云安全中心支持应用白名单的功能,可防止您服务器上有未经过认证或授权的程序运行,为您提供可信的资产运行环境。

云安全中心应用白名单功能支持将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信和可疑/恶意程序、防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害,还能防止不必要的资源浪费、保证您的资源被合理利用。

您可在创建白名单策略之后,通过在需要重点防御的服务器中应用该白名单策略,检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。

说明 不在白名单中的程序启动会触发安全告警。云安全中心检测到的非白名单程序启动,可能是新启动的正常程序,或是被入侵后植入的恶意程序。如果提示告警的应用为正常程序、常用程序或者您安装的第三方程序,建议您将该程序加入白名单,程序再次启动时将不再告警;如果该进程为恶意程序,建议及时清理该进程,并查看计划任务等配置文件是否被篡改。

试用说明

目前应用白名单功能处于邀测阶段,您可通过云安全中心控制台应用市场提交开通试用的申请。

步骤一:配置应用白名单策略

  1. 登录云安全中心控制台
  2. 定位到应用白名单 > 策略管理
  3. 策略管理页面单击创建策略
  4. 创建白名单策略页面完成以下配置:
    • 策略名称:自定义白名单策略的名称。
    • 智能学习时长:选择策略的智能学习时长,可选1天、3天、7天或15天。智能学习功能通过机器学习引擎实现自动化聚类和搜集大量告警数据,帮助提升对可疑或恶意进程的识别能力。
    • 智能学习服务器:勾选需要加入到该白名单的服务器。
  5. 单击下一步完成白名单策略的创建。
白名单策略创建完成后,该策略的详情将会自动展示在策略列表中。

策略列表包含以下信息:
  • 策略名称:创建的白名单策略的名称。
  • 生效服务器:应用该白名单策略的服务器数量。
    单击生效服务器数量可打开应用该策略的服务器列表页面。您可在该页面单击添加服务器,将其他服务器新增到白名单策略中。

  • 状态:策略的生效状态,包含以下几种状态:
    • 策略已生效:该策略已完成智能学习,并且已应用到服务器中。
    • 智能学习完成,待确认:该策略已完成智能学习,需确认并启用策略。
      智能学习完成后,云安全中心将自动识别您服务器中进程的风险类型(可信、可疑和恶意),还需您确认并启用策略。启用策略后,策略才能生效。

    • 暂停:智能学习被手动暂停。您可单击继续恢复智能学习功能。
    • 学习中:智能学习进行中。

      策略创建完成后,云安全中心会对其自动执行智能学习。新创建的策略状态都为学习中

  • 应用:表示应用该策略的服务器中各类进程的分布情况,包含可信可疑恶意类型进程的数量。
  • 操作:可对该策略执行的操作。
    • 应用:单击应用打开应用白名单策略,可增加或删除应用该策略白名单的服务器。
    • 确认策略:单击确认策略打开该策略的进程列表页面,对识别出的进程及其风险类型确认无误后,启用该策略。启用策略后,策略才能生效,应用该策略的服务器进程才会受到白名单的保护。
    • 编辑:单击编辑打开编辑策略白名单,对该策略进行修改。可修改策略的智能学习时长和需自动执行智能学习的服务器。
    • 暂停学习:暂停智能学习。
    • 继续:继续执行智能学习。
      单击继续,该策略的状态会转为学习中,您可在状态栏查看策略的学习进度。

    • 删除:删除策略。

      策略删除后,对应的服务器进程将不再受到该策略的保护。

步骤二:将服务器添加到应用白名单

将白名单策略应用到服务器之前,您需已购买足够的应用白名单授权份额。

  1. 登录云安全中心控制台
  2. 定位到应用白名单 > 生效服务器
  3. 生效服务器页面单击添加服务器
  4. 添加服务器页面完成以下配置。

    • 白名单策略:从下拉列表中选择已创建的白名单策略。
    • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

      不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数一栏的告警数量,跳转到该服务器资产管理 > 安全处理告警页面,查看这些告警的详细信息。

    • 生效服务器:勾选需要添加到该白名单的服务器。 支持选择多台服务器。

      您可通过在生效服务器搜索框输入服务器名称,搜索需要添加到白名单的服务器。生效服务器名称支持模糊查询。

  5. 单击确定完成应用白名单的创建。
应用白名单创建完成后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。

生效服务器页面展示应用了白名单策略的服务器的以下信息:
  • 服务器/IP:应用了白名单策略的服务器名称和IP地址。
  • 白名单策略:该服务器应用的白名单。
  • 异常行为数:不在白名单策略中、并且已启动的进程数量。异常进程启动时,会触发云安全中心的检测机制,并进行实时告警。
  • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

    不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数一栏的告警数量,跳转到该服务器资产管理 > 安全处理告警页面,查看这些告警的详细信息。

  • 操作:单击操作栏的删除会将该服务器从应用白名单中删除。

    删除后,白名单策略将会对该服务器失效,服务器进程启动时云安全中心将会对其进行告警提示。

将进程加入/取消白名单

服务器配置了应用白名单后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。您可在白名单策略栏中单击对应的策略名称,打开该服务器的白名单进程列表,查看服务器中检测到的可信、可疑和恶意进程及其详细信息。

白名单策略列表中包含服务器进程的以下信息:

  • 类型:该白名单服务器中运行的进程类型,分为可信、可疑和恶意3种类型。
  • 进程名称:该白名单服务器中的进程。
  • hash:进程的哈希函数。哈希函数用于判断进程的唯一性,避免程序被恶意伪造。
  • 路径:进程在服务器中的文件路径。
  • 可信度:云安全中心判断该进程的可信任程度,分为0%(恶意进程)、60%(可疑进程)、100%(可信进程)。

    建议您对可信度为0%的恶意进程进行重点排查和处理。

  • 操作:对该进程可执行的操作。
    • 加入白名单:将进程加入白名单表示信任该进程。
    • 取消白名单:将进程从白名单中取消表示云安全中心将该进程标识为不可信进程,该进程启动后将触发告警。
    您可结合您服务器上业务的部署情况确定是否要将该进程加入白名单。