為什么檢測口沒有流量？

1. 確認在虛擬網關已經進行了鏡像，且能看到流量。
2. 確認接入系統的端口是設置了檢測口。
3. 確認thinkflow組件是否正常運行。
4. 查看thinkflow日志。
5. 根據日志信息再進一步排障。

為什么威脅檢測沒有數據？

1. 確認檢測口是否有數據。
2. 確認知識庫是否正常加載。

為什么國家信譽庫沒有同步？

1. 確認同步開關是否開啟。
2. 確認同步配置是否設置正確。
3. 確認與國家信譽庫平臺連接是否正常。

告警通知郵箱的接收人在哪里修改？

進入系統管理中的郵箱配置頁面，可以對接收人進行修改。

資產信息如何收集？

支持三種方式的資產收集：

• 主動掃描，可以通過端口掃描、協議識別自動獲取資產的開放端口、協議、操作系統、廠商品牌、組件等信息。
• 被動發現，通過對流量分析自動發現存活資產及操作系統。
• 手工添加，添加資產及相關信息。

為什么某些資產不能識別提取操作系統類型或MAC地址？

操作系統與MAC識別分為主動探測與被動發現兩種方式：

• 主動探測：通過向被測主機主動發送探測包，根據返回數據包的特征判斷操作系統類型，部分返回數據包中沒有明顯特征，無法統合判斷出操作系統類型，因此部分資產無法探測發現操作系統類型；對于MAC地址識別，在跨三層網絡情況下，數據包中的MAC并非資產的真實MAC地址，因此這種情況下無法識別資產MAC地址。
• 被動發現：通過流量中所帶有的規則來匹配操作系統類型，在資產沒有發出相關流量數據包，或所發流量數據包中沒有操作系統識別特征的情況下，暫時無法識別操作系統類型；對于MAC地址識別，由于跨三層問題，被動流量識別通常只能解析ARP數據包獲得真實MAC地址，對于不同的網絡配置，部分資產可以通過NETBIOS協議識別出MAC地址。

漏洞支持掃描和修復驗證嗎？

基礎版和高級版都支持漏洞掃描和漏洞驗證功能。

進入態勢感知系統漏洞驗證頁面可以添加漏洞驗證任務查看驗證結果。

如何查看和處理漏洞？

進入態勢感知系統漏洞列表可以查看到漏洞信息，點擊操作可以選擇對漏洞進行相關處理。

如何獲取漏洞影響資產數量最多的漏洞信息？

進入到態勢感知系統的漏洞列表頁面可以查看到漏洞影響資產最多的漏洞排行。

態勢感知網關開通錯誤后怎么辦？

態勢感知網關開通錯誤需要切換操作系統，找到安全產品進入態勢感知網關，進行修改，密碼需要自行設置。

虛擬網關的雙網卡接口有什么用？

• eth0口是互聯網出口。
• eth1是鏡像流量口，將互聯網的流量鏡像給態勢感知SA。

態勢感知的控制端接口有什么用？

一個作為管理口，另一個作為鏡像口。同時通過管理口和業務主機互聯，資產掃描的時候能掃描所有的資產，所有態勢感知的控制端管理口必須和業務主機同一網段。

態勢感知一般部署在什么位置？

態勢感知的虛擬網關部署在互聯網邊界出口位置，監控業務主機流量，態勢感知旁路部署。

態勢感知可以為用戶提供什么服務？

態勢感知為用戶提供統一的威脅檢測平臺。態勢感知能夠幫助用戶檢測云上資產遭受到的各種典型安全風險，還原攻擊歷史，感知攻擊現狀，預測攻擊態勢，為用戶提供強大的事前、事中、事后安全管理能力。

態勢感知的數據來源是什么？

基于國家計算機網絡應急技術處理協調中心（簡稱“國家互聯網應急中心”，英文簡稱CNCERT或CNCERT/CC）擁有的國內最為先進且獨一無二的公共互聯網網絡安全監測平臺，能夠將諸如僵尸木馬活動、惡意代碼傳播、惡意攻擊行為、惡意站點數據等網絡安全事件及信譽數據同步至本系統。

同時采集全網流量數據結合龐大的威脅檢測規則庫能力和高性能檢測引擎，分析并呈現威脅態勢，通過漏洞掃描，關聯分析全面展示安全狀況并生成相應的告警信息幫助客戶了解攻擊和入侵過程并提供防護建議。

安全態勢評分是如何計算的？多久更新一次數值？

安全態勢評分是以漏洞CVSS分為基礎的，首先算出資產漏洞的風險評分，該評分為該資產所有漏洞當中CVSS值最高前十的總和，再算出資產漏洞風險評分最高前五十的平均值，最后用100減去該值（CVSS取值范圍：0.0-10.0）。

• 單個資產漏洞評分 = SUM （TOP10 漏洞CVSS評分）
• 安全態勢評分=100 - AVG（TOP50 資產漏洞評分）
• 更新頻率為每個整點更新一次。

什么是攻擊源警告？

當系統檢測到威脅方的IP地址存在惡意入侵或探測行為時，對其推送警告界面，以做警示。

什么是惡意網站警告？

系統通過國家信譽庫自動同步惡意網站數據，對訪問該列表網站的用戶進行警告提示，同時運維管理員可自定義添加惡意網站。

大型企業，架設了多個防火墻，是否需要對本設備放過攔截？

根據防火墻策略而定，協議識別和漏洞掃描都需要發送很多數據包（TCP/UDP層的），但是這些包并不是攻擊包；如果發送這些包也會攔截，就需要在防火墻將設備IP加入到白名單，如果防火墻沒有攔截就不需要（結合業務優化調測）。

資產漏洞的風險值是如何計算的？

• 單條漏洞的風險值為該漏洞的CVSS分值。
• 資產漏洞風險值為該資產所有漏洞當中CVSS值最高前十的總和，即資產漏洞風險值 = SUM (TOP10 漏洞CVSS評分）。

資產威脅的風險值是如何計算的？

單條威脅的風險值=可信度轉換系數 * 關鍵程度 * 10
其中：

• 可信度轉換系數：規則庫中定義的高中低可信度，分別對應系數1、0.8、0（高：應用層協議有請求響應，且響應成功的，中：有雙向報文的，低：只有單向報文的）
• 關鍵程度：規則庫中根據嚴重級別定義的，取值區間為1-10（低風險：1-3，中風險：4-6，高風險：7-10）

資產威脅風險值為該資產所有威脅風險值的平均值，即資產威脅風險值=AVG(所有威脅風險值）。

態勢感知是否支持接收其他產品的日志？

暫不支持接收其他產品的日志。支持通過API接口方式導出資產、漏洞、威脅數據給第三方平臺。

如何確認攻擊是否成功？

通過關聯分析功能，針對發現的基礎威脅事件進行深度挖掘分析，形成一段時間內的威脅攻擊鏈，橫向移動、數據外發階段的安全事件說明相關的源IP資產已經失陷。

還可以通過對威脅事件的原始數據包下載進行分析。

態勢感知是監控其他設備的日志嗎？

不是，態勢感知是通過監控流量來分析是否存在攻擊行為。