本地提权

本文档将为您介绍如何对提权事件详情进行查看和处理，同时指导您如何创建白名单，用于设置被允许的提权行为。

背景信息

若出现以低权限进入系统，通过某些手段提升权限，获取到高权限的事件，很有可能为黑客的攻击行为，该行为会危害到主机安全。本地提权功能可实时监控您云服务器上的提权事件，并能对提权事件详情进行查看和处理，同时也支持白名单创建功能，用于设置被允许的提权行为。

操作步骤

告警列表

1. 登录主机安全租户端控制台，在左侧导航栏中，选择【入侵检测 】>【本地提权】，进入本地提权的事件列表标签页。
2. 在本地提权的【告警列表】标签页，可查看本地提权事件列表，并进行相关操作。 在【告警列表】标签页，可查看发生提权事件的主机名称/实例ID、 IP地址、提权用户、父进程、父进程所属用户、发现时间、状态等信息，列表展示字段支持自定义。

• 筛选事件：本地提权事件列表支持选择日期查看相应的事件，支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）事件，同时支持按状态、筛选事件。

• 自定义设置列表字段：在本地提权告警列表上方，单击设置图标，可设置列表展示字段，选择完成后，单击确定，即可设置成功。

• 事件导出：在本地提权告警列表上方，单击，可将本地提权告警列表导出。
• 详情：在本地提权事件的右侧操作栏，单击【详情】，可查看本地提权事件详情。

- 标记已处理：若您已人工对该告警进行处理，可将告警标记为已处理。
- 加入白名单：对当前告警服务器添加白名单提权进程，后续再检测到相同提权行为将不再告警。
- 忽略：仅将本次告警进行忽略，若有相同情况发生依然会进行告警。
- 删除记录：删除该告警记录，控制台将不再显示，无法恢复记录，请谨慎操作。

白名单管理

本地提权功能支持添加白名单，通过设置白名单提权条件，将满足条件的事件标记为白名单。

1. 登录主机安全租户端控制台，在左侧导航栏中，选择【入侵检测】>【本地提权】，进入本地提权页面。
2. 在本地提权页面，选择【白名单管理】>【添加白名单】。

3. 在添加白名单弹窗中，设置提权条件，包括：带 S 权限的进程、自定义提权进程（支持多个进程名，以英文逗号分隔，例如 123.exe,test.exe），同时选择该条件覆盖的服务器范围，单击【确定】。

注意：

• s 权限： 设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份。
• 勾选两个条件时，需要同时满足才能命中白名单。
• 若服务器范围选择全部服务器，将对用户 APPID 下所有服务器添加信任该白名单条件，请谨慎操作。

4. 设置完成后，可在白名单管理列表查看该条件，告警列表中满足该条件的事件即会被标记为白名单事件。
5. 在白名单管理页面，可对白名单进行筛选删除等操作。

• 筛选：已配置的白名单支持按关键字及标签查询（多个关键字用竖线 “|” 分隔，多个过滤标签用回车键分隔）筛选，同时支持按是否带 S 权限进行筛选。

  

• 自定义设置列表字段：在白名单列表上方，可设置列表展示字段，选择完成后，单击【确定】，即可设置成功。

• 编辑：在目标白名单的右侧操作栏，单击【编辑】，可对已创建的白名单进行编辑。

  

• 删除：在白名单列表中，支持对已配置的白名单进行删除。