Cisco Cisco Firepower Management Center 4000 User Guide
40-4
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用动态分析
由于恶意软件有害,默认情况下,您必须在每次下载文件时进行确认。但是您可以禁用文件下载
确认提示。要重新启用确认,请参阅
确认提示。要重新启用确认,请参阅
注意事项
思科强烈建议您不要下载恶意软件,否则可能造成不利后果。下载任何文件时请保持谨慎,这些
文件可能包含恶意软件。确保您在下载文件前已采取各种必要预防措施保证下载目标安全。
文件可能包含恶意软件。确保您在下载文件前已采取各种必要预防措施保证下载目标安全。
因为性质为 Unknown 的文件可能包含恶意软件,当您下载文件时,系统会首先将该文件存档至
.zip
压缩包。
.zip
文件名包含文件性质和文件类型 (如有)以及 SHA-256 值。您可以对
.zip
文
件采用密码保护以防意外解压缩。要编辑或删除默认
.zip
文件密码,请参阅
使用动态分析
许可证:恶意软件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
要增加云准确性并提供额外的恶意软件分析和威胁识别,可以向思科云提供合格捕获文件用于动
态分析。云在测试环境中运行文件,并根据结果向防御中心返回威胁评分和动态分析总结报告。
您也可以向云提交合格文件进行 Spero 分析,检查文件结构以便补充恶意软件识别。
态分析。云在测试环境中运行文件,并根据结果向防御中心返回威胁评分和动态分析总结报告。
您也可以向云提交合格文件进行 Spero 分析,检查文件结构以便补充恶意软件识别。
能够将文件提交到云进行动态分析取决于捕获的文件类型,以及访问控制策略中配置的文件大小
上限和下限。您可以:
上限和下限。您可以:
•
自动提交文件进行动态分析 (如果文件规则在可执行文件上执行并且文件性质为 Unknown)
•
人工一次性提交最多二十五个文件进行动态分析 (如果这些文件已存储并且是受支持的文件
类型,例如 PDF、 Microsoft Office 文档等)
类型,例如 PDF、 Microsoft Office 文档等)
提交后,文件会在云中排队等待分析。您可以查看捕获的文件和文件轨迹,判断文件是否提交用
于动态分析。请注意,每次提交文件进行动态分析时,云都会分析该文件,即使首次分析已经产
生结果。
于动态分析。请注意,每次提交文件进行动态分析时,云都会分析该文件,即使首次分析已经产
生结果。
有关详细信息,请参阅
注
系统会检查云,确定动态分析合格文件类型列表是否更新以及可提交的最小和最大文件大小 (不
超过一日一次)。
超过一日一次)。
云通过在沙盒环境中运行文件来对文件执行动态分析。它将返回:
•
威胁评分,详细介绍文件包含恶意软件的可能性。
•
动态分析总结报告,详细介绍云分配威胁评分的原因。
基于文件策略配置,您可以自动阻止威胁评分超过定义的阈值的文件。您也可以审查动态分析总
结报告,以便更好地识别恶意软件、调整检测功能。
结报告,以便更好地识别恶意软件、调整检测功能。
要补充动态分析,如果文件规则在可执行文件上执行恶意软件云查找,您可以自动提交该文件进
行 Spero 分析。云将检查可执行文件结构 (包括元数据和标题信息),并确定文件为恶意软件。
有关详情,请参见
行 Spero 分析。云将检查可执行文件结构 (包括元数据和标题信息),并确定文件为恶意软件。
有关详情,请参见
请注意,由于无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat X-系
列的思科 NGIPS上启用恶意软件许可证,因此,无法使用这些设备提交文件供动态分析或 Spero
分析。
列的思科 NGIPS上启用恶意软件许可证,因此,无法使用这些设备提交文件供动态分析或 Spero
分析。