动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品优势

基本概念

应用场景

关联产品

功能介绍与版本比较

购买指南

购买安全防护授权

购买日志分析服务

快速入门

操作指南

安全概览

资产概览

主机列表

资产指纹

漏洞管理

基线管理

文件查杀

异常登录

密码破解

恶意请求

高危命令

本地提权

反弹 Shell

Java 内存马

核心文件监控

网络攻击

勒索防御

日志分析

授权管理

告警设置

访问管理指引

混合云安装指引

新手常见问题

软件相关说明

功能行为描述

客户端进程说明

安全基线检测列表

JSON 格式告警数据解析

日志字段数据解析

客户端安装指引

安全评分说明

实践教程

漏洞自动修复

恶意文件处理

故障处理

Linux 入侵类问题排查思路

Windows 入侵类问题排查思路

Linux 客户端离线排查

Windows 客户端离线排查

异常登录的消息提醒

API 文档

History

Introduction

API Category

Asset Management APIs

Virus Scanning APIs

Abnormal Log-in APIs

Password Cracking APIs

Malicious Request APIs

High-Risk Command APIs

Local Privilege Escalation APIs

Reverse Shell APIs

Vulnerability Management APIs

New Baseline Management APIs

Baseline Management APIs

Advanced Defense APIs

Security Operation APIs

Expert Service APIs

Other APIs

Overview Statistics APIs

Settings Center APIs

Making API Requests

Intrusion Detection APIs

Data Types

Error Codes

常见问题

本地提权

PDF

Modo Foco

Tamanho da Fonte

Última atualização: 2024-08-13 16:29:50

本文档将为您介绍如何对提权事件详情进行查看和处理，同时指导您如何创建白名单，用于设置被允许的提权行为。
背景信息
若出现以低权限进入系统，通过某些手段提升权限，获取到高权限的事件，很有可能为黑客的攻击行为，该行为会危害到主机安全。本地提权功能可实时监控您云服务器上的提权事件，并能对提权事件详情进行查看和处理，同时也支持白名单创建功能，用于设置被允许的提权行为。
前提条件
本地提权仅支持专业版、旗舰版主机，基础版和未防护主机须 升级专业版或旗舰版 才可使用该功能。
操作步骤
告警列表
1. 登录 主机安全控制台，在左侧导航栏选择入侵检测 > 本地提权，进入本地提权的告警列表标签页。
2. 在本地提权的告警列表标签页，可查看本地提权告警事件列表，并进行相关操作。可查看发生提权事件的主机名称/实例 ID，IP 地址、提权用户、父进程、父进程所属用户、发现时间、状态、操作（详情 | 处理）共8个字段，展示列表详情信息可进行自定义。
筛选/查询：本地提权告警列表支持选择日期查看相应的告警信息，支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）事件，同时支持按状态筛选事件。
﻿
自定义设置列表字段：在本地提权告警列表上方，单击
﻿
，可设置列表展示字段，选择完成后，单击确定，即可设置成功。
﻿
﻿
事件导出：在本地提权告警列表上方，单击
﻿
，可将列表导出。
详情 > 告警详情：在本地提权告警列表的右侧操作栏，单击详情选择告警详情标签页，可查看告警详情。
﻿
详情 > 进程树：在本地提权告警列表的右侧操作栏，单击详情选择进程树标签页，可查看以时间倒序排列的三个最新进程详情。
﻿
详情 > 事件调查：在本地提权告警列表的右侧操作栏，单击详情选择事件调查标签页，可进入对应主机列表的 事件调查。
说明
Windows 机器暂不支持事件调查功能。
仅旗舰版支持事件调查功能。
标记已处理：支持单选或多选本地提权告警信息，人工对该告警进行处理，处理后可将告警标记为已处理。
 
﻿
﻿
加入白名单：
2.1.1 如需将本地提权告警事件加入白名单，可在告警信息列表的右侧操作栏，单击处理 > 加入白名单，或在详情页单击加入白名单。
 
﻿
﻿
2.1.2 在新增白名单页面，填写服务器范围后单击确定，即可将该本地提权告警加入白名单。
 
﻿
﻿
忽略：支持单选或多选本地提权告警信息，仅将本次选中的告警进行忽略，若再有相同情况发生依然会进行告警。
删除记录（慎重操作）：支持单选或多选本地提权告警信息，删除选中的告警记录，控制台将不再显示且无法恢复记录。
﻿
3. 单击本地提权告警的主机名称/实例ID，可查看该主机列表入侵检测标签页详情。	
﻿
白名单管理
本地提权功能支持添加白名单，通过设置白名单提权条件，将满足条件的事件标记为白名单。
1. 登录 主机安全控制台，在左侧导航栏，选择入侵检测 > 本地提权。
Log in to the Host Security Console, and in the left navigation bar, select Intrusion Detection > Local Privilege Escalation.
2. 在本地提权页面，单击白名单管理 > 添加白名单。
﻿
﻿
3. 在新增白名单页面，设置提权条件，包括：带 S 权限的进程、自定义提权进程（支持多个进程名，以英文逗号分隔，例如 123.exe,test.exe），同时选择该条件覆盖的服务器范围，单击确定。
注意
S 权限： 设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份。
勾选两个条件时，需要同时满足才能命中白名单。
若服务器范围选择全部服务器，将对用户 APPID 下所有服务器添加信任该白名单条件，请谨慎操作。
﻿
4. 设置完成后，可在白名单管理列表查看该条件，且在事件列表满足该条件的事件即会被标记为白名单事件。
5. 在白名单管理页面，可对白名单进行筛选删除等操作。
筛选：已配置的白名单支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）筛选，同时支持按是否带 S 权限进行筛选。
﻿
﻿
自定义设置列表字段：在白名单列表上方，单击
﻿
，可设置列表展示字段，选择完成后，单击确定，即可设置成功。
﻿
﻿
编辑：在目标白名单的右侧操作栏，单击编辑，可对已创建的白名单进行编辑。
删除：在白名单列表中，支持单选或多选已配置的白名单进行删除。
﻿
﻿