文档中心 > 本地提权
本地提权

最近更新时间:2021-03-12

当用户以低权限进入主机系统,通过某种行为获得高权限时,该进程很有可能是黑客的网络攻击行为,威胁主机安全。本地提权功能用于对此类行为事件进行记录和统计。包含如下功能点:

  • 提权事件记录:实时记录主机中存在的提权行为事件,在列表中查看并筛选/搜索相关信息;

  • 白名单管理:对待定的主机和进程的提权行为,设置规则屏蔽

  • 导出功能

具体操作:

  • 查看详情:查看本地提权的事件详细信息

  • 加入白名单:点击本地提权事件列表中各项记录的“加入白名单”按钮,将根据该事件的各项条件自动填入白名单规则中进行加白,生效范围为当前主机

  • 进程阻断:点击本地提权事件列表中各项记录的按钮,选择“进程阻断”操作,可对当前反弹的进程下发结束运行,操作的结果和状态可在查看完成后的处理状态显示

白名单规则

单击白名单规则按钮,即可进入到“白名单规则”页面。

  • 新建白名单规则 单击右侧“新建规则”按钮,进入到白名单规则设置页面。白名单规则设置说明:

内容条件列表规则范围
说明条件列表是具体的条件详细内容,条件之间为“与”关系。
提权进程:以逗号隔开输入一个或者多个进程名字。
带s权限的进程:是否是带s权限的进程
规则范围是指以上条件的适用范围。规则范围有是以下两种方式里选择其中一种,且仅可以选择一种:
全部主机:指的是所以装有Agent的主机
自定义范围:可以选择业务组与自己输入单台主机IP的复合结果

白名单规则创建后将被立即执行,需要重新遍历检测结果列表内的历史数据,根据更新后的规则库判断,对列表内的记录进行更新,符合更新后规则的记录将不再显示上报。
遍历记录数量的上限为10000条;若检测结果列表内记录超过上限,则只遍历近三个月的记录,上限同样为10000条。

  • 查看白名单受影响记录 对于已经保存的单条规则,用户可以查看受白名单影响的记录列表

  • 编辑白名单规则 对于已经保存的单条规则,用户可以选择对其进行修改

  • 删除白名单规则 对于已经保存的单条或者多条规则,用户可以选择对其进行删除。在删除时,需要给用户删除确认提示,用户确认后方可删除

导出

导出功能是用来将列表内的数据以自定义方式导出成数据文件供用户在系统外使用。导出方式有以下两种:

  • 手动选择:手动勾选需要导出的行,选择“导出”按钮导出选中的数据

  • 全部导出:单击“全部导出”按钮导出当前范围的全部数据