應用進程控制概述

應用進程控制功能支持管控應用進程運行，通過學習服務器中運行的應用進程特征，將應用進程劃分為可信進程、惡意進程和可疑進程，允許可疑、可信進程正常運行，對惡意進程運行進行告警，幫助用戶構建安全的應用進程運行環境，避免服務器遭受不受信或惡意應用進程的破壞。

使用約束

使用應用進程控制功能須滿足以下條件：

服務器已開啟HSS旗艦版、網頁防篡改版或容器版防護。

服務器已安裝Agent的版本為以下版本，升級Agent的操作，請參見升級Agent章節。
? Linux：3.2.7及以上版本。
? Windows：4.0.19及以上版本。

應用進程控制使用流程

創建白名單策略

在開啟應用進程控制防護前，您需要為服務器創建白名單策略，設置HSS學習服務器應用進程特征的學習天數、學習結果確認方式和對可疑或惡意進程的防護動作等；HSS后續將根據策略設置為服務器提供相應的應用進程控制防護能力。

操作步驟

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽，單擊“創建策略”。

4、在“創建策略”彈窗中，設置策略參數，相關參數說明請參見下表。

參數名稱	參數說明
策略模式	應用進程控制防護策略模式。 默認配置下日常運營模式允許可信、可疑進程運行，僅對惡意進程進行告警。
白名單策略名稱	系統默認會生成白名單策略名稱，建議您自定義修改，后續方便區分和管理。
智能學習天數	企業主機安全學習服務器應用進程的天數。學習天數越多，學習結果越準確。
學習結果確認方式	當企業主機安全學習完策略關聯的服務器后，對于特征不明顯可疑進程的確認方式。 自動確認可疑進程：HSS根據應用進程特征庫，自動確認并標記特征不明顯的可疑應用進程。 手動確認可疑進程：您在“應用進程控制 > 白名單策略”頁面，單擊策略名稱，進入策略詳情頁，選擇“進程文件”頁簽，篩選“待確認狀態”的進程，根據實際業務情況確認并手動標記特征不明顯的可疑進程。
策略生效方式	當企業主機安全學習完策略關聯的服務器后，開啟應用進程控制的方式。 學習完成后自動開啟：系統自動開啟策略關聯的服務器的應用進程控制。 學習完成后手動開啟：您根據業務情況手動開啟應用進程控制。
防護動作	當發現惡意進程后的防護動作。對惡意進程進行告警。
選擇服務器	選擇需要防護的服務器。當服務器的防護狀態為“防護中”時，才會在列表中呈現。

5、單擊“確認”，完成創建。

您策略列表中可以查看已創建的策略及策略當前狀態。

說明
創建白名單策略完成后，HSS會自動開始對策略關聯的服務器進行學習，學習服務器中的應用進程特征。待策略狀態變更為“學習完成，未生效”表示學習完成。

相關操作

編輯白名單策略

如果創建策略完成后，您需要修改策略模式、防護動作或防護的服務器，您可以編輯白名單策略。

1、在目標策略所在行的操作列，單擊“編輯”。

2、在編輯策略彈窗中完成信息修改后，單擊“確認”。

刪除白名單策略

如果不再需要企業主機安全為您的某個策略中關聯的所有服務器提供應用進程控制防護，且無需保留企業主機安全已學習到的應用進程信息，您可以刪除白名單策略。刪除后，如果后續再次開啟應用進程控制，企業主機安全需要重新學習服務器，請謹慎操作！

1、在目標策略所在行的操作列，單擊“刪除”。

2、在彈窗中，單擊“確認”。

確認學習結果

企業主機安全學習完白名單策略關聯的服務器后，輸出的學習結果中可能存在一些特征不明顯的可疑進程需要再次進行確認，您可以手動或設置系統自動將這些可疑進程確認并分類標記為可疑、惡意或可信進程。

學習結果確認方式，在創建白名單策略時可設置：

• “學習結果確認方式”選擇的“自動確認可疑進程”：系統將根據應用進程情報自動對可疑進程進行分類標記。
• “學習結果確認方式”選擇的“手動確認可以進程”：您需要手動對可疑進程進行分類標記。具體操作您可以參考本章節。

前提條件

已完成策略創建，且策略狀態為“學習完成，未生效”。具體操作請參見創建白名單策略。

操作步驟

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、單擊策略狀態為“學習完成，未生效”的策略名稱，進入“策略詳情”界面。

5、選擇“進程文件”頁簽。

6、單擊待確認進程數量，查看待確認進程。

7、 根據進程名稱和進程文件路徑等信息，確認應用進程是否可信。

8、在已確認進程所在行的操作列，單擊“標記”。

您也可以批量勾選所有應用進程，單擊進程列表左上方的“批量標記”，進行批量標記。

9、在標記彈窗中，選擇進程“信任狀態”。可選擇“可疑”、“可信”和“惡信”三種信任狀態。

10、單擊“確認”，完成標記。

開啟應用程序進程防護

應用進程控制功能支持分類控制服務器中的應用進程運行，允許可疑、可信進程運行，告警惡意進程運行，為服務器進程運行提供安全防護，防止服務器遭受惡意進程的破壞。

開啟應用進程控制防護的方式在創建白名單策略時可設置：

• “策略生效方式”選擇“學習完成后自動開啟”：系統完成策略關聯服務器學習后，自動為該策略的服務器開啟應用進程控制防護。
• “策略生效方式”選擇“學習完成后手動開啟”：您可根據實際業務情況手動為服務器開啟應用進程控制防護。具體操作您可以參考本章節。

