为什么检测口没有流量？

1. 确认在虚拟网关已经进行了镜像，且能看到流量。
2. 确认接入系统的端口是设置了检测口。
3. 确认thinkflow组件是否正常运行。
4. 查看thinkflow日志。
5. 根据日志信息再进一步排障。

为什么威胁检测没有数据？

1. 确认检测口是否有数据。
2. 确认知识库是否正常加载。

为什么国家信誉库没有同步？

1. 确认同步开关是否开启。
2. 确认同步配置是否设置正确。
3. 确认与国家信誉库平台连接是否正常。

告警通知邮箱的接收人在哪里修改？

进入系统管理中的邮箱配置页面，可以对接收人进行修改。

资产信息如何收集？

支持三种方式的资产收集：

• 主动扫描，可以通过端口扫描、协议识别自动获取资产的开放端口、协议、操作系统、厂商品牌、组件等信息。
• 被动发现，通过对流量分析自动发现存活资产及操作系统。
• 手工添加，添加资产及相关信息。

为什么某些资产不能识别提取操作系统类型或MAC地址？

操作系统与MAC识别分为主动探测与被动发现两种方式：

• 主动探测：通过向被测主机主动发送探测包，根据返回数据包的特征判断操作系统类型，部分返回数据包中没有明显特征，无法统合判断出操作系统类型，因此部分资产无法探测发现操作系统类型；对于MAC地址识别，在跨三层网络情况下，数据包中的MAC并非资产的真实MAC地址，因此这种情况下无法识别资产MAC地址。
• 被动发现：通过流量中所带有的规则来匹配操作系统类型，在资产没有发出相关流量数据包，或所发流量数据包中没有操作系统识别特征的情况下，暂时无法识别操作系统类型；对于MAC地址识别，由于跨三层问题，被动流量识别通常只能解析ARP数据包获得真实MAC地址，对于不同的网络配置，部分资产可以通过NETBIOS协议识别出MAC地址。

漏洞支持扫描和修复验证吗？

基础版和高级版都支持漏洞扫描和漏洞验证功能。

进入态势感知系统漏洞验证页面可以添加漏洞验证任务查看验证结果。

如何查看和处理漏洞？

进入态势感知系统漏洞列表可以查看到漏洞信息，点击操作可以选择对漏洞进行相关处理。

如何获取漏洞影响资产数量最多的漏洞信息？

进入到态势感知系统的漏洞列表页面可以查看到漏洞影响资产最多的漏洞排行。

态势感知网关开通错误后怎么办？

态势感知网关开通错误需要切换操作系统，找到安全产品进入态势感知网关，进行修改，密码需要自行设置。

虚拟网关的双网卡接口有什么用？

• eth0口是互联网出口。
• eth1是镜像流量口，将互联网的流量镜像给态势感知SA。

态势感知的控制端接口有什么用？

一个作为管理口，另一个作为镜像口。同时通过管理口和业务主机互联，资产扫描的时候能扫描所有的资产，所有态势感知的控制端管理口必须和业务主机同一网段。

态势感知一般部署在什么位置？

态势感知的虚拟网关部署在互联网边界出口位置，监控业务主机流量，态势感知旁路部署。

态势感知可以为用户提供什么服务？

态势感知为用户提供统一的威胁检测平台。态势感知能够帮助用户检测云上资产遭受到的各种典型安全风险，还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力。

态势感知的数据来源是什么？

基于国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称CNCERT或CNCERT/CC）拥有的国内最为先进且独一无二的公共互联网网络安全监测平台，能够将诸如僵尸木马活动、恶意代码传播、恶意攻击行为、恶意站点数据等网络安全事件及信誉数据同步至本系统。

同时采集全网流量数据结合庞大的威胁检测规则库能力和高性能检测引擎，分析并呈现威胁态势，通过漏洞扫描，关联分析全面展示安全状况并生成相应的告警信息帮助客户了解攻击和入侵过程并提供防护建议。

安全态势评分是如何计算的？多久更新一次数值？

安全态势评分是以漏洞CVSS分为基础的，首先算出资产漏洞的风险评分，该评分为该资产所有漏洞当中CVSS值最高前十的总和，再算出资产漏洞风险评分最高前五十的平均值，最后用100减去该值（CVSS取值范围：0.0-10.0）。

• 单个资产漏洞评分 = SUM （TOP10 漏洞CVSS评分）
• 安全态势评分=100 - AVG（TOP50 资产漏洞评分）
• 更新频率为每个整点更新一次。

什么是攻击源警告？

当系统检测到威胁方的IP地址存在恶意入侵或探测行为时，对其推送警告界面，以做警示。

什么是恶意网站警告？

系统通过国家信誉库自动同步恶意网站数据，对访问该列表网站的用户进行警告提示，同时运维管理员可自定义添加恶意网站。

大型企业，架设了多个防火墙，是否需要对本设备放过拦截？

根据防火墙策略而定，协议识别和漏洞扫描都需要发送很多数据包（TCP/UDP层的），但是这些包并不是攻击包；如果发送这些包也会拦截，就需要在防火墙将设备IP加入到白名单，如果防火墙没有拦截就不需要（结合业务优化调测）。

资产漏洞的风险值是如何计算的？

• 单条漏洞的风险值为该漏洞的CVSS分值。
• 资产漏洞风险值为该资产所有漏洞当中CVSS值最高前十的总和，即资产漏洞风险值 = SUM (TOP10 漏洞CVSS评分）。

资产威胁的风险值是如何计算的？

单条威胁的风险值=可信度转换系数 * 关键程度 * 10
其中：

• 可信度转换系数：规则库中定义的高中低可信度，分别对应系数1、0.8、0（高：应用层协议有请求响应，且响应成功的，中：有双向报文的，低：只有单向报文的）
• 关键程度：规则库中根据严重级别定义的，取值区间为1-10（低风险：1-3，中风险：4-6，高风险：7-10）

资产威胁风险值为该资产所有威胁风险值的平均值，即资产威胁风险值=AVG(所有威胁风险值）。

态势感知是否支持接收其他产品的日志？

暂不支持接收其他产品的日志。支持通过API接口方式导出资产、漏洞、威胁数据给第三方平台。

如何确认攻击是否成功？

通过关联分析功能，针对发现的基础威胁事件进行深度挖掘分析，形成一段时间内的威胁攻击链，横向移动、数据外发阶段的安全事件说明相关的源IP资产已经失陷。

还可以通过对威胁事件的原始数据包下载进行分析。

态势感知是监控其他设备的日志吗？

不是，态势感知是通过监控流量来分析是否存在攻击行为。