应用进程控制概述
应用进程控制功能支持管控应用进程运行,通过学习服务器中运行的应用进程特征,将应用进程划分为可信进程、恶意进程和可疑进程,允许可疑、可信进程正常运行,对恶意进程运行进行告警,帮助用户构建安全的应用进程运行环境,避免服务器遭受不受信或恶意应用进程的破坏。
使用约束
使用应用进程控制功能须满足以下条件:
服务器已开启HSS旗舰版、网页防篡改版或容器版防护。
服务器已安装Agent的版本为以下版本,升级Agent的操作,请参见升级Agent章节。
− Linux:3.2.7及以上版本。
− Windows:4.0.19及以上版本。
应用进程控制使用流程
创建白名单策略
在开启应用进程控制防护前,您需要为服务器创建白名单策略,设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等;HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。
操作步骤
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签,单击“创建策略”。
4、在“创建策略”弹窗中,设置策略参数,相关参数说明请参见下表。
| 参数名称 | 参数说明 |
|---|---|
| 策略模式 | 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行,仅对恶意进程进行告警。 |
| 白名单策略名称 | 系统默认会生成白名单策略名称,建议您自定义修改,后续方便区分和管理。 |
| 智能学习天数 | 企业主机安全学习服务器应用进程的天数。学习天数越多,学习结果越准确。 |
| 学习结果确认方式 | 当企业主机安全学习完策略关联的服务器后,对于特征不明显可疑进程的确认方式。 自动确认可疑进程:HSS根据应用进程特征库,自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程:您在“应用进程控制 > 白名单策略”页面,单击策略名称,进入策略详情页,选择“进程文件”页签,筛选“待确认状态”的进程,根据实际业务情况确认并手动标记特征不明显的可疑进程。 |
| 策略生效方式 | 当企业主机安全学习完策略关联的服务器后,开启应用进程控制的方式。 学习完成后自动开启:系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启:您根据业务情况手动开启应用进程控制。 |
| 防护动作 | 当发现恶意进程后的防护动作。对恶意进程进行告警。 |
| 选择服务器 | 选择需要防护的服务器。当服务器的防护状态为“防护中”时,才会在列表中呈现。 |
5、单击“确认”,完成创建。
您策略列表中可以查看已创建的策略及策略当前状态。
说明创建白名单策略完成后,HSS会自动开始对策略关联的服务器进行学习,学习服务器中的应用进程特征。待策略状态变更为“学习完成,未生效”表示学习完成。
相关操作
编辑白名单策略
如果创建策略完成后,您需要修改策略模式、防护动作或防护的服务器,您可以编辑白名单策略。
1、在目标策略所在行的操作列,单击“编辑”。
2、在编辑策略弹窗中完成信息修改后,单击“确认”。
删除白名单策略
如果不再需要企业主机安全为您的某个策略中关联的所有服务器提供应用进程控制防护,且无需保留企业主机安全已学习到的应用进程信息,您可以删除白名单策略。删除后,如果后续再次开启应用进程控制,企业主机安全需要重新学习服务器,请谨慎操作!
1、在目标策略所在行的操作列,单击“删除”。
2、在弹窗中,单击“确认”。
确认学习结果
企业主机安全学习完白名单策略关联的服务器后,输出的学习结果中可能存在一些特征不明显的可疑进程需要再次进行确认,您可以手动或设置系统自动将这些可疑进程确认并分类标记为可疑、恶意或可信进程。
学习结果确认方式,在创建白名单策略时可设置:
- “学习结果确认方式”选择的“自动确认可疑进程”:系统将根据应用进程情报自动对可疑进程进行分类标记。
- “学习结果确认方式”选择的“手动确认可以进程”:您需要手动对可疑进程进行分类标记。具体操作您可以参考本章节。
前提条件
已完成策略创建,且策略状态为“学习完成,未生效”。具体操作请参见创建白名单策略。
操作步骤
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、单击策略状态为“学习完成,未生效”的策略名称,进入“策略详情”界面。
5、选择“进程文件”页签。
6、单击待确认进程数量,查看待确认进程。
7、 根据进程名称和进程文件路径等信息,确认应用进程是否可信。
8、在已确认进程所在行的操作列,单击“标记”。
您也可以批量勾选所有应用进程,单击进程列表左上方的“批量标记”,进行批量标记。
9、在标记弹窗中,选择进程“信任状态”。可选择“可疑”、“可信”和“恶信”三种信任状态。
10、单击“确认”,完成标记。
开启应用程序进程防护
应用进程控制功能支持分类控制服务器中的应用进程运行,允许可疑、可信进程运行,告警恶意进程运行,为服务器进程运行提供安全防护,防止服务器遭受恶意进程的破坏。
开启应用进程控制防护的方式在创建白名单策略时可设置:
- “策略生效方式”选择“学习完成后自动开启”:系统完成策略关联服务器学习后,自动为该策略的服务器开启应用进程控制防护。
