Cisco Cisco Firepower Management Center 4000 User Guide
第
章
37-1
FireSIGHT 系统用户指南
37
阻止恶意软件和禁止的文件
恶意软件可以通过多种途径进入企业网络。为了帮助您识别和减轻恶意软件的影响, FireSIGHT
系统的文件控制、网络文件轨迹和高级恶意软件防护组件可以检测、跟踪、存储、分析并或者阻
止恶意软件及其他类型的文件在网络流量中的传输。该系统还可以对档案文件 (例如,档案文件
格式
系统的文件控制、网络文件轨迹和高级恶意软件防护组件可以检测、跟踪、存储、分析并或者阻
止恶意软件及其他类型的文件在网络流量中的传输。该系统还可以对档案文件 (例如,档案文件
格式
.zip
或
.rar
)中的嵌套文件进行分析和操作。
您可以配置系统执行恶意软件防护和文件控制,将其作为整体访问控制配置的一部分。您创建并
与访问控制规则关联的
与访问控制规则关联的
文件策略会处理与规则匹配的网络流量。您可以下载在这些流量中检测到
的文件,然后将其提交到思科的恶意软件感知网络 (称为
综合安全智能云)来对文件的签名进行
动态分析,从而确定其是否包含恶意软件。
Context Explorer 和控制面板提供在贵组织的网络流量中检测到的文件 (包括恶意软件文件)的
不同类型的高级视图。要使分析更具针对性,可以使用恶意软件文件的
不同类型的高级视图。要使分析更具针对性,可以使用恶意软件文件的
网络文件轨迹页面跟踪个
别威胁随时间推移跨主机进行的传播,从而在最有用的方面集中开展爆发控制和防御工作。
虽然您可以使用任何许可证创建文件策略,但是恶意软件防护和文件控制的某些方面要求在目标
设备上启用特定获许可功能,如下表所述。
设备上启用特定获许可功能,如下表所述。
如果贵组织有订用 FireAMP,则防御中心还可以接收来自公共思科云的基于终端的恶意软件检测
数据。防御中心呈现这些数据以及系统生成的基于网络的任何文件和恶意软件数据。除您的
FireAMP订阅外,导入FireAMP数据无需许可证。有关详细信息,请参阅
数据。防御中心呈现这些数据以及系统生成的基于网络的任何文件和恶意软件数据。除您的
FireAMP订阅外,导入FireAMP数据无需许可证。有关详细信息,请参阅
。
对于基于文件和恶意软件云的功能,如果贵组织要求更高的安全性或希望限制外部连接,则可使
用 FireAMP 私有云 (而不是标准云连接)。所有文件和恶意软件云查找,以及从FireAMP终端的
事件数据收集和中继,均将通过私有云处理;当私有云与公共思科云联系时,它会通过不传输终
端事件数据的匿名代理连接执行相关处理。
用 FireAMP 私有云 (而不是标准云连接)。所有文件和恶意软件云查找,以及从FireAMP终端的
事件数据收集和中继,均将通过私有云处理;当私有云与公共思科云联系时,它会通过不传输终
端事件数据的匿名代理连接执行相关处理。
表
37-1
入侵和文件检查的许可证和设备要求
特性
说明
添加该许可证...
至其中一个防御
中心...
中心...
并在其中一个设备上
启用它...
启用它...
入侵预防
检测和 (可选)阻止入侵和漏洞
保护
任何环境
任何环境
文件控制
检测和 (可选)阻止文件类型传输 保护
任何环境
任何环境
高级恶意软件防护
(AMP)
(AMP)
检测、存储、跟踪和 (可选)阻止
恶意软件传输
恶意软件传输
将捕获的文件提交到思科云进行恶
意软件分析
意软件分析
恶意软件
除 DC500 外的
所有型号
所有型号
除 2 系列或 X -系列外
的所有型号
的所有型号