【产品技术】HSS精准定位非法进程小技巧

举报
懒宅君 发表于 2020/06/27 14:24:12 2020/06/27
【摘要】 后门、木马、挖矿软件、蠕虫和病毒等恶意程序通常首次寄宿在一台主机上。为了排查出该主机上的恶意程序,我们可以通过在“程序运行认证”界面中,通过将“筛选标记”设置为“覆盖主机数< 2”的条件筛选只有一台主机上才有的应用,关注这些应用是否可信,可及时清除首个感染主机的威胁。华为云企业主机安全提供了程序运行认证检测功能,对于非配置的可信程序,进行实时检测,并统计和展现进程状态。程序运行认证基于可定制...

后门、木马、挖矿软件、蠕虫和病毒等恶意程序通常首次寄宿在一台主机上。

为了排查出该主机上的恶意程序,我们可以通过在“程序运行认证”界面中,通过将“筛选标记”设置为“覆盖主机数< 2”的条件筛选只有一台主机上才有的应用,关注这些应用是否可信,可及时清除首个感染主机的威胁。

华为云企业主机安全提供了程序运行认证检测功能,对于非配置的可信程序,进行实时检测,并统计和展现进程状态。

程序运行认证基于可定制的可信的应用基线(私有信誉库),监视程序的执行,保障云服务器的安全性。可信的应用基线范围包括以下两个范围:

  • 华为云ECS固有应用

  • 长期稳定运行的应用

可以将华为云ECS固有的应用或者长期稳定运行的应用设置为“信任”,进入私有信誉库,作为可信的应用基线。

进入“程序运行认证”界面,单击“全局进程统计”,标记进程                                          

image.png

    • 手动标记

      1. 选择“手动标记”,选中一个或多个进程文件,单击“未知”、“信任”或“不信任”。

image.png


也可以在需要进行处理的进程文件所在行的“操作”列,单击“未知”、“信任”或“不信任”,对单个进程进行相应处理。

      1. 在弹出的对话框中,确认操作信息无误后,单击“确定”。

    • 筛选标记

      1. 选择“筛选标记”,设置列表上方的筛选条件,单击“查询”,查询符合条件的进程。

image.png

      1. 单击“未知”、“信任”或“不信任”,对筛选结果进行批量标记。

      2. 在弹出的对话框中,确认操作信息无误后,“确定”。

  1. “私有信誉库”,查看已标记的进程,若已标记的进程均可在私有信誉库中查找到,则说明私有信誉库创建成功。

image.png

建立可信的应用基线后,只需要在“全局进程统计”页面,通过“筛选标记”,关注增量的应用是否可信。

  1. 进入“程序运行认证”页面,在“全局进程统计”页面,通过筛选标记,排查可疑进程。

image.png

  1. “筛选标记”,“覆盖主机数”设置为“< 2”,单击“查询”,查询仅在一台主机上应用。

image.png

  1. 确定筛选出的应用进程是否为可信。

    • 若发现仅在一台主机上的应用为合法应用,可手动标记为“信任”。

    • 若发现仅在一台主机上的应用为非法应用,可标记为“不信任”,并及时清除该应用。

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。