
    应用白名单创建完成后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。生效服务器列表
    生效服务器页面展示应用了白名单策略的服务器的以下信息:
    • 服务器/IP:应用了白名单策略的服务器名称和IP地址。
    • 白名单策略:该服务器应用的白名单。
    • 异常行为数:不在白名单策略中,并且已启动的进程数量。异常进程启动时,会触发云安全中心的检测机制,并进行实时告警。
    • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

      不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数一栏的告警数量,跳转到该服务器资产管理 > 安全处理告警页面,查看这些告警的详细信息。

    • 操作:单击操作栏的删除会将该服务器从应用白名单中删除。

      删除后,白名单策略会对该服务器失效,服务器进程启动时云安全中心将会对其进行告警提示。

将进程加入或取消白名单

服务器配置了应用白名单后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。您可在白名单策略栏中单击对应的策略名称,打开该服务器的白名单进程列表,查看服务器中检测到的可信、可疑和恶意进程及其详细信息。

白名单策略列表中包含服务器进程的以下信息:

  • 类型:该白名单服务器中运行的进程类型,分为可信、可疑和恶意3种类型。
  • 进程名称:该白名单服务器中的进程。
  • Hash:进程的哈希函数。哈希函数用于判断进程的唯一性,避免程序被恶意伪造。
  • 路径:进程在服务器中的文件路径。
  • 可信程度:云安全中心判断该进程的可信任程度,分为0%(恶意进程)、60%(可疑进程)、100%(可信进程)。
    说明 建议您对可信程度为0%的恶意进程进行重点排查和处理。
  • 操作:对该进程可执行的操作。您可结合服务器上业务的部署情况确定是否要将该进程加入白名单。 您可以进行以下操作:
    • 加入白名单:将进程加入白名单表示信任该进程。
    • 取消白名单:将进程从白名单中取消表示云安全中心将该进程标识为不可信进程,该进程启动后将触发告警。