Cisco Cisco Firepower Management Center 2000 User Guide

40-19

FireSIGHT 系统用户指南 

第 40 章      分析恶意软件和文件活动 

  使用恶意软件事件  

用户

发生恶意软件事件主机 （

）的用户。

对于基于网络的恶意软件事件，通过网络发现确定该用户。
由于用户与目标主机关联，因此用户与其上传恶意软件文件
的恶意软件事件无关联。

对于基于终端的恶意软件事件， FireAMP 连接器确定用户
名。 FireAMP 用户不受用户发现或控制束缚。他们不会出现
在用户表中，您也无法查看这些用户详细信息。

是

是

否

事件类型

恶意软件事件类型。要获得事件类型完整清单，请参阅

。

是

是

是

Event Subtype

导致恶意软件检测的 FireAMP 操作，例如，

Create

、

Execute

、

Move

 或 

Scan

。

否

是

否

Threat Name

被测恶意软件名称。

是

是

是

文件名

恶意软件文件名。

是

是

否

File Disposition

可以为下列文件性质之一：

Malware

 表示云将文件归类为恶意软件，或文件威胁评分

超过文件策略定义的恶意软件阈值。

Clean

 表示云将文件归类为安全，或用户将文件添加到安

全列表。

Unknown

 表示在云分配性质之前发生恶意软件云查找。文

件未分类。

Custom Detection

 表示用户将文件添加到自定义检测列表。

Unavailable

 表示防御中心无法执行恶意软件云查找。您

可能看到有一小部分事件具有此性质，这是预期行为。

请注意，安全文件仅在变更为安全文件后才会出现在恶意软
件表中；有关信息，请参阅

是

否

是

File SHA256

文件的 SHA-256 哈希值以及显示最近检测文件事件和文件性
质的网络文件轨迹图标。

要查看网络文件轨迹，请点击轨迹图标。有关详细信息，请
参阅

是

是

是

威胁指数

与此文件相关的最新威胁评分：

Low

 

(

)

Medium

 

(

)

High

 

(

)

Very High

 

(

)

要查看动态分析总结报告，请点击威胁评分图标。

是

否

否

File Path

恶意软件文件的文件路径，不包括文件名。

否

是

否

文件类型

恶意软件文件的文件类型，例如 

HTML

 或

 MSEXE

。

是

是

否

表 

恶意软件事件字段 （续）

字段

说明

网络

终端

云 
追溯性