Cisco Cisco Firepower Management Center 2000 User Guide
40-20
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用恶意软件事件
File Type Category
一般类别文件类型,例如:
Office Documents
、
Archive
、
Multimedia
、
Executables
、
PDF files
、
Encoded
、
Graphics
或
System Files
。
是
是
否
File Timestamp
创建恶意软件文件的时间和日期。
否
是
否
File Size (KB)
恶意软件文件大小 (千字节)。
是
是
否
File URI
恶意软件文件原始 URI,例如用户下载文件的 URL。
是
否
否
Archive Name
恶意软件文件相关的存档文件 (如有)名,例如
archive.zip
。
是
是
否
Archive SHA256
恶意软件文件相关的存档文件 (如有)的 SHA-256 哈希值。
要查看存档文件的内容,请右键单击该存档文件的事件查看
器行,打开上下文菜单,然后点击
要查看存档文件的内容,请右键单击该存档文件的事件查看
器行,打开上下文菜单,然后点击
View Archive Contents
。有关
详细信息,请参阅
。
是
是
否
Archive Depth
文件嵌入存档文件的层级 (如有),例如
1
或
3
。
是
是
否
Application File
Name
Name
检测期间访问恶意软件文件的客户端应用。这些应用与网络
发现或应用控制无关联。
发现或应用控制无关联。
否
是
否
Application File
SHA256
SHA256
检测期间访问 FireAMP 检测或隔离文件的上级文件的
SHA-256 哈希值。
SHA-256 哈希值。
否
是
否
Application
Protocol
Protocol
受管设备检测到恶意软件文件的流量所用应用协议。
是
否
否
Application
Protocol、Client 或
Web Application
Category 或 Tag
Protocol、Client 或
Web Application
Category 或 Tag
展示了应用特征的标准,帮助您了解应用的功能;请参阅
是
否
是
客户端
在主机上运行并依靠服务器发送文件的客户端应用。
是
否
是
Web 应用程序
代表连接内被检测 HTTP 流量内容或所请求 URL 的应用。
是
否
是
IOC
对于连接涉及的主机,恶意软件事件是否触发危险表现
(IOC)。当基于终端的恶意软件检测触发 IOC 规则时,将生成
(IOC)。当基于终端的恶意软件检测触发 IOC 规则时,将生成
FireAMP
IOC
类型的完整恶意软件事件。有关 IOC 的详细信
息,请参阅
是
是
是
Application Risk
连接中检测到的应用流量相关风险:
Very High
、
High
、
Medium
、
Low
或
Very Low
。连接中检测的各类应用都有一个
相关风险;该字段显示最高风险。有关详细信息,请参阅
是
否
是
业务相关性
连接中检测到的应用流量的业务相关性:
Very High
、
High
、
Medium
、
Low
或
Very Low
。连接中检测的各类应用都有相关
业务相关性;该字段显示级别最低的业务相关性。有关详细
信息,请参阅
信息,请参阅
。
是
否
是
检测器
识别恶意软件的 FireAMP 检测器,例如 ClamAV、 Spero 或
SHA。
SHA。
否
是
否
表
40-3
恶意软件事件字段 (续)
字段
说明
网络
终端
云
追溯性
追溯性