Cisco Cisco Firepower Management Center 4000 User Guide

40-14

FireSIGHT 系统用户指南

第 40 章      分析恶意软件和文件活动       

  使用恶意软件事件

有关文件事件的专用搜索语法，请参阅

有关与公共密钥证书相关的字段，请参阅

步骤 4

如果您计划保存搜索，也可以选择 

 复选框，将搜索保存为私有，这样就只有您可以访问

它。否则，请清除此复选框，将搜索保存为适用于所有用户。

提示

如想要使用搜索作为对自定义用户角色的数据限制，必须将其另存为私有搜索。

步骤 5

或者，您可以保存搜索，以备以后使用。您有以下选项：

点击 

，保存搜索条件。

对于新的搜索，系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名
称，然后点击 

。如果为之前即已存在的搜索保存新的条件，则不会显示提示。搜索保存

成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。

点击 

 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。

系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名称，然后点击 

。

搜索保存成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。

步骤 6

点击 

 开始搜索。

搜索结果出现在默认文件事件工作流程内并受当前时间范围限制。

使用恶意软件事件

许可证：恶意软件或任意

受支持的设备：因功能而异

受支持的防御中心：因功能而异

在以下情况中系统将恶意软件事件记录在防御中心数据库内：

受管设备在网络流量中检测文件，并通过恶意软件云查找确认其为恶意软件

受管设备在网络流量中检测到自定义检测列表内的文件

系统发现文件的恶意软件性质已经变更，这些称为追溯性恶意软件事件

安装在您所在组织终端的 FireAMP 连接器检测到威胁并告知思科云

由于 FireAMP 恶意软件检测是在下载或执行时在终端执行，而受管设备在网络流量中检测文件，
因此这些恶意软件事件中的信息有所不同。追溯性恶意软件事件所含数据与其他基于网络的恶意
软件事件或基于终端的恶意软件事件也略有不同。

以下各节简要介绍不同类别恶意软件事件。有关整体恶意软件检测流程的信息，请参阅

基于终端 (FireAMP) 的恶意软件事件

如果您所在组织已有 FireAMP 订用，个人用户可以在其计算机和移动设备上安装 FireAMP 连接
器。这些轻量级代理与思科云通信，云则与您的防御中心通信；请参阅

。云可以发送威胁通知以及其他各类信息，包括扫描、隔离、阻止处置和云

召回相关数据。防御中心将该信息作为恶意软件事件记录在其数据库上。