Cisco Cisco Firepower Management Center 4000 Merkblatt
5.3 版
Sourcefire 3D 系统版本说明
3
新增及更新的特性和功能
高级恶意软件防护功能
文件捕获和存储
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、X 系列
支持的防御中心:除
DC500 之外的任何防御中心
文件捕获功能可以根据文件类型或文件性质自动从网络流量中提取感兴趣的文件。
捕获后的文件可存储在本地 FirePOWER 设备中,或者自动提交以使用 Sourcefire
基于云的沙盒技术、动态分析进行其他恶意软件分析。
捕获后的文件可存储在本地 FirePOWER 设备中,或者自动提交以使用 Sourcefire
基于云的沙盒技术、动态分析进行其他恶意软件分析。
文件捕获配置为文件策略的一部分,每个文件都进行 SHA-256 计算,以唯一标识
文件并减少文件存储中的重复项。捕获的文件存储在 FirePOWER 设备的主硬盘驱
动器中。
文件并减少文件存储中的重复项。捕获的文件存储在 FirePOWER 设备的主硬盘驱
动器中。
您可以手动提交捕获的文件进行动态分析,或者通过事件表视图、网络文件轨迹功
能和捕获的文件表视图从 FirePOWER 设备下载它们。
能和捕获的文件表视图从 FirePOWER 设备下载它们。
动态分析、威胁分数和摘要报告
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的任何防御中心
5.3 版引入了动态分析,此功能使您能够使用基于云的技术最大程度地快速识别网
络中新的零日恶意行为。配置后,您可以将性质未知、以前未见过的文件提交到
Sourcefire 云,以深入分析该文件的行为。根据该行为确定威胁分数并传回防御中
心。威胁分数越高,文件就越可能是恶意的。然后,您可根据威胁分数级别采取相
应的措施。
络中新的零日恶意行为。配置后,您可以将性质未知、以前未见过的文件提交到
Sourcefire 云,以深入分析该文件的行为。根据该行为确定威胁分数并传回防御中
心。威胁分数越高,文件就越可能是恶意的。然后,您可根据威胁分数级别采取相
应的措施。
Sourcefire 还提供相关的动态分析摘要报告,列出分析的详细信息以及向该文件分
配相应威胁分数的原因。此附加信息可帮助您识别恶意软件和微调检测功能。
配相应威胁分数的原因。此附加信息可帮助您识别恶意软件和微调检测功能。
您可以将系统配置为自动捕获并发送文件进行动态分析,也可以按需提交文件进行
分析。有关文件捕获功能的详细信息,请参阅第 3 页的
分析。有关文件捕获功能的详细信息,请参阅第 3 页的
。
自定义检测
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的任何防御中心
自定义文件检测可用于识别和阻止在网络中移动的任何文件,即使是 Sourcefire
尚未识别为恶意的文件。您无需云连接即可执行这些查找,因此,自定义文件检测
非常适合于处理您拥有的任何类型的私有情报数据。
尚未识别为恶意的文件。您无需云连接即可执行这些查找,因此,自定义文件检测
非常适合于处理您拥有的任何类型的私有情报数据。
如果您识别出恶意文件,可以将该文件唯一的 SHA-256 值添加到自定义文件检测
列表中,以自动阻止该文件。您可以将自定义检测列表和安全列表配合使用,将特
定文件标记为安全。
列表中,以自动阻止该文件。您可以将自定义检测列表和安全列表配合使用,将特
定文件标记为安全。