Cisco Cisco Firepower Management Center 4000 User Guide
37-6
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解恶意软件防护和文件控制
)生成的基于终端的恶意软件事件不具备对
应文件事件。同样,当系统在网络流量中捕获文件时,也会生成文件事件,因为系统将首先检测
到该文件。
到该文件。
您可以使用防御中心查看、操作和分析捕获的文件、文件事件和恶意软件事件,然后与其他人交
流您的分析结果。 Context Explorer、控制面板、事件查看器、网络文件轨迹映射和报告功能让您
可以更深入地了解检测、捕获和阻止的文件及恶意软件。您也可以使用事件触发关联策略违规或
者通过邮件、 SMTP 或系统日志向您发出警报。有关文件和恶意软件事件的详细信息,请参阅
流您的分析结果。 Context Explorer、控制面板、事件查看器、网络文件轨迹映射和报告功能让您
可以更深入地了解检测、捕获和阻止的文件及恶意软件。您也可以使用事件触发关联策略违规或
者通过邮件、 SMTP 或系统日志向您发出警报。有关文件和恶意软件事件的详细信息,请参阅
和
由于您无法在 DC500 上使用恶意软件许可证,也无法在2 系列 设备或 用于 Blue Coat X-系列的思
科 NGIPS上启用恶意软件许可证,因此,您无法使用这些设备生成或分析与恶意软件云查找或与
存档文件的内容相关联的捕获文件、文件事件和恶意软件事件。
科 NGIPS上启用恶意软件许可证,因此,您无法使用这些设备生成或分析与恶意软件云查找或与
存档文件的内容相关联的捕获文件、文件事件和恶意软件事件。
集成 FireAMP 与 FireSIGHT 系统
许可证:任何环境
FireAMP 是思科的企业级高级恶意软件分析和防护解决方案,用于发现、了解并阻止高级恶意软
件爆发、高级持续威胁和针对性攻击。
件爆发、高级持续威胁和针对性攻击。
如果贵组织有订用 FireAMP,则个人用户可以在终端 (计算机和移动设备)上安装 FireAMP 连
接器。 FireAMP 连接器是一种轻量级代理,具有多种功能,其中包括在执行上传、下载、执行、
打开、复制、移动等操作时检查文件。这些连接器与思科云进行通信,以将确定检查的文件是否
包含恶意软件。
接器。 FireAMP 连接器是一种轻量级代理,具有多种功能,其中包括在执行上传、下载、执行、
打开、复制、移动等操作时检查文件。这些连接器与思科云进行通信,以将确定检查的文件是否
包含恶意软件。
文件被确定为恶意软件后,云会向防御中心发送威胁识别。云还可以向防御中心发送其他类型的信
息,包括有关扫描、隔离、受阻执行和云召回的数据。防御中心将这些信息记录为恶意软件事件。
息,包括有关扫描、隔离、受阻执行和云召回的数据。防御中心将这些信息记录为恶意软件事件。
通过 FireAMP 部署,不仅可以配置防御中心根据恶意软件事件发起的补救和警报,还可以使用
FireAMP 门户 (
FireAMP 门户 (
) 帮助降低恶意软件造成的影响。门户提供稳健灵活的网
络界面,可以通过该界面控制 FireAMP 部署的所有方面并管理爆发的所有阶段。您能够:
•
为整个组织配置自定义恶意软件检测策略和配置文件,以及对所有用户的文件执行快速扫描
和全面扫描
和全面扫描
•
执行恶意软件分析,包括查看热图、详细文件信息、网络文件轨迹和威胁根本原因
•
配置爆发控制的多个方面,包括自动隔离、用于阻止运行非隔离可执行文件的应用阻止,以
及排除列表
及排除列表
•
创建自定义保护,根据组策略阻止某些应用的执行,并创建自定义白名单
有关详细信息,请参阅以下各节:
•
比较了思科产品系列中提供的恶意软
件防护策略。
•
说明如何在防御中心与思科云之间建立通信 (直接建
立通信或通过 FireAMP 私有云连接建立通信)。
提示
有关 FireAMP 的详细信息,请参阅 FireAMP 门户的联机帮助。