Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
40-21
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
恶意软件事件类型
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
对于基于网络的恶意软件事件,事件类型可以是:
•
网络文件传送中检出威胁
•
网络文件传送 (回溯)中检出威胁
基于终端的恶意软件事件可能具有任何以下类型:
•
执行受阻
•
云召回隔离
•
云召回隔离尝试失败
•
开始云召回隔离
•
从隔离中恢复云召回
•
从隔离中恢复云召回失败
•
从隔离中恢复云召回启动
•
FireAMP IOC
•
隔离失败
•
恢复隔离项目
•
恢复隔离失败
•
开始恢复隔离
•
扫描完成,未检出
•
扫描完成,检出
•
扫描失败
通信
恶意软件事件相关的任何其他信息。
对于基于网络的恶意软件事件,该字段仅在文件性质发生变
更的文件中填充;有关信息,请参阅
更的文件中填充;有关信息,请参阅
。
是
是
否
FireAMP Cloud
产生事件的 FireAMP 云名称。
否
是
否
设备
对于基于网络的恶意软件事件,显示检测到恶意软件文件的
设备名称。
设备名称。
对于基于终端的恶意软件事件和云生成的追溯性恶意软件事
件,显示防御中心名称。
件,显示防御中心名称。
是
是
是
安全情景
识别流量通过的虚拟防火墙组的元数据。请注意,系统仅对
多情景模式下的 ASA FirePOWER 设备填充此字段。
多情景模式下的 ASA FirePOWER 设备填充此字段。
是
是
是
计数
与各行信息匹配的事件数量。当您应用了将创建两个或两个
以上相同行的限制后将显示该字段。
以上相同行的限制后将显示该字段。
不适用
不适用
不适用
表
40-3
恶意软件事件字段 (续)
字段
说明
网络
终端
云
追溯性
追溯性