云安全中心支持应用白名单的功能,可防止您服务器上有未经过认证或授权的程序运行,为您提供可信的资产运行环境。本文介绍如何使用应用白名单功能。
前提条件
背景信息
云安全中心应用白名单功能支持将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信、可疑和恶意程序,防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害,还能防止不必要的资源浪费、保证您的资源被合理利用。
在创建白名单策略之后,您可以通过在需要重点防御的服务器中应用该白名单策略,云安全中心将检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。
说明 不在白名单中的程序启动时会触发安全告警。云安全中心检测到的非白名单程序启动,可能是新启动的正常程序,或是被入侵后植入的恶意程序。如果提示告警的应用为正常程序、常用程序或者您安装的第三方程序,建议您将该程序加入白名单。已加入白名单的程序再次启动时将不再触发告警;如果该进程为恶意程序,建议您及时清理该进程,并查看计划任务等配置文件是否被篡改。
步骤一:配置应用白名单策略
步骤二:将服务器添加到应用白名单
将白名单策略应用到服务器之前,您需已购买足够的应用白名单授权份额。
将进程加入或取消白名单
服务器配置了应用白名单后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。您可在白名单策略栏中单击对应的策略名称,打开该服务器的白名单进程列表,查看服务器中检测到的可信、可疑和恶意进程及其详细信息。
白名单策略列表中包含服务器进程的以下信息:
- 类型:该白名单服务器中运行的进程类型,分为可信、可疑和恶意3种类型。
- 进程名称:该白名单服务器中的进程。
- Hash:进程的哈希函数。哈希函数用于判断进程的唯一性,避免程序被恶意伪造。
- 路径:进程在服务器中的文件路径。
- 可信程度:云安全中心判断该进程的可信任程度,分为0%(恶意进程)、60%(可疑进程)、100%(可信进程)。
说明 建议您对可信程度为0%的恶意进程进行重点排查和处理。
- 操作:对该进程可执行的操作。您可结合服务器上业务的部署情况确定是否要将该进程加入白名单。 您可以进行以下操作:
- 加入白名单:将进程加入白名单表示信任该进程。
- 取消白名单:将进程从白名单中取消表示云安全中心将该进程标识为不可信进程,该进程启动后将触发告警。
在文档使用中是否遇到以下问题
更多建议
匿名提交