Cisco Cisco Firepower Management Center 2000 User Guide
第
章
40-1
FireSIGHT 系统用户指南
40
分析恶意软件和文件活动
防御中心将系统文件检查和处理的记录作为捕获文件、文件事件和恶意软件事件进行记录:
•
捕获文件表示系统捕获的文件。
•
文件事件表示系统在网络流量中检测到并或者被阻止的文件。
•
恶意软件事件表示系统在网络流量中检测到并或者被阻止的恶意软件文件。
•
追溯性恶意软件事件表示恶意软件文件的性质已更改的文件。
当系统基于对网络流量中恶意软件的检测或阻止生成恶意软件事件时,也会生成文件事件,因为要
在文件中检测恶意软件,系统必须首先检测该文件本身。请注意, FireAMP 连接器 (请参阅
在文件中检测恶意软件,系统必须首先检测该文件本身。请注意, FireAMP 连接器 (请参阅
)生成的基于终端的恶意软件事件不具备对应文件事
件。同样,当系统在网络流量中捕获文件时,也会生成文件事件,因为系统将首先检测到该文件。
您可以使用防御中心查看、操作和分析捕获的文件、文件事件和恶意软件事件,然后与其他人交
流您的分析结果。通过 Context Explorer、控制面板、事件查看器、上下文菜单、网络文件轨迹映
射和报告功能,您可以更深入了解检测、捕获及阻止的文件和恶意软件。您也可以使用事件触发
关联策略违规或者通过邮件、 SMTP 或系统日志向您发出警报。
流您的分析结果。通过 Context Explorer、控制面板、事件查看器、上下文菜单、网络文件轨迹映
射和报告功能,您可以更深入了解检测、捕获及阻止的文件和恶意软件。您也可以使用事件触发
关联策略违规或者通过邮件、 SMTP 或系统日志向您发出警报。
由于您无法在 DC500 上使用恶意软件许可证,也无法在2 系列设备或用于 Blue Coat X-系列的思
科 NGIPS上启用恶意软件许可证,因此无法使用这些设备生成或分析与恶意软件云查找或与存档
文件的内容相关联的捕获文件、文件事件和恶意软件事件。
科 NGIPS上启用恶意软件许可证,因此无法使用这些设备生成或分析与恶意软件云查找或与存档
文件的内容相关联的捕获文件、文件事件和恶意软件事件。
有关详情,请参阅:
•
•
•
•
•
•
有关配置系统以执行可以产生本章所讨论数据的恶意软件防护和文件控制操作的信息,请参阅
。