Cisco Cisco Firepower Management Center 2000 User Guide
40-17
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
•
集中查看使用不同工作流程的事件
•
展开工作流程内应用具体值限制的各个页面
•
给当前页加书签并进行限制,以便您在此后返回至相同数据 (假设该数据仍然存在)
•
查看文件相关可路由定位 IP 地址的地理定位信息
•
查看文件轨迹
•
查看存档文件中嵌套的文件
•
使用当前限制创建报告模板
•
从数据库中删除事件
•
向文件列表增加文件、下载文件、提交文件进行动态分析,或查看文件 SHA-256 值完整文本
•
查看文件动态分析总结报告 (如有)
•
使用 IP 地址上下文菜单定制白名单、黑名单或者获取恶意软件事件相关主机或 IP 地址的其
他可用信息
他可用信息
请注意, 2 系列设备、用于 Blue Coat X-系列的思科 NGIPS和 DC500 防御中心均不支持基于网络
的恶意软件防护或存档文件检查,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防
御中心只能显示基于终端的恶意软件事件。
的恶意软件防护或存档文件检查,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防
御中心只能显示基于终端的恶意软件事件。
有关使用事件查看器的详细信息,包括创建自定义工作流程,请参阅
。
要查看恶意软件事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Files > Malware Events
。
系统将显示默认恶意软件事件工作流程首页。有关所显示的列的信息,请参阅
。
了解恶意软件事件表
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
当安装在您所在组织终端上的 FireAMP 连接器检测到威胁或受管设备在网络流量内检测到文件并通
过恶意软件云查找识别为恶意软件时,系统将在防御中心数据库内记录恶意软件事件。系统在发现
文件恶意软件性质变更时也会记录追溯性恶意软件事件。请注意, 2 系列 设备、用于 Blue Coat
X-系列的思科 NGIPS和 DC500 防御中心均不支持基于网络的恶意软件防护,这可能影响显示的数
据。例如,仅管理 2 系列设备的 3 系列防御中心只能显示基于终端的恶意软件事件。有关详细信
息,请参阅
过恶意软件云查找识别为恶意软件时,系统将在防御中心数据库内记录恶意软件事件。系统在发现
文件恶意软件性质变更时也会记录追溯性恶意软件事件。请注意, 2 系列 设备、用于 Blue Coat
X-系列的思科 NGIPS和 DC500 防御中心均不支持基于网络的恶意软件防护,这可能影响显示的数
据。例如,仅管理 2 系列设备的 3 系列防御中心只能显示基于终端的恶意软件事件。有关详细信
息,请参阅
。
恶意事件表视图是预定义恶意软件事件工作流程最终页面,您可以在自定义工作流程中添加该页
面,包括文件表内各字段列。恶意软件事件表视图内一些字段默认为禁用。要在会话期间启用一
个字段,请点击展开箭头 (
面,包括文件表内各字段列。恶意软件事件表视图内一些字段默认为禁用。要在会话期间启用一
个字段,请点击展开箭头 (
) 展开搜索限制,然后点击
Disabled Columns
下的列名。