常见问题

基线部分

• 支持自定义基线吗？

目前还不支持自定义基线检测

漏洞部分

• 漏洞是指哪些漏洞信息呢？

漏洞是与资产对应的，有系统层面的（rpm/dpkg），也有jar包的漏洞或者py包漏洞信息。

• 漏洞可以在火山引擎CWPP上自动修复吗？

不可以，因为需要业务排查是否存在兼容性问题，自动升级会存在一定风险，建议联系业务方经确认后再进行升级修复操作。

• 我该如何判断漏洞修复优先级呢？

可以通过漏洞级别和是否存在EXP来判断，以及存在风险的资产重要程度，暴露程度等综合分析。

资产相关

• 资产数据如资产列表是实时的吗？为什么我部署完后平台上没有显示？

存在一定时间的延迟才会自动采集，如果想立马看到最新数据，可以点击采集最新数据。

• 进程/端口/容器数据会在1h内自动采集上来

• 其他数据会在6h内自动采集上来

• 为什么我装完Agent后看不到漏洞信息？

漏洞数据依赖软件数据，所以也会存在一定时延，一般会在24h内采集完毕。

• 为什么安装完Agent后没有立马在平台的主机列表显示？

心跳是批量写入的，会存在一定的时延，一般会在5min内更新到平台上。

安全告警相关

• 告警的定义是什么呢？

告警是指是存在疑似黑客入侵或其他恶意行为的告警。

• 事件的定义是什么呢？

事件是将告警根据特定归因逻辑聚合在一起的告警集合，往往能反应一批测试

• 我该如何判断安全告警的重要程度呢？

可以根据告警的级别进行判断，建议联系安全工程师进行进一步确认。

• 如何将告警推送到内部平台或****IM Bot？

可以将原始告警（未经过Console白名单过滤）推送到外部平台，我们目前提供了推送到飞书/企业微信/钉钉/Telegram等IM平台的插件，只需要在HUB进行简单步骤即可开启，如果是其他平台，可以通过编写HUB插件实现，同时也支持输出到Kafka/ES。

• 给agent打poc标签的含义是什么？

加上这个标签会关闭告警压制，显示所有的报警，可以用来测试

• 我该如何理解溯源图？

红色节点是告警相关节点，其他节点为与告警节点有关联的（通常为父/子/兄弟进程）进程，文件创建，网络访问，即：入侵者触发告警前还做了什么，入侵者触发告警后还做了什么。

• 为什么扫描没有告警？

扫描行为目前CWPP采集较为困难，因为扫描通过会通过如直接sendto等方式探测机器是否存活，而经常不使用connect syscall，这种从原始行为角度难以采集（数据量过大），第二是基于connect的扫描行为由于无法准确获取其payload，也无法明确判定其为扫描行为。网络扫描检测更应该依赖网络层安全设备