Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
40-8
FireSIGHT 系统用户指南
  
 40       分析恶意软件和文件活动       
  使用文件事件
  •
查看文件轨迹
  •
向文件列表增加文件、下载文件、提交文件进行动态分析,或查看文件 SHA-256 值完整文本
  •
查看文件动态分析总结报告 (如有)
  •
查看存档文件中嵌套的文件
  •
使用当前限制创建报告模板
  •
从数据库中删除事件
  •
使用 IP 地址上下文菜单定制白名单、黑名单或者获取文件事件相关主机或 IP 地址的其他可
用信息
有关使用事件查看器的详细信息,包括创建自定义工作流程,请参阅
要快速查看检测到具体文件的连接,使用事件查看器内复选框选择文件,然后从 
Jump to
 下拉列表
中选择 
Connections Events
。有关详细信息,请参阅
要查看文件事件,请执行以下操作:
访问:管理员/任何安全分析师 
步骤 1
选择 
Analysis > Files > File Events
系统将显示默认文件事件工作流程首页。有关所显示的列的信息,请参阅
了解文件事件表
许可证:保护
防御中心将按照适用文件策略设置,在受管设备检测或阻止受监控网络流量内正在传送的文件
时,记录文件事件。
文件事件表视图是预定义文件事件工作流程中的最终页面,您可以在自定义工作流程中该视图,
视图中包括文件表内各字段的列。文件事件表视图内一些字段默认为禁用。要在会话期间启用一
个字段,请点击展开箭头  (
)  展开搜索限制,然后点击 
Disabled Columns
 下的列名。
请记住,可用于任何个别文件事件的信息取决于多种因素,包括许可证。例如,尽管您可以仅使
用一个保护许可证执行文件控制,您也可以通过一个恶意软件许可证对特定文件类型执行高级恶
意软件防护并跟踪网络中传送的文件。
下表介绍文件事件字段。
表 
40-2
文件事件字段 
字段
说明
时间
事件生成的日期和时间。
操作
检测文件的文件策略规则相关操作以及相关文件操作选项。
Sending IP
发送检测文件的主机 IP 地址。
Sending Country
发送检测文件的主机所在国家/地区。
请注意, DC500 防御中心不支持此功能。