前提條件

已創建白名單策略并完成策略學習結果確認，具體操作請參見創建白名單策略和確認學習結果。

操作步驟

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、在目標策略所在行的操作列，單擊“開啟防護”。

您也可以批量選中所有目標策略，在策略列表左上方，單擊“開啟防護”，批量為多個策略開啟防護。

5、在開啟防護彈窗中，單擊“確認”。

6、在策略列表中，查看目標策略的策略狀態為“學習完成，防護中”，表示開啟應用進程防護成功。

查看并處理可疑進程

在服務器防護過程中，如果企業主機安全發現服務器中存在可疑進程運行事件，會將其展示在可疑進程運行事件列表中，但不會告警；對于可疑進程運行事件，由于企業主機安全根據學習到的應用進程特征無法判斷其是否可信，因此需要您根據實際情況判斷并將可疑進程手動加入進程白名單或隔離查殺，避免可信進程運行被持續告警或惡意進程持續運行危害服務器。

操作步驟

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“可疑進程”頁簽，查看存在的可疑進程。

4、根據可疑進程HASH和文件路徑等信息，判斷可疑進程是否為惡意進程。

5、在可疑進程所在行的操作列，單擊“處理”。

您也可以批量勾選可疑進程，在列表左上方單擊“批量處理”，批量處理可疑進程。

6、在處理彈窗中，選擇“處理方式”。

可選擇“加入進程白名單”或“隔離查殺”。

7、單擊“確認”，完成處理。

擴展進程白名單

對于策略關聯的服務器，如果您認為HSS學習到的應用進程比HSS掃描到的進程指紋少且可疑進程告警事件較多，您可以配置HSS擴展進程白名單，通過比對HSS已學習的應用進程和資產指紋功能掃描到的對應服務器的資產指紋，進一步擴展HSS應用進程情報庫，補充可信進程白名單。

操作步驟

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、單擊目標服務器關聯的策略名稱，進入“策略詳情”界面。

5、選擇“關聯服務器”頁簽。

6、在目標服務器所在行的操作列，單擊“更多 > 進程白名單擴展”。

7、單擊“開始匹配”，比對服務器進程指紋和企業主機安全學習到的應用進程。

8、將比對出的可信進程選中，并單擊“確認”，完成進程白名單擴展。

重新學習服務器

如果已完成進程白名單擴展，但仍然存在較多可信進程運行誤報或您的服務器業務存在變更，您可以設置HSS重新學習服務器，校準企業主機安全的應用進程情報數據，避免誤報。

操作步驟

1、登錄管理控制臺

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、單擊目標服務器關聯的策略名稱，進入“策略詳情”界面。

5、選擇“關聯服務器”頁簽。

6、勾選需要目標服務器，并單擊列表左上方的“重新學習”。

7、在彈窗中單擊“確認”，開始重新學習。

關閉應用進程防護

如果不再需要企業主機安全為您的服務器提供應用進程控制防護，您可以參考本章節關閉應用進程控制防護。

關閉策略關聯的所有服務器防護

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、關閉應用進程防護

• 關閉防護，但保留HSS學習到的服務器應用進程特征。

a.在目標策略所在行的操作列，單擊“關閉防護”。或者批量選中所有目標策略，并在策略列表左上方單擊“關閉防護”，批量為多個策略關閉防護。

b.單擊“確認”。

• 關閉防護，并刪除HSS學習到的服務器應用進程特征。

a.在目標策略所在行的操作列，單擊“刪除”。

b.單擊“確認”。

5、在策略列表中，查看目標策略。

• 關閉防護，但保留HSS學習到的服務器應用進程特征。查看目標策略的策略狀態為“學習完成，未生效”，表示關閉應用進程防護成功。
• 關閉防護，并刪除HSS學習到的服務器應用進程特征。目標策略已從策略列表中刪除，表示關閉應用進程防護成功。

關閉多臺服務器防護

1、登錄管理控制臺。

2、在左側導航欄，選擇“主動防御 > 應用進程控制”，進入“應用進程控制”界面。

3、選擇“白名單策略”頁簽。

4、單擊目標服務器關聯的策略名稱，進入“策略詳情”界面。

5、選擇“關聯服務器”頁簽。

6、關閉應用進程防護。

• 關閉防護，但保持服務器和當前策略的關聯關系。

a.在目標策略所在行的操作列，單擊“關閉防護”。或者批量選中所有目標策略，并在策略列表左上方單擊“關閉防護”，批量為多個策略關閉防護。

b.單擊“確認”。

• 關閉防護，并解除服務器和當前策略的關聯關系。

說明
如果您需要為服務器切換防護策略，請先在當前策略中刪除該服務器，再新建或編輯防護策略關聯該服務器。

a.在目標策略所在行的操作列，單擊“刪除”。

b.單擊“確認”。

7、在服務器列表中，查看目標服務器，確認關閉防護是否成功。

• 關閉防護，但保留HSS學習到的服務器應用進程特征。查看目標策略的策略狀態為“學習完成，未生效”，表示關閉應用進程防護成功。
• 關閉防護，并刪除HSS學習到的服務器應用進程特征。目標策略已從策略列表中刪除，表示關閉應用進程防護成功。