Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
37-7
FireSIGHT 系统用户指南 
 
 37       阻止恶意软件和禁止的文件 
  了解恶意软件防护和文件控制  
基于网络的 AMP 与基于终端的 FireAMP
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
下图显示如何能够使用防御中心同时根据基于网络的高级恶意软件防护策略和基于终端的 
FireAMP 策略处理数据。
请注意,由于 FireAMP 恶意软件检测是在下载或执行时于终端处执行,而受管设备在网络流量中
检测恶意软件,因此两种类型的恶意软件事件中的信息不同。例如,基于终端的恶意软件事件包
含有关文件路径、调用客户端应用等等的信息,而网络流量中的恶意软件检测则包含有关用于传
输文件的连接的端口、应用协议和始发 IP 地址信息。
再例如,在基于网络的恶意软件事件中,用户信息向用户展示此用户最近登录的主机是恶意软件
的攻击目标,并且恶意软件是由网络发现功能确定的。另一方面, FireAMP 报告的用户表示用户
当前登录到本地连接器所确定的检测到恶意软件的终端。
在基于终端的恶意软件事件中报告的 IP 地址可能不在网络映射中,甚至可能不在受监控网络中。
根据您的部署、网络架构、合规性级别及其他因素,连接器安装所在的终端与受管设备监控的主
机可能不是相同的主机。
请注意,由于既不能对 DC500 使用恶意软件许可证,也不能在2 系列 设备或 用于 Blue Coat X-系
列的思科 NGIPS上启用恶意软件许可证,因此,您无法使用这些设备捕获或阻止个别文件,提交
文件供动态分析,检查存档文件的内容,或者查看您为其执行恶意软件云查找的文件的轨迹。