Cisco Cisco Firepower Management Center 4000 User Guide

40-27

FireSIGHT 系统用户指南 

第 40 章      分析恶意软件和文件活动 

  使用捕获的文件  

了解捕获的文件表

许可证：恶意软件

当受管设备捕获正在受监控网络流量中传送的文件时，防御中心根据已应用文件策略设置记录日志。

捕获文件表视图是预定义捕获文件工作流程的最终页面，也可以添加到自定义工作流程中，且该
视图为捕获文件表中的每个字段都准备了对应的列。捕获文件表视图中一些字段默认为禁用。要
在会话期间启用一个字段，请点击展开箭头  (

)  展开搜索限制，然后点击 

 下的

列名。下表介绍捕获文件字段。

表 

捕获文件字段 

字段

说明

Last Changed

上一次更新与该文件有关信息的时间。

文件名

最近检测到的与文件 SHA-256 哈希值相关的文件名。

布置

可以为下列文件性质之一：

Malware

 表示云将文件归类为恶意软件，或文件威胁评分超过文件策略定义的恶意软件阈值。

Clean

 表示云将文件归类为安全，或用户将文件添加到安全列表。

Unknown

 表示在云分配性质之前发生恶意软件云查找。文件未分类。

Custom Detection

 表示用户将文件添加到自定义检测列表。

Unavailable

 表示防御中心无法执行恶意软件云查找。您可能看到有一小部分事件具有此

性质，这是预期行为。

N/A

 表示 Detect Files 或 Block Files 规则处理了文件，防御中心不执行恶意软件云查找。

SHA256

文件的 SHA-256 哈希值以及显示最近检测文件事件和文件性质的网络文件轨迹图标。

要查看网络文件轨迹，请点击轨迹图标。有关详细信息，请参阅

。

威胁指数

与此文件相关的最新威胁评分：

Low

 

(

)

Medium

 

(

)

High

 

(

)

Very High

 

(

)

要查看动态分析总结报告，请点击威胁评分图标。

类型

文件类型，例如 

HTML

 或

 MSEXE

。

类别

一般类别文件类型，例如：

Office Documents

、

Archive

、

Multimedia

、

Executables

、

PDF 

files

、

Encoded

、

Graphics

 或 

System Files

。

Storage Status

该文件是否存储于受管设备。