使用限制

请先购买企业版或旗舰版配额并绑定主机后，才能正常使用。

查看进程提权告警

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 进程提权”，进入进程提权页面。

   

3. 查看进程提权告警。

   1. 查看统计数据

      页面上方展示告警事件的统计情况，包括待处理告警事件数和存在风险的服务器数。默认统计最近一周的数据，还可以统计最近一月和最近三月的时间维度。

   2. 查看告警列表

      页面下方展示告警列表，告警事件列表展示字段包括服务器、提权进程、进程有效用户、提权父进程、父进程有效用户、进程提权时间、状态。

      事件列表可按照发现时间、处理状态、服务器名称、服务器IP和提权进程进行搜索。

   3. 查看告警详情

      单击告警列表操作列的“查看详情”，可进入详情页面查看进程提权详细信息，包括风险主机、提权进程和提权父进程详细信息。

      

      通过溯源分析能够展示具体告警进程，及进程的上下父子进程信息，并以进程树可视化的展示方式帮助分析人员对威胁进行追踪溯源，确认问题根源以及该恶意行为带来的影响。

      

处理进程提权告警

标记为已处理

若您已手动处理进程提权告警，可将其“标记为已处理”，标记后，告警的状态将从“未处理”变为“已处理”。

具体操作步骤如下：

1. 在进程提权告警列表中，找到目标进程提权告警，单击操作列的“标记已处理”，或勾选目标告警，单击列表上方的“标记已处理”进行批量处理。

   

2. 在弹出的对话框中单击“确定”。

加入白名单

经过分析后确认为误告警，可将此告警加入白名单，后续检测到相同进程提权行为后不再进行告警。

具体操作步骤如下：

1. 在进程提权告警列表中，找到目标进程提权告警，单击操作列的“加入白名单”，或勾选目标告警，单击列表上方的“加入白名单”进行批量处理。

   

2. 在弹出的对话框中单击“确定”。
   该告警会生成一条白名单规则，显示在白名单列表中。

白名单管理

将告警进行加白操作后，可进入白名单管理页面对白名单规则进行管理，支持删除白名单规则。

同时白名单规则列表可根据服务器名称或服务器IP进行搜索，若该规则中包含该台服务器或IP，即进行显示。

移除白名单

1. 登录服务器安全卫士（原生版）控制台。

2. 在左侧导航栏，选择“入侵检测 > 进程提权”，进入进程提权页面。

3. 单击页面右上角的“白名单管理”，进入白名单管理页面。
   

4. 单击白名单操作列中的“删除”，或勾选目标告警，单击列表上方的“移除白名单”进行批量处理。

   

5. 在弹出的提示框中单击“确定”，所选白名单规则将被删除。