本地提权

本文档将为您介绍如何对提权事件详情进行查看和处理，同时指导您如何创建白名单，用于设置被允许的提权行为。

背景信息

若出现以低权限进入系统，通过某些手段提升权限，获取到高权限的事件，很有可能为黑客的攻击行为，该行为会危害到主机安全。本地提权功能可实时监控您云服务器上的提权事件，并能对提权事件详情进行查看和处理，同时也支持白名单创建功能，用于设置被允许的提权行为。

前提条件

本地提权功能仅专业版主机主机支持，基础版和未防护主机须 升级专业版 才可使用该功能。

操作步骤

事件列表

1. 登录主机安全控制台，在左侧导航栏，选择入侵检测 > 本地提权，进入本地提权的事件列表标签页。

2. 在本地提权的“事件列表”标签页，可查看本地提权事件列表，并进行相关操作。 在事件列表标签页，可查看发生提权事件的服务器 IP/名称、提权用户、发现时间、状态、操作（详情、加入白名单及删除记录）等12个字段，展示列表详情信息可进行自定义。

   • 筛选事件：本地提权事件列表支持选择日期查看相应的事件，支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）事件，同时支持按状态、筛选事件。

     

   • 自定义设置列表字段：在本地提权事件列表上方，单击，可设置列表展示字段，选择完成后，单击确定，即可设置成功。

   • 事件导出：在本地提权事件列表上方，单击，可将本地提权事件列表导出。

   • 详情：在本地提权事件的右侧操作栏，单击详情，可查看本地提权事件详情。

     

   • 加入白名单：如需将本地提权事件加入白名单，可在目标本地提权事件的右侧操作栏，单击加入白名单，确认无误后，在弹窗中，单击提交，即可将该本地提权事件加入白名单事件。

   • 删除记录：本地提权事件列表支持对本地提权事件进行删除。

     

3. 单击本地提权事件的服务器 IP，可查看该服务器详情。

   

白名单管理

本地提权功能支持添加白名单，通过设置白名单提权条件，将满足条件的事件标记为白名单。

1. 登录主机安全控制台，在左侧导航栏，选择入侵检测 > 本地提权，进入本地提权页面。

2. 在本地提权页面，选择白名单管理 > 添加白名单。

   

3. 在添加白名单页面，设置提权条件，包括：带 S 权限的进程、自定义提权进程（支持多个进程名，以英文逗号分隔，例如 123.exe,test.exe），同时选择该条件覆盖的服务器范围，单击确定。

   注意：

   • s 权限： 设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份。
   • 勾选两个条件时，需要同时满足才能命中白名单。
   • 若服务器范围选择全部服务器，将对用户 APPID 下所有服务器添加信任该白名单条件，请谨慎操作。

   

4. 设置完成后，可在白名单管理列表查看该条件，且在事件列表满足该条件的事件即会被标记为白名单事件。

5. 在白名单管理页面，可对白名单进行筛选删除等操作。

   • 筛选：已配置的白名单支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）筛选，同时支持按是否带 S 权限进行筛选。

     

   • 自定义设置列表字段：在白名单列表上方，可设置列表展示字段，选择完成后，单击确定，即可设置成功。

     

   • 编辑：在目标白名单的右侧操作栏，单击编辑，可对已创建的白名单进行编辑。

     

   • 删除：在白名单列表中，支持对已配置的白名单进行删除。