AI 助理
文档备案控制台
官方文档
首页

应用白名单

更新时间:
复制 MD 格式
产品详情
我的收藏

应用白名单功能可防止服务器上未经授权的程序运行,确保资产运行环境可信。本文介绍如何使用该功能。

使用前须知

应用白名单为公测功能,目前已停止新用户申请。已开通的用户可正常使用。

背景信息

应用白名单功能可将需要重点防御的服务器加入白名单,通过检测指定的应用程序来区分可信、可疑和恶意程序,防止未授权的程序运行,从而避免主机受到恶意程序侵害,并减少不必要的资源浪费。

创建白名单策略后,将策略应用到服务器,云安全中心将检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程发出告警。

说明

不在白名单中的程序启动时会触发安全告警。检测到的非白名单程序可能是新启动的正常程序,也可能是入侵后植入的恶意程序。如果告警对应的是正常程序或您安装的第三方程序,建议将其加入白名单,加入后再次启动将不再触发告警。如果该进程为恶意程序,建议及时清理,并检查计划任务等配置文件是否被篡改。

步骤一:配置应用白名单策略

  1. 登录云安全中心控制台

  2. 在左侧导航栏,选择防护配置 > 主机防护 > 应用白名单

  3. 策略管理页签,单击创建策略

  4. 创建白名单策略面板中完成以下配置,然后单击下一步

    • 策略名称:自定义白名单策略的名称。

    • 智能学习时长:选择智能学习时长,可选1天、3天、7天或15天。智能学习通过机器学习引擎自动聚类和搜集告警数据,提升对可疑或恶意进程的识别能力。

    • 智能学习服务器:选择需要加入到该白名单的服务器。

  5. 单击暂不应用,创建完成

    白名单策略创建完成后,策略详情将自动展示在策略列表中。

    配置项

    说明

    策略名称

    创建的白名单策略的名称。

    生效服务器

    应用该白名单策略的服务器数量。

    状态

    策略的生效状态。

    • 策略已生效:该策略已完成智能学习,并且已应用到服务器中。

    • 智能学习完成,待确认:该策略已完成智能学习,需确认并启用策略。

      智能学习完成后,您需打开该策略策略状态列的开关来启用策略。启用后,云安全中心会自动识别服务器中进程的风险类型(可信、可疑和恶意)。

    • 暂停:智能学习被手动暂停。您可单击继续恢复智能学习功能。

    • 学习中:智能学习进行中。

      策略创建后,云安全中心会自动执行智能学习。新创建的策略状态为学习中

    应用

    展示应用该策略的服务器中各类进程的分布情况,包含可信可疑恶意类型进程的数量。

    操作

    可对该策略执行的操作:

    • 应用:单击应用,打开应用白名单策略页面,可增加或删除应用该策略的服务器。

    • 编辑:单击编辑,打开编辑策略白名单页面,可修改策略的策略名称智能学习时长和智能学习服务器。

    • 暂停学习:暂停智能学习。

    • 继续:继续执行智能学习。

      单击继续,该策略的状态会转为学习中,您可在状态栏查看策略的学习进度。

    • 删除:删除策略。

      策略删除后,对应服务器的进程将不再受该策略保护。

步骤二:将服务器添加到应用白名单

将白名单策略应用到服务器前,您需已购买足够的应用白名单授权份额。

  1. 登录云安全中心控制台

  2. 在左侧导航栏选择防护配置 > 主机防护 > 应用白名单

  3. 生效服务器页签单击添加服务器

  4. 添加服务器面板完成相应配置。

    添加服务器页面,参考以下说明完成配置:

    • 白名单策略:从策略列表中选择已创建的白名单策略。

    • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

      不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数列的告警数量,跳转到该服务器资产管理 > 安全告警页面,查看这些告警的详细信息。

    • 生效服务器:选择需要添加到该白名单的服务器,支持选择多台服务器。

      可在生效服务器搜索框中输入服务器名称进行搜索。生效服务器支持模糊查询。

  5. 单击确认完成服务器的添加。

    添加完成后,您可在生效服务器页面查看已添加的服务器及其白名单策略。

    生效服务器页面展示以下信息:

    • 服务器/IP:应用了白名单策略的服务器名称和IP地址。

    • 白名单策略:该服务器应用的白名单。

    • 异常行为数:不在白名单策略中且已启动的进程数量。异常进程启动时,云安全中心会触发实时告警。

    • 异常处理模式:默认为告警,表示云安全中心检测到了可疑进程。

      不在白名单内的服务器进程启动时会自动触发告警。您可单击异常行为数列的告警数量,跳转到该服务器资产管理 > 安全告警页面,查看这些告警的详细信息。

    • 操作:单击操作栏的删除,将该服务器从应用白名单中移除。

      删除后,白名单策略对该服务器失效,服务器进程启动时将触发告警。

将进程加入或取消白名单

服务器配置应用白名单后,您可在生效服务器页面查看已添加的服务器及其白名单策略。单击白名单策略栏中的策略名称,可查看该服务器中检测到的可信、可疑和恶意进程及详细信息。

白名单策略列表中包含服务器进程的以下信息:

  • 类型:服务器中运行的进程类型,分为可信、可疑和恶意三种。

  • 进程名称:服务器中的进程名称。

  • Hash:进程的哈希值,用于判断进程的唯一性,避免程序被恶意伪造。

  • 路径:进程在服务器中的文件路径。

  • 可信程度:云安全中心判断该进程的可信程度,分为0%(恶意进程)、60%(可疑进程)、100%(可信进程)。

    说明

    建议对可信程度为0%的恶意进程重点排查和处理。

  • 操作:对该进程可执行的操作。您可结合服务器上的业务部署情况确定是否将进程加入白名单。

    • 加入白名单:将进程加入白名单,表示信任该进程。

    • 取消白名单:将进程从白名单中移除,云安全中心将该进程标识为不可信进程,启动后将触发告警。