Cisco Cisco Firepower Management Center 2000 User Guide
37-4
FireSIGHT 系统用户指南
第 37 章 阻止恶意软件和禁止的文件
了解恶意软件防护和文件控制
根据文件性质,防御中心指示受管设备阻止文件或者允许上传或下载文件。请注意,如果档案文
件中的任何嵌套文件被阻止,系统将阻止整个档案文件。为了提高性能,如果系统根据 SHA-256
已经知道文件的性质,防御中心会使用缓存的性质而不是查询思科云。
件中的任何嵌套文件被阻止,系统将阻止整个档案文件。为了提高性能,如果系统根据 SHA-256
已经知道文件的性质,防御中心会使用缓存的性质而不是查询思科云。
请注意,文件性质可以更改。例如,云可以确定先前被视为安全的文件现在被识别为恶意软件,
或者正好相反,以前被识别为恶意软件的文件实际上是安全的。如果上一周对其执行了恶意软件
查找的文件的性质发生变化,云会通知防御中心,因此系统在下次检测到该文件进行传输时可以
采取适当措施。已更改的文件性质称为
或者正好相反,以前被识别为恶意软件的文件实际上是安全的。如果上一周对其执行了恶意软件
查找的文件的性质发生变化,云会通知防御中心,因此系统在下次检测到该文件进行传输时可以
采取适当措施。已更改的文件性质称为
追溯性性质。
从恶意软件云查找返回的文件性质以及任何关联的威胁评分都具有生存时间 (TTL) 值。在 TTL 值
中指定的持续时间内保持某种文件性质而无更新后,系统会清除缓存的信息。性质及关联的威胁
评分具有以下 TTL 值:
中指定的持续时间内保持某种文件性质而无更新后,系统会清除缓存的信息。性质及关联的威胁
评分具有以下 TTL 值:
•
Clean - 4 小时
•
Unknown - 1 小时
•
Malware - 1 小时
如果缓存的恶意软件云查找识别出已超时的缓存性质,系统会执行新查找以确定文件性质。
了解文件控制
如果贵组织不仅要阻止恶意软件文件的传输,还要阻止所有特定类型的文件的传输 (无论文件是
否包含恶意软件),则可通过
否包含恶意软件),则可通过
文件控制功能来做到这一点。与恶意软件防护一样,受管设备也会
监控特定文件类型传输的网络流量,然后阻止或允许文件。
系统可以检测恶意软件的所有文件类型以及许多其他文件类型都支持文件控制。这些文件类型分
为三类:基本类别,包括多媒体 (swf 和 mp3);可执行文件 (exe 和 torrent);以及 PDF。请
注意,与恶意软件防护不同,文件控制不需要思科云的查询。
为三类:基本类别,包括多媒体 (swf 和 mp3);可执行文件 (exe 和 torrent);以及 PDF。请
注意,与恶意软件防护不同,文件控制不需要思科云的查询。
使用捕获文件、文件事件和恶意软件事件进行分析
传输或阻止文件后,系统会生成恶意软件和文件事件。它还会收集有关受管设备捕获的所有文件
的信息。可以使用防御中心的网络界面查看这些事件和信息。此外, Context Explorer 和控制面板
提供贵组织检测到的文件 (包括恶意软件文件)的不同类型的高级视图。
的信息。可以使用防御中心的网络界面查看这些事件和信息。此外, Context Explorer 和控制面板
提供贵组织检测到的文件 (包括恶意软件文件)的不同类型的高级视图。
要使分析更具针对性,可以通过
网络文件轨迹功能跟踪个别文件的传输路径。文件的轨迹页面显
示有关文件的摘要信息、文件的主机间传输 (包括受阻传输)的图形映射,以及与这些文件的检
测或阻止相关联的恶意软件或文件事件的列表。
测或阻止相关联的恶意软件或文件事件的列表。
请注意:由于既不能对 DC500 使用恶意软件许可证,也不能在 2 系列设备或 用于 Blue Coat X-系
列的思科 NGIPS上启用恶意软件许可证,因此,您无法使用这些设备捕获或阻止个别文件,提交
文件供动态分析,或者查看您为其执行恶意软件云查找的文件的文件轨迹。
列的思科 NGIPS上启用恶意软件许可证,因此,您无法使用这些设备捕获或阻止个别文件,提交
文件供动态分析,或者查看您为其执行恶意软件云查找的文件的文件轨迹。
有关详细信息,请参阅以下各节:
•
•
•
•
•