Cisco Cisco Firepower Management Center 4000 User Guide
40-5
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用动态分析
注
您可以配置受管设备,通过 HTTP 代理向思科云提交文件。要配置物理设备,请参阅
。用于 Blue
Coat X-系列的思科 NGIPS不支持代理设置。
有关详情,请参阅:
•
•
•
了解 Spero 分析
许可证:恶意软件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
Spero 分析可补充 SHA-256 散列的分析结果,允许更完整地识别可执行文件内的恶意软件。Spero
分析需要设备检验文件结构特点,例如元数据和标题信息。基于该信息生成 Spero 签名后,设备
会将其提交给思科云内的 Spero 启发式引擎。基于 Spero 签名,Spero 引擎返回文件是否为恶意软
件的结果。如果是,并且当前文件的文件性质为未知,则系统分配 Malware 文件性质。有关文件
性质的详细信息,请参阅
分析需要设备检验文件结构特点,例如元数据和标题信息。基于该信息生成 Spero 签名后,设备
会将其提交给思科云内的 Spero 启发式引擎。基于 Spero 签名,Spero 引擎返回文件是否为恶意软
件的结果。如果是,并且当前文件的文件性质为未知,则系统分配 Malware 文件性质。有关文件
性质的详细信息,请参阅
请注意,您只能在检测时提交可执行文件进行 Spero 分析;此后将无法人工提交文件。您可以提
交文件进行 Spero 分析,而无需再提交这些文件进行动态分析。有关详细信息,请参阅
交文件进行 Spero 分析,而无需再提交这些文件进行动态分析。有关详细信息,请参阅
提交文件进行动态分析
许可证:恶意软件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
从事件查看器上下文菜单或网络文件轨迹中,您可以人工提交文件进行动态分析。除了可执行文
件,您也可以提交不适合自动提交的文件类型,例如 PDF、 Microsoft Office 文件等。有关详细信
息,请参阅
件,您也可以提交不适合自动提交的文件类型,例如 PDF、 Microsoft Office 文件等。有关详细信
息,请参阅
。
要在事故后分析多个文件,无论文件性质如何,您都可以通过捕获文件视图一次性手动提交最多
25 个文件 (特定类型)。这样允许您更快速地分析多种文件,并准确确定事故具体成因。有关详
细信息,请参阅
25 个文件 (特定类型)。这样允许您更快速地分析多种文件,并准确确定事故具体成因。有关详
细信息,请参阅
和
审查威胁评分和动态分析总结
许可证:恶意软件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
在您提交文件进行动态分析后,思科云分析文件签名并返回威胁评分和动态分析总结。这些有助
您更密切地分析潜在恶意软件威胁并微调检测策略。
您更密切地分析潜在恶意软件威胁并微调检测策略。