Cisco Cisco Web Security Appliance S670 User Guide
14-8
思科网络安全设备 AsyncOS 8.8 用户指南
第 14 章 文件信誉过滤和文件分析
文件信誉和文件分析报告与跟踪
通过 SHA-256 散列识别文件
由于文件名很容易更改,因此设备会使用安全散列算法 (SHA-256) 为每个文件生成标识符。如
果设备处理具有不同名称的同一文件,则所有实例都被识别为相同的 SHA-256。如果多个设备
处理相同的文件,则该文件的所有实例都具有相同的 SHA-256 标识符。
果设备处理具有不同名称的同一文件,则所有实例都被识别为相同的 SHA-256。如果多个设备
处理相同的文件,则该文件的所有实例都具有相同的 SHA-256 标识符。
在大多数报告中,会按文件的 SHA-256 值 (以缩写的格式)列出文件。要识别与组织中的某个
恶意软件实例关联的文件名,请选择 “报告” (Reporting) > “高级恶意软件保护” (Advanced
Malware Protection),然后点击表格中的 SHA-256 链接。详细信息页面会显示关联文件名。
恶意软件实例关联的文件名,请选择 “报告” (Reporting) > “高级恶意软件保护” (Advanced
Malware Protection),然后点击表格中的 SHA-256 链接。详细信息页面会显示关联文件名。
文件信誉和文件分析报告页面
报告
说明
高级恶意软件防护
(Advanced Malware
Protection)
(Advanced Malware
Protection)
显示由文件信誉服务识别的基于文件的威胁。
要查看尝试访问每个 SHA 的用户以及与该 SHA-256 关联的文件名,
请点击表格中的 SHA-256。
请点击表格中的 SHA-256。
点击 “恶意软件威胁文件详细信息” (Malware Threat File Details) 报
告页面底部的链接,会在网络跟踪中显示在最大可用时间范围内遇到的
该文件的所有实例,不管为该报告选择什么时间范围都是如此。
告页面底部的链接,会在网络跟踪中显示在最大可用时间范围内遇到的
该文件的所有实例,不管为该报告选择什么时间范围都是如此。
对于更改了判定的文件,请参阅 AMP 判定更新报告。这些判定不会反
映在 “高级恶意软件保护” (Advanced Malware Protection) 报告中。
映在 “高级恶意软件保护” (Advanced Malware Protection) 报告中。
注
如果其中一个从压缩或存档文件中提取的文件是恶意文件,则只
有压缩或存档文件的 SHA 值会出现在 “高级恶意软件防护”
(Advanced Malware Protection) 报告中。
有压缩或存档文件的 SHA 值会出现在 “高级恶意软件防护”
(Advanced Malware Protection) 报告中。
文件分析 (File
Analysis)
Analysis)
显示发送进行分析的每个文件的时间和判定 (或临时判定)。
要查看超过 1000 个文件分析结果,请将数据导出为 .csv 文件。
深入查看详细分析结果,包括每个文件的威胁特征和得分。
您还可以搜索云服务以了解有关 SHA 的更多信息。该链接位于结果详
细信息页面上。
细信息页面上。
注
如果从压缩或存档文件中提取的文件已送交进行文件分析,则只
有这些提取的文件的 SHA 值会出现在 “文件分析” (File
Analysis) 报告中。
有这些提取的文件的 SHA 值会出现在 “文件分析” (File
Analysis) 报告中。
AMP 判定更新
(AMP Verdict
Updates)
(AMP Verdict
Updates)
列出由设备处理且在事务处理后已更改判定的文件。有关这种情况的信
息,请参阅
息,请参阅
。
要查看超过 1000 个判定更新,请将数据导出为 .csv 文件。
如果单个 SHA-256 具有多个判定更改,此报告仅会显示最新的判定,
而不是判定历史记录。
而不是判定历史记录。
点击 SHA-256 链接会显示在最大可用时间范围内包括此 SHA-256 的
所有事务的网络跟踪结果,不论为报告选择的是哪种时间范围。
所有事务的网络跟踪结果,不论为报告选择的是哪种时间范围。
要查看特定 SHA-256 在最大可用时间范围内的所有受影响事务邮件
(无论为报告选择时间范围如何),请点击 SHA-256 链接 (“恶意软件
威胁文件” (Malware Threat Files) 页面底部的链接)。