【产品技术】HSS精准定位非法进程小技巧
后门、木马、挖矿软件、蠕虫和病毒等恶意程序通常首次寄宿在一台主机上。
为了排查出该主机上的恶意程序,我们可以通过在“程序运行认证”界面中,通过将“筛选标记”设置为“覆盖主机数< 2”的条件筛选只有一台主机上才有的应用,关注这些应用是否可信,可及时清除首个感染主机的威胁。
华为云企业主机安全提供了程序运行认证检测功能,对于非配置的可信程序,进行实时检测,并统计和展现进程状态。
程序运行认证基于可定制的可信的应用基线(私有信誉库),监视程序的执行,保障云服务器的安全性。可信的应用基线范围包括以下两个范围:
华为云ECS固有应用
长期稳定运行的应用
可以将华为云ECS固有的应用或者长期稳定运行的应用设置为“信任”,进入私有信誉库,作为可信的应用基线。
进入“程序运行认证”界面,单击“全局进程统计”,标记进程
手动标记
选择“手动标记”,选中一个或多个进程文件,单击“未知”、“信任”或“不信任”。
也可以在需要进行处理的进程文件所在行的“操作”列,单击“未知”、“信任”或“不信任”,对单个进程进行相应处理。
在弹出的对话框中,确认操作信息无误后,单击“确定”。
筛选标记
选择“筛选标记”,设置列表上方的筛选条件,单击“查询”,查询符合条件的进程。
单击“未知”、“信任”或“不信任”,对筛选结果进行批量标记。
在弹出的对话框中,确认操作信息无误后,“确定”。
“私有信誉库”,查看已标记的进程,若已标记的进程均可在私有信誉库中查找到,则说明私有信誉库创建成功。
建立可信的应用基线后,只需要在“全局进程统计”页面,通过“筛选标记”,关注增量的应用是否可信。
进入“程序运行认证”页面,在“全局进程统计”页面,通过筛选标记,排查可疑进程。
“筛选标记”,“覆盖主机数”设置为“< 2”,单击“查询”,查询仅在一台主机上应用。
确定筛选出的应用进程是否为可信。
若发现仅在一台主机上的应用为合法应用,可手动标记为“信任”。
若发现仅在一台主机上的应用为非法应用,可标记为“不信任”,并及时清除该应用。
- 点赞
- 收藏
- 关注作者
评论(0)