Cisco Cisco Firepower Management Center 2000 User Guide
40-10
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件事件
SHA256
如果因以下原因检测到文件,则文件 SHA-256 哈希值以及网络文件轨迹图标代表
最近检测到的文件事件和文件性质:
最近检测到的文件事件和文件性质:
•
启用了
Store Files
的 Detect Files 文件规则
•
启用了
Store Files
的 Block Files 文件规则
•
Malware Cloud Lookup 文件规则
•
Block Malware 文件规则
要查看网络文件轨迹,请点击轨迹图标。有关详细信息,请参阅
。
威胁指数
与此文件相关的最新威胁评分:
•
Low
(
)
•
Medium
(
)
•
High
(
)
•
Very High
(
)
要查看动态分析总结报告,请点击威胁评分图标。
类型
文件类型,例如
HTML
或
MSEXE
。
类别
一般类别文件类型,例如:
Office Documents
、
Archive
、
Multimedia
、
Executables
、
PDF files
、
Encoded
、
Graphics
或
System Files
。
Size (KB)
文件大小 (千字节)。请注意,如果系统在完全接收文件前确定一个文件的文件类
型,则可能不会计算文件大小,该字段为空。
型,则可能不会计算文件大小,该字段为空。
URI
文件原始 URI,例如用户下载文件的 URL。
Archive Name
文件相关存档文件 (如有)名,例如
archive.zip
。要查看存档文件内容,请右键
单击该存档文件的事件查看器行,打开上下文菜单,然后点击
View Archive
Contents
。有关详细信息,请参阅
Archive SHA256
文件相关存档文件 (如有) SHA-256 哈希值。
Archive Depth
文件嵌入存档文件的层级 (如有),例如
1
或
3
。
Application Protocol
受管设备检测到文件的流量所用应用协议。
Application Protocol、 Client 或
Web Application Category 或 Tag
Web Application Category 或 Tag
展示了应用特征的标准,帮助您了解应用的功能;请参阅
。
客户端
连接中传送文件所用的客户端应用。
Web 应用程序
对于使用 HTTP 传送的文件,是指在连接中检测到并用于传送文件的网络应用
(内容或请求的 URL)。
Application Risk
连接中检测到的应用流量相关风险:
Very High
、
High
、
Medium
、
Low
或
Very Low
。
连接中检测的各类应用都有一个相关风险;该字段显示最高风险。有关详细信息,
请参阅
请参阅
。
业务相关性
连接中检测到的应用流量的业务相关性:
Very High
、
High
、
Medium
、
Low
或
Very
Low
。连接中检测的各类应用都有相关业务相关性;该字段显示级别最低的业务相
关性。有关详细信息,请参阅
。
通信
对于恶意软件性质已经变更的文件,即对于追溯恶意软件事件相关的文件,该字段
显示性质变更时间和方式相关信息。
显示性质变更时间和方式相关信息。
表
40-2
文件事件字段 (续)
字段
说明