Cisco Cisco Firepower Management Center 2000 User Guide
37-2
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解恶意软件防护和文件控制
有关详细信息,请参阅:
•
•
•
有关评估与恶意软件防护和文件控制相关的事件数据的详细信息,请参阅
了解恶意软件防护和文件控制
许可证:保护、恶意软件或任何
受支持的设备:因功能而异
受支持的防御中心:因功能而异
使用
高级恶意软件防护功能,您可以配置 FireSIGHT 系统来检测、存储、跟踪、分析并选择性地
阻止网络上传输的恶意软件文件,如下图所示。
系统可以检测并或者阻止多种类型的文件(包括 PDF、Microsoft Office 文档及其他)中的恶意软
件。受管设备监控这些文件类型传输的基于应用协议的特定网络流量。设备检测到合格文件时,
它可以将该文件的 SHA-256 哈希值发送到 防御中心,后者然后使用这些信息执行恶意软件云查
找。根据这些结果,思科云将文件性质返回到防御中心。
件。受管设备监控这些文件类型传输的基于应用协议的特定网络流量。设备检测到合格文件时,
它可以将该文件的 SHA-256 哈希值发送到 防御中心,后者然后使用这些信息执行恶意软件云查
找。根据这些结果,思科云将文件性质返回到防御中心。
系统在网络流量中检测到文件时,
文件存储功能允许设备将合格文件存储到硬盘或恶意软件存储
包。对于性质为 Unknown 的可执行文件,无论设备是否存储文件,设备都可以提交该文件进行
动态分析。云返回到防御中心:
动态分析。云返回到防御中心:
•
威胁评分,指明文件包含恶意软件的可能性;以及
•
动态分析摘要报告,详述为云分配该威胁评分的原因。
如果文件是合格的可执行文件,则设备还可以对文件结构执行 Spero 分析,并将产生的 Spero 签
名提交到云。云使用该签名对动态分析进行补充,从而确定文件是否是恶意软件。
名提交到云。云使用该签名对动态分析进行补充,从而确定文件是否是恶意软件。