Cisco Cisco Firepower Management Center 4000 User Guide
40-2
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件存储
使用文件存储
许可证:恶意软件
受支持的设备:任何设备, 2 系列或X -系列除外
受支持的防御中心:除 DC500 外的所有型号
根据文件策略配置,您可以使用文件控制功能检测和阻止文件。但是,来自可疑主机或网络的文
件或者发送至您网络上受监控主机的多余文件可能需要进一步分析。通过文件存储功能,您可以
捕获在流量中检测到的选定文件,并自动将其存储至设备硬盘驱动器或 (如果已安装)恶意软件
存储包内。
件或者发送至您网络上受监控主机的多余文件可能需要进一步分析。通过文件存储功能,您可以
捕获在流量中检测到的选定文件,并自动将其存储至设备硬盘驱动器或 (如果已安装)恶意软件
存储包内。
当设备在流量中检测到文件时,它可以捕获该文件。这将创建一个副本,系统可以存储或者提交
该副本以进行动态分析。在设备捕获文件后,您有若干选择:
该副本以进行动态分析。在设备捕获文件后,您有若干选择:
•
将捕获文件存储至设备硬盘驱动器中供后期分析使用。有关详情,请参见
。
•
。
•
将捕获文件提交给综合安全智能云进行动态分析。有关详情,请参见
。
请注意,文件存储在设备中之后,如果未来检测到该文件且设备仍存有该文件,则不会再捕获该
文件。
文件。
注
防御中心完成云查找后,首次检测到的文件将分配有一个性质。除非文件立即分配有一个性质,
否则系统将生成一个文件事件,但是无法存储文件。
如果之前未检测到的文件与具有阻止恶意软件操作的文件规则相匹配,则随后的云查找将立即返
回性质,从而使系统可以存储文件并生成事件。
如果之前未检测到文件与具有恶意软件云查找操作的文件规则相匹配,则系统将生成文件事件,
但需要额外的时间执行云查找并返回性质。由于这种延迟,系统无法存储与具有恶意软件云查找
操作的文件规则想匹配的文件,直到在网络上第二次看到这些文件。
否则系统将生成一个文件事件,但是无法存储文件。
如果之前未检测到的文件与具有阻止恶意软件操作的文件规则相匹配,则随后的云查找将立即返
回性质,从而使系统可以存储文件并生成事件。
如果之前未检测到文件与具有恶意软件云查找操作的文件规则相匹配,则系统将生成文件事件,
但需要额外的时间执行云查找并返回性质。由于这种延迟,系统无法存储与具有恶意软件云查找
操作的文件规则想匹配的文件,直到在网络上第二次看到这些文件。
无论系统捕获还是存储文件,您都可以:
•
从事件查看器中审查捕获文件的信息,包括文件是否存储或提交用于动态分析、文件性质和
威胁评分,以便迅速查看网络中检测到的恶意软件潜在威胁。有关详情,请参见
威胁评分,以便迅速查看网络中检测到的恶意软件潜在威胁。有关详情,请参见
。
•
查看文件轨迹,确定其如何穿过网络以及哪些主机有副本。有关详情,请参见
。
•
向清空列表或自定义检测列表添加文件,以便在未来检测过程中始终将该文件作为清空或恶
意软件性质。有关详情,请参见
意软件性质。有关详情,请参见
。
您可以在文件策略中配置文件规则,以便捕获并存储特定类型或者具有特定文件性质的文件 (如
有)。如果将该文件策略与访问控制策略相关联,并将其应用于设备上,则系统将捕获并存储流
量中的匹配文件。还可以限制要存储的最小和最大文件大小。有关详细信息,请参阅
有)。如果将该文件策略与访问控制策略相关联,并将其应用于设备上,则系统将捕获并存储流
量中的匹配文件。还可以限制要存储的最小和最大文件大小。有关详细信息,请参阅
和
文件存储需要设备上有足够的磁盘空间。如果设备主硬盘驱动器空间不足,而且未安装恶意软件
存储包,则无法在设备上存储文件。
存储包,则无法在设备上存储文件。