Cisco Cisco Firepower Management Center 4000 User Guide
37-18
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解和创建文件策略
配置存档文件检查选项
许可证:恶意软件
受支持的设备:除 2 系列或 X -系列外的所有型号
受支持的防御中心:除 DC500 外的所有型号
存档文件 (例如,
.zip
或
.rar
)经常出现在受监控流量中。其中一些可以方便地压缩和传输合
法的信息;另一些可能试图隐藏恶意软件或其他不需要的文件。您可以将您的文件策略配置为检
查存档文件的内容,这样就可以根据贵组织的需求分析和 (可选)阻止存档文件。所有适用于未
压缩的文件的功能 (例如,动态分析和文件存储)也适用于存档文件中的嵌套文件。您可以从事
件查看器或文件轨迹查看器使用上下文菜单查看存档文件的内容;有关详细信息,请参阅以下部
分:
查存档文件的内容,这样就可以根据贵组织的需求分析和 (可选)阻止存档文件。所有适用于未
压缩的文件的功能 (例如,动态分析和文件存储)也适用于存档文件中的嵌套文件。您可以从事
件查看器或文件轨迹查看器使用上下文菜单查看存档文件的内容;有关详细信息,请参阅以下部
分:
注
如果包含存档文件的流量被安全情报列入黑名单或白名单,或者,如果顶级存档文件的 SHA -
256 值在自定义检测列表中,则系统将不检查该存档文件的内容。如果嵌套文件被列入黑名单,
则整个存档也将被阻止;但是,如果嵌套文件被列入白名单,则存档不会自动通过 (取决于任何
其他嵌套文件和特性)。有关详细信息,请参阅
256 值在自定义检测列表中,则系统将不检查该存档文件的内容。如果嵌套文件被列入黑名单,
则整个存档也将被阻止;但是,如果嵌套文件被列入白名单,则存档不会自动通过 (取决于任何
其他嵌套文件和特性)。有关详细信息,请参阅
某些存档文件包含其他的存档文件 (以此类推)。文件嵌套的级别是其
存档文件深度。请注意,
深度计数中未计入顶级存档文件;深度从 1 (第一级嵌套文件)开始。虽然系统最多只能检查 3
级嵌套存档文件,但是可以将文件策略配置为阻止超过该深度 (或指定的较低最文件深度)的存
档文件。如果要进一步限制嵌套文件,则可以选择配置较低的最大文件深度 (2 或 1)。如果您
选择不阻止超过最大存档文件深度 3 的文件,当受监控流量中出现包含某些可提取内容和某些嵌
套深度为 3 或更大值的内容的存档文件时,系统仅检查其能够检查的文件并报告相关数据。
级嵌套存档文件,但是可以将文件策略配置为阻止超过该深度 (或指定的较低最文件深度)的存
档文件。如果要进一步限制嵌套文件,则可以选择配置较低的最大文件深度 (2 或 1)。如果您
选择不阻止超过最大存档文件深度 3 的文件,当受监控流量中出现包含某些可提取内容和某些嵌
套深度为 3 或更大值的内容的存档文件时,系统仅检查其能够检查的文件并报告相关数据。
将根据存档文件包含的文件性质赋予其性质。对于包含已确定的恶意软件文件的所有存档,将赋
予其
予其
Malware
性质。对于不含已确定恶意软件文件的存档,如果其包含任何未知文件,则其性质
为
Unknown
;如果其仅包含安全文件,则其性质为
Clean
。有关文件性质的详细信息,请参阅
。
下表列出了可在您的文件策略中配置的存档文件检查选项。
要配置存档文件检查选项,请执行以下操作:
访问:管理员/访问管理员
步骤 1
选择
Policies > Files
。
系统将显示 File Policies 页面。
表
37-8
存档文件检查选项
字段
说明
默认值
Inspect Archives
选择此选项可检查存档文件的内容。如果取消选择此选项,下面的选项将变
灰且不可用。
灰且不可用。
禁用
Block Encrypted Archives
选择此选项可阻止包含加密内容的存档文件。
禁用
Block Uninspectable Archives
选择此选项可阻止系统因加密以外的其他原因无法检查其内容的存档文件
(这通常适用于以某种方式被毁损的文件,或超过指定的最大存档深度的存
档文件)。
启用
Max Archive Depth
指定嵌套存档文件的最大深度。超过此深度的存档文件将被阻止。值必须是
1
、
2
或
3
。此计数中未计入顶级存档文件;深度从 1 (第一级嵌套文件)开始。
2