Cisco Cisco Firepower Management Center 4000 User Guide
3-29
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用文件列表
借助此变量,可以在流量到达系统之前对流量应用 Berkeley 数据包过滤器 (BPF)。如果
SNORT_BPF 提供访问控制规则,应使用这些规则而不是此变量来强制执行过滤。此变量仅
出现在系统升级之前存在的配置中。
SNORT_BPF 提供访问控制规则,应使用这些规则而不是此变量来强制执行过滤。此变量仅
出现在系统升级之前存在的配置中。
使用文件列表
许可证:恶意软件
受支持的设备:除 2 系列或 X -系列外的所有型号
受支持的防御中心:除 DC500 外的所有型号
如果使用基于网络的高级恶意软件防护 (AMP),而且综合安全智能云错误地识别某个文件的性
质,则可以使用 SHA-256 哈希值将该文件添加到文件列表,以便将来能够更好地检测该文件。根
据文件列表的类型,可以执行以下操作:
质,则可以使用 SHA-256 哈希值将该文件添加到文件列表,以便将来能够更好地检测该文件。根
据文件列表的类型,可以执行以下操作:
•
要好像云已为文件分配了安全性质一样对其进行处理,请将文件添加到
白名单。
•
要好像云已为文件分配了恶意软件性质一样对其进行处理,请将文件添加到
自定义检测列表。
由于您手动指定这些文件的阻止行为,因此,系统将不会执行恶意软件云查找,即使这些文件被
云识别为恶意软件。请注意,必须为文件策略中的某个规则配置
云识别为恶意软件。请注意,必须为文件策略中的某个规则配置
Malware Cloud Lookup
或
Block
Malware
操作和匹配的文件类型,以计算文件的 SHA 值。有关详细信息,请参阅
。
默认情况下,每个文件策略中都包含系统的白名单和自定义检测列表。可以为每个策略选择不使
用这两个列表中的任何一个或者都不使用。
用这两个列表中的任何一个或者都不使用。
注意事项
请勿在白名单中包含实际上是恶意软件的文件。系统不会阻止它们,即使云已为这些文件分配了
恶意软件性质,或者已将它们添加到自定义检测列表。
恶意软件性质,或者已将它们添加到自定义检测列表。
每个文件列表最多可以包含 10000 个唯一的 SHA-256 值。要将文件添加到文件列表,可执行以下
操作:
操作:
•
使用事件查看器上下文菜单添加 SHA-256 值。
•
上传文件,以便系统计算并添加文件的 SHA-256 值。
•
直接输入文件的 SHA-256 值。
•
创建并上传包含多个 SHA-256 值的逗号分隔值 (CSV) 源文件。所有非重复的 SHA-256 值都
将被添加到文件列表。
将被添加到文件列表。
将文件添加到文件列表,编辑文件列表中的 SHA-256 值或删除文件列表中的 SHA-256 值时,必
须重新应用使用该列表的所有访问控制策略,更改才会生效。
须重新应用使用该列表的所有访问控制策略,更改才会生效。
由于将文件添加到文件列表会影响访问控制,因此,必须具有以下其中一种访问权限,才能管理
文件列表的所有方面:
文件列表的所有方面:
•
管理员访问权限
•
网络管理员或访问管理员访问权限(编辑文件列表)、安全审批人访问权限(重新应用访问控
制策略)和安全分析师或安全分析师 (RO) 访问权限(使用 SHA-256 值从事件视图添加文件)
的组合
制策略)和安全分析师或安全分析师 (RO) 访问权限(使用 SHA-256 值从事件视图添加文件)
的组合
•
具有修改访问控制策略权限和对象管理器(编辑文件列表)、应用访问控制策略(重新应用访问
控制策略)和修改文件事件(使用 SHA-256 值从事件视图添加文件)权限的自定义角色;请参
阅
控制策略)和修改文件事件(使用 SHA-256 值从事件视图添加文件)权限的自定义角色;请参
阅