Cisco Cisco Firepower Management Center 2000 User Guide
37-3
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解恶意软件防护和文件控制
如果文件在云中具有据您所知是不正确的处理,则可向文件列表中添加该文件的 SHA-256 值。
•
要好像云已为文件分配了安全性质一样对其进行处理,请将文件添加到
白名单。
•
要好像云已为文件分配了恶意软件性质一样对其进行处理,请将文件添加到
自定义检测列表。
如果系统在文件列表中检测到文件的 SHA-256 值,会采取适当措施而不执行恶意软件查找或检查
文件性质。请注意,必须为文件策略中的某个规则配置
文件性质。请注意,必须为文件策略中的某个规则配置
Malware Cloud Lookup
或
Block Malware
操作
和匹配的文件类型,以计算文件的 SHA 值。可以按文件策略启用白名单或自定义检测列表。有
关管理文件列表的详细信息,请参阅
关管理文件列表的详细信息,请参阅
。
系统可以检查并阻止存档文件内的嵌套文件 (例如,
.zip
或
.rar
存档文件),与其分析和处理
正常的未压缩文件一样。但是,请注意,如果系统阻止任何嵌套文件,它也会阻止包含该文件的
整个存档文件。系统可以检查最外层存档文件 (级别为 0)以下的最多 3 级嵌套文件。您可以将
文件策略配置为阻止超过指定嵌套级数的存档文件 (最多 3 级)。
整个存档文件。系统可以检查最外层存档文件 (级别为 0)以下的最多 3 级嵌套文件。您可以将
文件策略配置为阻止超过指定嵌套级数的存档文件 (最多 3 级)。
您还可以将文件策略配置为阻止内容已加密或无法检查的存档文件。有关存档文件检查的详细信
息,请参阅
息,请参阅
要检查或阻止文件,必须在应用策略的受管设备上启用保护许可证。要存储文件,对其执行恶意
软件云查找并选择性地阻止恶意软件文件,将文件提交到云进行动态分析,或者将文件添加到文
件列表,还必须为这些设备启用恶意软件许可证。
软件云查找并选择性地阻止恶意软件文件,将文件提交到云进行动态分析,或者将文件添加到文
件列表,还必须为这些设备启用恶意软件许可证。
了解文件性质
系统根据思科云返回的性质来确定文件性质。由于向文件列表中进行添加或由于威胁评分,文件
可具有思科云返回的以下文件性质之一:
可具有思科云返回的以下文件性质之一:
•
Malware
表示云将文件归类为恶意软件,或文件威胁评分超过文件策略定义的恶意软件阈值。
•
Clean
表示云将文件归类为安全,或用户将文件添加到安全列表。
•
Unknown
表示在云分配性质之前发生恶意软件云查找。云尚未将文件分类。
•
Custom Detection
表示用户将文件添加到自定义检测列表。
•
Unavailable
表示防御中心无法执行恶意软件云查找。您可能看到有一小部分事件具有此性
质,这是预期行为。
提示
如果在很短时间内连续遇到若干个
Unavailable
恶意活动,请检查您的云连接和端口配置。有关
详细信息,请参阅
。
列出
了存档文件接收的、用于存档包含的文件的不同可能组合的性质。对于包含已确定的恶意软件文
件的所有存档,将赋予其
件的所有存档,将赋予其
Malware
性质。对于不含已确定恶意软件文件的存档,如果其包含任何
未知文件,则其性质为
Unknown
;如果其仅包含安全文件,则其性质为
Clean
。有关存档文件检查
的详细信息,请参阅
。存档文件与其他文件一样可以具有
Custom Detection
或
Unavailable
性质 (如果符合这些性质的条件)。
表
37-2
按内容划分的存档文件性质
存档文件性质
未知文件数
安全文件数
恶意软件文件数
未知
1 个或多个
任何环境
0
清洁能源
0
1 个或多个
0
恶意软件
任何环境
任何环境
1 个或多个