Cisco Cisco Firepower Management Center 2000 User Guide

40-21

FireSIGHT 系统用户指南 

第 40 章      分析恶意软件和文件活动 

  使用恶意软件事件  

恶意软件事件类型

许可证：恶意软件或任意

受支持的设备：因功能而异

受支持的防御中心：因功能而异

对于基于网络的恶意软件事件，事件类型可以是：

网络文件传送中检出威胁

网络文件传送 （回溯）中检出威胁

基于终端的恶意软件事件可能具有任何以下类型：

执行受阻

云召回隔离

云召回隔离尝试失败

开始云召回隔离

从隔离中恢复云召回

从隔离中恢复云召回失败

从隔离中恢复云召回启动

FireAMP IOC

隔离失败

恢复隔离项目

恢复隔离失败

开始恢复隔离

扫描完成，未检出

扫描完成，检出

扫描失败

通信

恶意软件事件相关的任何其他信息。

对于基于网络的恶意软件事件，该字段仅在文件性质发生变
更的文件中填充；有关信息，请参阅

。

是

是

否

FireAMP Cloud

产生事件的 FireAMP 云名称。

否

是

否

设备

对于基于网络的恶意软件事件，显示检测到恶意软件文件的
设备名称。

对于基于终端的恶意软件事件和云生成的追溯性恶意软件事
件，显示防御中心名称。

是

是

是

安全情景

识别流量通过的虚拟防火墙组的元数据。请注意，系统仅对
多情景模式下的 ASA FirePOWER 设备填充此字段。

是

是

是

计数

与各行信息匹配的事件数量。当您应用了将创建两个或两个
以上相同行的限制后将显示该字段。

不适用

不适用

不适用

表 

恶意软件事件字段 （续）

字段

说明

网络

终端

云 
追溯性