Cisco Cisco Firepower Management Center 4000 User Guide
40-16
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
在任一种情况下,恶意软件事件
消息
都会显示性质变更方式和时间,例如:
Retrospective Event, Mon Oct 1 20:44:00 2012 (UTC), Old Disp: Unknown, New Disp:
Malware
使用恶意软件事件
您可以使用防御中心事件查看器查看、搜索和删除恶意软件事件。此外,文件控制面板和
Context Explorer 还使用图表提供在网络上检测到的文件 (包括恶意软件文件)相关详细信息大
致概览。网络文件轨迹可更加深入地展现单个恶意软件文件,提供该文件相关信息摘要以及文件
在一段时间内穿过网络的方式。使用恶意软件检测数据,您可以触发关联规则并创建报告,报告
将采用预定义恶意软件报告模板或自定义报告模板。
Context Explorer 还使用图表提供在网络上检测到的文件 (包括恶意软件文件)相关详细信息大
致概览。网络文件轨迹可更加深入地展现单个恶意软件文件,提供该文件相关信息摘要以及文件
在一段时间内穿过网络的方式。使用恶意软件检测数据,您可以触发关联规则并创建报告,报告
将采用预定义恶意软件报告模板或自定义报告模板。
有关详情,请参阅:
•
•
•
查看恶意软件事件
许可证:恶意软件或任意
FireSIGHT 系统事件查看器使您可以在表中查看恶意软件事件,并根据分析相关信息使用事件视
图。请注意,可用于任何个别恶意软件事件的信息取决于多种因素,包括许可证。有关详细信
息,请参阅
图。请注意,可用于任何个别恶意软件事件的信息取决于多种因素,包括许可证。有关详细信
息,请参阅
。
在访问恶意软件事件时看到的页面因工作流程有所不同。工作流程只是一系列页面,您可以从广
泛视图移至更加突出重点的视图,使用这些页面评估事件。系统配备以下预定义恶意软件事件工
作流程:
泛视图移至更加突出重点的视图,使用这些页面评估事件。系统配备以下预定义恶意软件事件工
作流程:
•
恶意软件摘要默认提供检测恶意软件列表并根据各项威胁分组。
•
恶意软件事件摘要提供不同恶意软件事件类型和子类明细。
•
接收文件的主机和发送文件的主机提供已经接收或发送文件的主机列表,该列表已按照这些
文件的相关恶意软件性质进行分组。请注意,只有检测到的作为 Malware Cloud Lookup 或
Block Malware 文件规则结果的文件才会显示文件性质。
文件的相关恶意软件性质进行分组。请注意,只有检测到的作为 Malware Cloud Lookup 或
Block Malware 文件规则结果的文件才会显示文件性质。
•
引入恶意软件的应用程序提供访问或执行您所在组织终端检测到的恶意软件的客户端应用列
表。您可以从该列表中深入探究每个父客户端访问的单独恶意软件文件。
表。您可以从该列表中深入探究每个父客户端访问的单独恶意软件文件。
您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关指定不同默认工作流程 (包
括自定义工作流程)的信息,请参阅
括自定义工作流程)的信息,请参阅
FireSIGHT 系统支持在所有网络界面区域显示和输入使用 Unicode (UTF-8) 字符的文件名,这些区
域包括事件查看器、事件搜索、控制面板、 Context Explorer 等等。但是请注意,您以 PDF 格式
生成的报告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,
请参阅
域包括事件查看器、事件搜索、控制面板、 Context Explorer 等等。但是请注意,您以 PDF 格式
生成的报告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,
请参阅
。
使用事件查看器,您可以:
•
搜索、分类和限制事件,以及变更已显示事件的时间范围
•
指定显示的列 (仅适用于表视图)
•
查看 IP 地址相关主机配置文件,或者与用户标识相关的用户详细信息和主机历史
•
查看检测到具体恶意软件的连接 (仅适用于基于网络的恶意软件事件)
•
查看同一工作流程内使用不同工作流程页面的事件