目前还不支持自定义基线检测
漏洞是与资产对应的,有系统层面的(rpm/dpkg),也有jar包的漏洞或者py包漏洞信息。
不可以,因为需要业务排查是否存在兼容性问题,自动升级会存在一定风险,建议联系业务方经确认后再进行升级修复操作。
可以通过漏洞级别和是否存在EXP来判断,以及存在风险的资产重要程度,暴露程度等综合分析。
存在一定时间的延迟才会自动采集,如果想立马看到最新数据,可以点击采集最新数据。
进程/端口/容器数据会在1h内自动采集上来
其他数据会在6h内自动采集上来
为什么我装完Agent后看不到漏洞信息?
漏洞数据依赖软件数据,所以也会存在一定时延,一般会在24h内采集完毕。
心跳是批量写入的,会存在一定的时延,一般会在5min内更新到平台上。
告警是指是存在疑似黑客入侵或其他恶意行为的告警。
事件是将告警根据特定归因逻辑聚合在一起的告警集合,往往能反应一批测试
可以根据告警的级别进行判断,建议联系安全工程师进行进一步确认。
可以将原始告警(未经过Console白名单过滤)推送到外部平台,我们目前提供了推送到飞书/企业微信/钉钉/Telegram等IM平台的插件,只需要在HUB进行简单步骤即可开启,如果是其他平台,可以通过编写HUB插件实现,同时也支持输出到Kafka/ES。
加上这个标签会关闭告警压制,显示所有的报警,可以用来测试
红色节点是告警相关节点,其他节点为与告警节点有关联的(通常为父/子/兄弟进程)进程,文件创建,网络访问,即:入侵者触发告警前还做了什么,入侵者触发告警后还做了什么。
扫描行为目前CWPP采集较为困难,因为扫描通过会通过如直接sendto等方式探测机器是否存活,而经常不使用connect syscall,这种从原始行为角度难以采集(数据量过大),第二是基于connect的扫描行为由于无法准确获取其payload,也无法明确判定其为扫描行为。网络扫描检测更应该依赖网络层安全设备