网页防篡改功能在检测到异常文件变动时,会实时为您拦截执行该异常变动的进程。如果您确认被拦截的异常变动为正常业务需求,可通过白名单功能恢复该进程的正常运行。本文档介绍了被网页防篡改拦截的进程如何加入到白名单中。

背景信息

支持批量加入白名单功能。
说明 进程白名单功能支持Windows服务器和Linux服务器。

操作步骤

  1. 登录云安全中心控制台
  2. 在左侧导航栏,单击主动防御 > 网页防篡改
  3. 防护状态页面告警列表中查看或搜索需要加入白名单的异常文件变动事件,并复制该告警事件涉及的异常进程路径和影响的资产名称/IP地址。
  4. 使用以下两种方式之一将进程加入到白名单中。
    警告 黑客有可能利用白名单进程入侵主机,建议您根据业务场景谨慎录入白名单。
    • 在防护状态页面告警列表中操作。

      在防护状态页面告警列表中定位到需要加入白名单的进程,单击操作栏的加入白名单

      如果您需要对不同服务器中存在的同一个进程进行加白、或者对同一个服务器中不同文件路径下的同一个进程进行加白,请勾选同时处理存在相同进程的服务器批量加白勾选

      加入白名单后,您可以在防护状态告警列表中查看到该进程,其状态显示为已加入白名单。如果后续您需要将该进程从白名单中移除,可以单击该进程取消白名单。取消白名单支持批量操作。

      已加入白名单的状态
    • 在进程管理列表中操作。
      1. 在防护状态统计模块中单击进程白名单下面的统计数字,展开进程管理列表。
        该统计数字表示已加入到白名单的不同服务器中的进程,因此同一个进程可能会存在多条白名单记录。单击进程白名单统计数字
      2. 进程管理页面单击左上方的录入白名单录入白名单

        进程管理页面包含了阻断进程列表和进程白名单列表。

        进程管理
        • 阻断进程列表展示了所有被网页防篡改功能阻断的异常进程。
        • 进程白名单列表展示了所有已被您加入到进程白名单中的进程信息。
      3. 录入进程白名单对话框中输入需要加入白名单的进程所在的路径和服务器名称/IP地址,然后单击确定录入进程白名单

        录入进程白名单后,您可以在进程管理列表中查看到该进程,状态显示为进程白名单状态。如果后续您需要将该进程从白名单中移除、在进程管理页面中定位到该进程并单击取消白名单

后续步骤

您可以在进程管理页面的进程白名单列表中查看到所有已加入白名单的进程信息,包括该进程所在的服务器、进程路径、尝试写文件次数等信息。白名单列表