Cisco Cisco Firepower Management Center 4000 User Guide
40-30
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用网络文件轨迹
步骤 5
或者,您可以保存搜索,以备以后使用。您有以下选项:
•
点击
Save
,保存搜索条件。
对于新的搜索,系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名
称,然后点击
称,然后点击
Save
。如果为之前即已存在的搜索保存新的条件,则不会显示提示。搜索保存
成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。
•
点击
Save as New
可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。
系统将显示一个对话框,提示您提供搜索的名称;请输入一个唯一的搜索名称,然后点击
Save
。
搜索保存成功 (如果您选择了
Private
,则只对您的帐户显示),您以后可以运行此搜索。
步骤 6
点击
Search
开始搜索。
搜索结果出现在默认的捕获文件工作流程内,并受当前时间范围限制。
使用网络文件轨迹
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
网络文件轨迹功能映射出主机怎样在网络中传送文件,包括恶意软件文件。您可以使用此映射确
定哪些主机可能已转移恶意软件、哪些主机存有风险并观察文件传送趋势。
定哪些主机可能已转移恶意软件、哪些主机存有风险并观察文件传送趋势。
轨迹映射以图表形式展示文件传输数据、文件性质以及是否阻止文件传送或是否隔离文件。构建
映射的数据可来自基于网络的恶意软件事件 (系统执行恶意软件云查找并返回恶意软件性质的任
何文件事件)和与检测和阻止恶意软件有关的基于终端的某些恶意软件事件 (任何检出威胁或隔
离威胁的事件类型)。数据点之间的垂直线代表文件在主机之间传送。连接数据点的水平线表示
随时间推移的主机文件活动。
映射的数据可来自基于网络的恶意软件事件 (系统执行恶意软件云查找并返回恶意软件性质的任
何文件事件)和与检测和阻止恶意软件有关的基于终端的某些恶意软件事件 (任何检出威胁或隔
离威胁的事件类型)。数据点之间的垂直线代表文件在主机之间传送。连接数据点的水平线表示
随时间推移的主机文件活动。
对于系统可执行恶意软件云查找的任何文件类型,您可以跟踪该文件类型的传送。要直接访问文
件轨迹,可使用 Network File Trajectory List 页面 (
件轨迹,可使用 Network File Trajectory List 页面 (
Analysis > Files > Network File Trajectory
) 定位特定文
件。此外,如果您正在分析入侵且需要审查相关文件的轨迹,您可以从 Context Explorer、控制面
板或者连接、文件或恶意软件事件的事件视图中访问该文件轨迹。
板或者连接、文件或恶意软件事件的事件视图中访问该文件轨迹。
单一轨迹映射显示的数据取决于设备中应用的许可证。下表列出了跟踪不同类型文件轨迹所必须
的许可证。
的许可证。
有关详情,请参见
请注意,因为您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备捕获、存储或阻止个别
文件、提交文件供动态分析、查看存档文件内容、或查看执行了恶意软件云查找的文件的轨迹。
但是,您仍然可以查看基于终端的威胁和隔离跟踪文件轨迹
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备捕获、存储或阻止个别
文件、提交文件供动态分析、查看存档文件内容、或查看执行了恶意软件云查找的文件的轨迹。
但是,您仍然可以查看基于终端的威胁和隔离跟踪文件轨迹
表
40-6
网络文件轨迹许可证要求
要查看......
您需要以下许可证...
基于网络的文件和恶意软件轨迹
恶意软件
基于终端的威胁和隔离跟踪
任意 (您必须有一种 FireAMP 订用)