天擎对于这块的监测, 属于终端管控下的进程管理-进程黑名单 , 进程管理描述: 进程黑名单:终端不能运行黑名单中的进程,可以对终端运行的进程进行主动收集上报至管理中心,管理员可自定义设置进程组,通过知识库直接将需要限制的进程组进行管控。 进程白名单:终端只能运行白名单中的进程,不在白名单中的进程均被禁止运行。 进程红名单:守护运行的进程,当终端运行红名单进程时,客户端会守护其不被恶意关闭。 部署模式:对于违规的进程不拦截,只上报告警日志。 防护模式:对于违规的进程拦截,并上报告警。 识别规则为:通过对文件名、文件路径、MD5、数字签名、产品名称及用户名的精准或模糊匹配以及简单逻辑组合对终端上的进程进行匹配。匹配后的规则会依据相应的防护策略触发防护动作,从而实现进程黑白名单控制。 从识别规则上来看,如果全开,能很精确的识别各类软件; 所以,如果是后台配置有误,可以告知管理员将所需要用到的业务软件进行加白/加红,如果不是那你也可以参考如上识别规则,规避规则达到你想运行非允许运行的软件。
