规则配置

异常进程是基于自适应学习技术，通过系统规则和用户自定义检测规则，实时监控进程异常启动行为，并实时告警通知或拦截。异常进程包含事件列表和规则配置两大模块。本文档介绍高级防御的规则配置功能。

筛选刷新规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击搜索框，可通过“规则名称”关键词对配置规则进行查询。

3. 在规则配置页面，单击操作栏右侧 图标，即可刷新规则列表。

新增规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击创建规则，右侧抽屉弹出新增规则页面。

3. 在新增规则页面，需配置基本信息、配置规则和镜像生效范围。

• 基本信息：输入事件的规则名称，单击开启或关闭规则检查。

说明：

关闭后，将不再进行该规则检测！

• 配置规则：需输入进程路径和执行动作。单击添加或删除，可进行添加或删除规则。

说明：

• 配置规则最多可添加30条。
• 执行动作有：
• 拦截：命中规则条件时，将自动拦截进程运行，记录事件详情。
• 告警：命中规则条件时，仅自动告警事件，不拦截进程运行，记录事件详情。
• 放行：命中规则条件时，将自动放行进程运行，不产生事件记录。

• 镜像范围：全部镜像和自选镜像。其中单击所需的自选镜像 或 图标，即可选中或删除自选镜像。

说明：

支持按住 shift 键进行多选。

4. 选择所需内容后，单击设置或取消，即可完成或取消设置。

复制规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击右侧复制，右侧弹出复制规则页面。

3. 在复制规则页面，需输入规则名称，可修改启用状态、配置规则和镜像生效范围。

4. 选择所需内容后，单击确定或取消，即可完成或取消复制规则。

编辑规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击右侧编辑，右侧弹出编辑规则设置页面。

3. 在编辑规则设置页面，可修改规则的基本信息、配置规则和镜像生效范围。

4. 选择所需内容后，单击确定或取消，即可完成或取消修改规则。

删除规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，可选择如下两种方式删除规则：

• 选择所需的规则单击勾选图标，后单击操作栏左侧删除，弹出“确认删除”弹窗。

• 选择所需规则的所作行，单击右侧删除，弹出“确认删除”弹窗。

3. 在“确认删除”弹窗中，单击删除或取消，即可删除或取消删除规则。

说明：

删除后，规则将无法恢复，该规则的关联镜像将自动关联系统默认规则。

导出规则

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击勾选所需的异常进程规则后，单击导出图标即可导出异常进程规则。

说明：

单击操作栏处图标，可进行批量勾选。

自定义列表管理

1. 登录 [容器安全服务控制台]，在左侧导航中，单击高级防御 > 异常进程 > 规则配置，进入规则配置页面。

2. 在规则配置页面，单击设置图标，弹出自定义列表管理弹窗，在弹窗中可以自定义设定列表管理。

3. 在自定义列表管理弹窗，选择所需的类型后，单击确定，即可完成设置自定义列表管理。

列表重点字段说明

1. 规则类别：系统规则或自定义规则。

2. 生效镜像：规则生效的镜像数量。单击生效镜像“数字”，右侧抽屉展示规则详情。

3. 状态：启用/禁用。

4. 操作：系统策略操作栏仅复制规则，用户自定义规则支持复制、编辑和删除。