- “策略生效方式”选择“学习完成后手动开启”:您可根据实际业务情况手动为服务器开启应用进程控制防护。具体操作您可以参考本章节。
前提条件
已创建白名单策略并完成策略学习结果确认,具体操作请参见创建白名单策略和确认学习结果。
操作步骤
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、在目标策略所在行的操作列,单击“开启防护”。
您也可以批量选中所有目标策略,在策略列表左上方,单击“开启防护”,批量为多个策略开启防护。
5、在开启防护弹窗中,单击“确认”。
6、在策略列表中,查看目标策略的策略状态为“学习完成,防护中”,表示开启应用进程防护成功。
查看并处理可疑进程
在服务器防护过程中,如果企业主机安全发现服务器中存在可疑进程运行事件,会将其展示在可疑进程运行事件列表中,但不会告警;对于可疑进程运行事件,由于企业主机安全根据学习到的应用进程特征无法判断其是否可信,因此需要您根据实际情况判断并将可疑进程手动加入进程白名单或隔离查杀,避免可信进程运行被持续告警或恶意进程持续运行危害服务器。
操作步骤
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“可疑进程”页签,查看存在的可疑进程。
4、根据可疑进程HASH和文件路径等信息,判断可疑进程是否为恶意进程。
5、在可疑进程所在行的操作列,单击“处理”。
您也可以批量勾选可疑进程,在列表左上方单击“批量处理”,批量处理可疑进程。
6、在处理弹窗中,选择“处理方式”。
可选择“加入进程白名单”或“隔离查杀”。
7、单击“确认”,完成处理。
扩展进程白名单
对于策略关联的服务器,如果您认为HSS学习到的应用进程比HSS扫描到的进程指纹少且可疑进程告警事件较多,您可以配置HSS扩展进程白名单,通过比对HSS已学习的应用进程和资产指纹功能扫描到的对应服务器的资产指纹,进一步扩展HSS应用进程情报库,补充可信进程白名单。
操作步骤
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、单击目标服务器关联的策略名称,进入“策略详情”界面。
5、选择“关联服务器”页签。
6、在目标服务器所在行的操作列,单击“更多 > 进程白名单扩展”。
7、单击“开始匹配”,比对服务器进程指纹和企业主机安全学习到的应用进程。
8、将比对出的可信进程选中,并单击“确认”,完成进程白名单扩展。
重新学习服务器
如果已完成进程白名单扩展,但仍然存在较多可信进程运行误报或您的服务器业务存在变更,您可以设置HSS重新学习服务器,校准企业主机安全的应用进程情报数据,避免误报。
操作步骤
1、登录管理控制台
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、单击目标服务器关联的策略名称,进入“策略详情”界面。
5、选择“关联服务器”页签。
6、勾选需要目标服务器,并单击列表左上方的“重新学习”。
7、在弹窗中单击“确认”,开始重新学习。
关闭应用进程防护
如果不再需要企业主机安全为您的服务器提供应用进程控制防护,您可以参考本章节关闭应用进程控制防护。
关闭策略关联的所有服务器防护
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、关闭应用进程防护
- 关闭防护,但保留HSS学习到的服务器应用进程特征。
a.在目标策略所在行的操作列,单击“关闭防护”。或者批量选中所有目标策略,并在策略列表左上方单击“关闭防护”,批量为多个策略关闭防护。
b.单击“确认”。
- 关闭防护,并删除HSS学习到的服务器应用进程特征。
a.在目标策略所在行的操作列,单击“删除”。
b.单击“确认”。
5、在策略列表中,查看目标策略。
- 关闭防护,但保留HSS学习到的服务器应用进程特征。查看目标策略的策略状态为“学习完成,未生效”,表示关闭应用进程防护成功。
- 关闭防护,并删除HSS学习到的服务器应用进程特征。目标策略已从策略列表中删除,表示关闭应用进程防护成功。
关闭多台服务器防护
1、登录管理控制台。
2、在左侧导航栏,选择“主动防御 > 应用进程控制”,进入“应用进程控制”界面。
3、选择“白名单策略”页签。
4、单击目标服务器关联的策略名称,进入“策略详情”界面。
5、选择“关联服务器”页签。
6、关闭应用进程防护。
- 关闭防护,但保持服务器和当前策略的关联关系。
a.在目标策略所在行的操作列,单击“关闭防护”。或者批量选中所有目标策略,并在策略列表左上方单击“关闭防护”,批量为多个策略关闭防护。
b.单击“确认”。
- 关闭防护,并解除服务器和当前策略的关联关系。
说明如果您需要为服务器切换防护策略,请先在当前策略中删除该服务器,再新建或编辑防护策略关联该服务器。
a.在目标策略所在行的操作列,单击“删除”。
b.单击“确认”。
7、在服务器列表中,查看目标服务器,确认关闭防护是否成功。
- 关闭防护,但保留HSS学习到的服务器应用进程特征。查看目标策略的策略状态为“学习完成,未生效”,表示关闭应用进程防护成功。
- 关闭防护,并删除HSS学习到的服务器应用进程特征。目标策略已从策略列表中删除,表示关闭应用进程防护成功。
