云安全中心支持应用白名单的功能,可防止您服务器上有未经过认证或授权的程序运行,为您提供可信的资产运行环境。本文介绍如何使用应用白名单功能。
使用前须知
应用白名单为公测功能,目前已不再支持申请该功能。已申请并正在使用中的用户可以正常使用。
背景信息
云安全中心应用白名单功能支持将需要重点防御的服务器加入到白名单中,通过检测白名单中指定的应用程序区分可信、可疑和恶意程序,防止未经白名单授权的程序运行。可避免您的主机受到不可信或恶意程序的侵害,还能防止不必要的资源浪费、保证您的资源被合理利用。
在创建白名单策略之后,您可以通过在需要重点防御的服务器中应用该白名单策略,云安全中心将检测服务器中是否存在可疑或恶意进程,并对不在白名单中的进程进行告警提示。
说明
不在白名单中的程序启动时会触发安全告警。云安全中心检测到的非白名单程序启动,可能是新启动的正常程序,或是被入侵后植入的恶意程序。如果提示告警的应用为正常程序、常用程序或者您安装的第三方程序,建议您将该程序加入白名单。已加入白名单的程序再次启动时将不再触发告警;如果该进程为恶意程序,建议您及时清理该进程,并查看计划任务等配置文件是否被篡改。
步骤一:配置应用白名单策略
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域中国。
在左侧导航栏,选择防护配置 > 主机防护 > 应用白名单。
在策略管理页签,单击创建策略。
在创建白名单策略面板中完成以下配置,然后单击下一步。
单击暂不应用,创建完成。
白名单策略创建完成后,该策略的详情将会自动展示在策略列表中。
配置项
说明
策略名称
创建的白名单策略的名称。
生效服务器
应用该白名单策略的服务器数量。
状态
策略的生效状态。
应用
表示应用该策略的服务器中各类进程的分布情况,包含可信、可疑和恶意类型进程的数量。
操作
可对该策略执行的操作。支持进行以下操作:
步骤二:将服务器添加到应用白名单
将白名单策略应用到服务器之前,您需已购买足够的应用白名单授权份额。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域中国。
在左侧导航栏选择防护配置 > 主机防护 > 应用白名单。
在生效服务器页签单击添加服务器。
在添加服务器面板完成相应配置。
在添加服务器页面您可以参考以下内容完成参数配置:
单击确认完成服务器的添加。
应用白名单创建完成后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。
生效服务器页面展示应用了白名单策略的服务器的以下信息:
将进程加入或取消白名单
服务器配置了应用白名单后,您可以在生效服务器页面的服务器列表中,查看您已添加到应用白名单的服务器和该服务器使用的白名单策略名称。您可在白名单策略栏中单击对应的策略名称,打开该服务器的白名单进程列表,查看服务器中检测到的可信、可疑和恶意进程及其详细信息。
白名单策略列表中包含服务器进程的以下信息: