Cisco Cisco Firepower Management Center 4000 User Guide
37-13
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
记录捕获文件、文件事件、恶意软件事件和警报
将文件策略与访问控制规则关联时,系统自动为匹配的流量启用文件和恶意软件事件日志记录。
如果文件策略配置为捕获并存储文件,则捕获到文件时系统也会自动启用捕获文件日志记录。系
统在检查文件时,可以生成以下类型的事件:
如果文件策略配置为捕获并存储文件,则捕获到文件时系统也会自动启用捕获文件日志记录。系
统在检查文件时,可以生成以下类型的事件:
•
文件事件,表示检测到的文件或受阻文件,以及检测到的恶意软件文件
•
恶意软件事件,表示检测到的恶意软件文件
•
追溯性恶意软件事件,在先前检测到的文件的 Malware 文件性质发生变化时生成
在文件策略生成文件事件或恶意软件事件或者捕获文件时,无论调用访问控制规则的日志记录配
置如何,系统都会自动将关联的连接端记录到防御中心数据库。
置如何,系统都会自动将关联的连接端记录到防御中心数据库。
注
检查 NetBIOS-ssn (SMB) 流量所生成的文件事件不会立即生成连接事件,因为客户端和服务器构
建一个持久连接。系统在客户端或服务器结束会话之后生成连接事件。
建一个持久连接。系统在客户端或服务器结束会话之后生成连接事件。
对于每个这些连接事件:
•
File
字段包含表示连接中检测到的文件 (包括恶意软件文件)的数量的图标 (
);点击该图
标会显示这些文件的列表,并且对于恶意软件文件还会显示其文件性质。
•
Reason
字段表示记录连接事件的原因,具体取决于文件规则操作:
•
File Monitor
(适用于 Detect Files 和 Malware Cloud Lookup 文件规则以及白名单中的文件)
•
File Block
(适用于 Block Files 或 Block Malware 文件规则)
•
File Custom Detection
(如果系统在自定义检测列表中遇到文件)
•
File Resume Allow
(如果 Block Files 或 Block Malware 文件规则最初阻止文件传输)。应用
允许文件的新访问控制策略后,会自动恢复 HTTP 会话。
•
File Resume Block
(如果 Detect Files 或 Malware Cloud Lookup 文件规则最初允许文件传
输)。应用阻止文件的新访问控制策略后,会自动停止 HTTP 会话。
•
对于已阻止文件或恶意软件的连接,
Action
为
Block。
与 FireSIGHT 系统生成的任何类型的事件相同,您可以使用防御中心的网络界面查看、处理和分
析文件事件及恶意软件事件。您还可以使用恶意软件事件来触发关联策略违例,或者通过邮件、
SMTP 或系统日志向自己发出警报。
析文件事件及恶意软件事件。您还可以使用恶意软件事件来触发关联策略违例,或者通过邮件、
SMTP 或系统日志向自己发出警报。
注
防御中心还可以使用贵组织的FireAMP 订用接收恶意软件事件。由于这些恶意软件事件是在下载
或执行时于终端处生成,因此其信息与基于网络的恶意软件事件中的信息不同。
或执行时于终端处生成,因此其信息与基于网络的恶意软件事件中的信息不同。
有关连接事件、文件事件和恶意软件事件以及这些事件的记录方式的详细信息,请参阅:
•
•
•
•
互联网访问和高可用性
系统使用端口 443 对基于网络的 AMP 执行恶意软件云查找。必须在防御中心上打开该端口(出站)。
高可用性对中的防御中心既不共享云连接,也不共享捕获文件、文件事件和恶意软件事件,但是
共享文件策略和相关配置。为了确保业务连续性并确保在两个防御中心上对检测到文件的恶意软
件的处置一致,主和辅助防御中心必须都有权访问云。
共享文件策略和相关配置。为了确保业务连续性并确保在两个防御中心上对检测到文件的恶意软
件的处置一致,主和辅助防御中心必须都有权访问云。