You need to enable JavaScript to run this app.
导航
常见问题
最近更新时间:2022.06.24 17:43:37首次发布时间:2022.06.24 17:43:37

基线部分

  • 支持自定义基线吗?

目前还不支持自定义基线检测

漏洞部分

  • 漏洞是指哪些漏洞信息呢?

漏洞是与资产对应的,有系统层面的(rpm/dpkg),也有jar包的漏洞或者py包漏洞信息。

  • 漏洞可以在火山引擎CWPP上自动修复吗?

不可以,因为需要业务排查是否存在兼容性问题,自动升级会存在一定风险,建议联系业务方经确认后再进行升级修复操作。

  • 我该如何判断漏洞修复优先级呢?

可以通过漏洞级别和是否存在EXP来判断,以及存在风险的资产重要程度,暴露程度等综合分析。

资产相关

  • 资产数据如资产列表是实时的吗?为什么我部署完后平台上没有显示?

存在一定时间的延迟才会自动采集,如果想立马看到最新数据,可以点击采集最新数据。

  • 进程/端口/容器数据会在1h内自动采集上来

  • 其他数据会在6h内自动采集上来

  • 为什么我装完Agent后看不到漏洞信息?

漏洞数据依赖软件数据,所以也会存在一定时延,一般会在24h内采集完毕。

  • 为什么安装完Agent后没有立马在平台的主机列表显示?

心跳是批量写入的,会存在一定的时延,一般会在5min内更新到平台上。

安全告警相关

  • 告警的定义是什么呢?

告警是指是存在疑似黑客入侵或其他恶意行为的告警。

  • 事件的定义是什么呢?

事件是将告警根据特定归因逻辑聚合在一起的告警集合,往往能反应一批测试

  • 我该如何判断安全告警的重要程度呢?

可以根据告警的级别进行判断,建议联系安全工程师进行进一步确认。

  • 如何将告警推送到内部平台或****IM Bot?

可以将原始告警(未经过Console白名单过滤)推送到外部平台,我们目前提供了推送到飞书/企业微信/钉钉/Telegram等IM平台的插件,只需要在HUB进行简单步骤即可开启,如果是其他平台,可以通过编写HUB插件实现,同时也支持输出到Kafka/ES。

  • 给agent打poc标签的含义是什么?

加上这个标签会关闭告警压制,显示所有的报警,可以用来测试

  • 我该如何理解溯源图?

红色节点是告警相关节点,其他节点为与告警节点有关联的(通常为父/子/兄弟进程)进程,文件创建,网络访问,即:入侵者触发告警前还做了什么,入侵者触发告警后还做了什么。

  • 为什么扫描没有告警?

扫描行为目前CWPP采集较为困难,因为扫描通过会通过如直接sendto等方式探测机器是否存活,而经常不使用connect syscall,这种从原始行为角度难以采集(数据量过大),第二是基于connect的扫描行为由于无法准确获取其payload,也无法明确判定其为扫描行为。网络扫描检测更应该依赖网络层安全设备