说明进程提权属于企业版功能,请先购买企业版配额并绑定主机后,才能正常使用。
登录服务器安全卫士(原生版)控制台,在左侧导航栏选择入侵检测->进程提权。如下图所示,上方展示告警事件和风险服务器的统计情况,下方展示告警事件详情。
告警详情
告警事件列表展示字段包括服务器、提权进程、进程有效用户、提权父进程、父进程有效用户、进程提权时间、状态和操作。告警事件支持按发现时间、处理状态、服务器名称、服务器IP和提权进程进行搜索。
单击查看详情查看进程提权详细信息,包括风险主机、提权进程和提权父进程详细信息。
通过溯源分析能够展示具体告警进程,及进程的上下父子进程信息,并以进程树可视化的展示方式帮助分析人员对威胁进行追踪溯源,确认问题根源以及该恶意行为带来的影响。
处理方式
- 标记为已处理:人工对告警进行处理,处理后可将告警标记为已处理。
- 加入白名单:经过分析后确认为误告警,可将此告警加入白名单,后续检测到相同进程提权行为后不再进行告警。
白名单管理
将告警进行加白操作后,可进入白名单管理页面对白名单规则进行管理,支持删除白名单规则。同时白名单规则列表可根据服务器名称或服务器IP进行搜索,若该规则中包含该台服务器或IP,即进行显示。