Cisco Cisco Firepower Management Center 2000 User Guide
40-15
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
注
基于终端的恶意软件事件所报告的 IP 地址可能不在网络映射上 - 甚至可能完全不在监控的网络
上。根据部署、合规水平以及其他因素,您所在组织内安装 FireAMP 连接器的终端可能与受管设
备监控的主机不同。
上。根据部署、合规水平以及其他因素,您所在组织内安装 FireAMP 连接器的终端可能与受管设
备监控的主机不同。
基于网络流量的恶意软件事件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
作为整体访问控制配置的一部分,受管设备可以通过恶意软件许可证在网络流量内检测到恶意软
件;有关信息,请参阅
件;有关信息,请参阅
以下情形可产生恶意软件事件:
•
如果受管设备检测一组具体文件类型之一,防御中心执行恶意软件云查找,向防御中心返回
Malware
、
Clean
或
Unknown
文件性质。
•
如果防御中心不能与云建立连接,或者云因其他原因不可用,文件性质为
Unavailable
。您可
能看到有一小部分事件具有此性质,这是预期行为。
•
如果文件相关威胁评分超过检测该文件的文件策略定义的恶意软件威胁评分阈值,防御中心
向该文件分配
向该文件分配
Malware
文件性质。
•
如果受管设备检测到 SHA-256 值存储在自定义检测列表上的文件,防御中心向该文件分配
Custom Detection
文件性质。
•
如果受管设备检测到安全列表内文件,防御中心向该文件分配
Clean
文件性质。
防御中心将文件检测和性质记录以及其他上下文数据作为恶意软件事件进行记录。
注
FireSIGHT 系统在网络流量中检测到并确认为恶意软件的文件将生成一个文件事件和一个恶意软
件事件。这是由于要在文件中检测恶意软件,系统必须首先检测文件本身。有关详细信息,请参
阅
件事件。这是由于要在文件中检测恶意软件,系统必须首先检测文件本身。有关详细信息,请参
阅
追溯性恶意软件事件
受支持的设备:3 系列、虚拟设备
受支持的防御中心:除 DC500 外的所有型号
对于在网络流量内检测到的恶意软件文件,文件性质可以变更。例如,思科云可以确定此前认定
安全的文件现在是否识别为恶意软件,或者相反 - 识别为恶意软件的文件实际上属于安全文件。
安全的文件现在是否识别为恶意软件,或者相反 - 识别为恶意软件的文件实际上属于安全文件。
如果您在上一周执行恶意软件查询的文件性质发生变更,云将向防御中心发出通知。然后将发生
两件事情:
两件事情:
•
防御中心产生新追溯性恶意软件事件。
新追溯性恶意软件事件代表上一周检测到的具备相同 SHA-256 哈希值的所有文件的性质发生
变更。因此,这些事件包含限定信息:防御中心接到性质变更通知的日期和时间、新性质、
文件 SHA-256 哈希值以及威胁名称。它们不包含 IP 地址或其他上下文信息。
变更。因此,这些事件包含限定信息:防御中心接到性质变更通知的日期和时间、新性质、
文件 SHA-256 哈希值以及威胁名称。它们不包含 IP 地址或其他上下文信息。
•
防御中心变更此前检测到的具有追溯事件相关 SHA-256 哈希值的文件的文件性质。
如果文件性质变更为 Malware,防御中心在其数据库内记录新恶意软件事件。除了新性质,
新恶意软件事件信息与最初检测到文件时生成的文件事件中的信息都相同。
新恶意软件事件信息与最初检测到文件时生成的文件事件中的信息都相同。
如果文件性质变更为 Clean,防御中心不会从恶意软件表中删除该恶意软件事件。相反,该事
件仅简单反应性质变更情况。这表示文件性质为安全的文件能够出现在恶意软件表中,前提
是它们最初被视为恶意软件。从未识别为恶意软件的文件只会出现在文件表中。
件仅简单反应性质变更情况。这表示文件性质为安全的文件能够出现在恶意软件表中,前提
是它们最初被视为恶意软件。从未识别为恶意软件的文件只会出现在文件表中。