Cisco Cisco Firepower Management Center 2000 User Guide
40-26
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用捕获的文件
查看捕获的文件
许可证:恶意软件
FireSIGHT 系统事件查看器使您可以查看表中的文件事件,并根据分析相关信息使用事件视图。
在访问捕获的文件时看到的页面因工作流程有所不同。工作流程只是一系列页面,您可以使用这些
页面从较宽泛的视图移动至更精细化的视图来评估事件。系统配备以下预定义捕获文件工作流程:
页面从较宽泛的视图移动至更精细化的视图来评估事件。系统配备以下预定义捕获文件工作流程:
•
捕获文件概要提供基于类型、类别和威胁评分的捕获文件明细 (默认工作流程)。
•
动态分析状态依据捕获文件是否已提交用于动态分析提供此类文件计数。
您也可以创建自定义工作流程,仅显示符合您具体要求的信息。有关指定不同默认工作流程 (包
括自定义工作流程)的信息,请参阅
括自定义工作流程)的信息,请参阅
FireSIGHT 系统支持在所有网络界面区域显示和输入使用 Unicode (UTF-8) 字符的文件名,这些区
域包括事件查看器、事件搜索、控制面板、 Context Explorer 等等。但是请注意,您以 PDF 格式
生成的报告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,
请参阅
域包括事件查看器、事件搜索、控制面板、 Context Explorer 等等。但是请注意,您以 PDF 格式
生成的报告不支持 Unicode;Unicode 文件名将在 PDF 报告中以转译形式显示。有关详细信息,
请参阅
。
使用事件查看器,您可以:
•
搜索、分类和限制事件,以及变更已显示事件的时间范围
•
指定显示的列 (仅适用于表视图)
•
查看同一工作流程内使用不同工作流程页面的事件
•
集中查看使用不同工作流程的事件
•
展开工作流程内应用具体值限制的各个页面
•
给当前页加书签并进行限制,以便您在此后返回至相同数据 (假设该数据仍然存在)
•
查看文件轨迹
•
查看存档文件内容及检查状态
•
向文件列表增加文件、下载文件、提交文件进行动态分析,或查看文件 SHA-256 值完整文本
•
查看文件动态分析总结报告 (如有)
•
一次最多提交 25 个文件用于动态分析
•
使用当前限制创建报告模板
请注意, 2 系列设备、用于 Blue Coat X-系列的思科 NGIPS和 DC500 防御中心均不支持基于网络
的恶意软件防护或存档文件检查,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防
御中心不能显示捕获的文件。
的恶意软件防护或存档文件检查,这可能影响显示的数据。例如,仅管理 2 系列设备的 3 系列防
御中心不能显示捕获的文件。
有关使用事件查看器的详细信息,包括创建自定义工作流程,请参阅
要查看文件事件,请执行以下操作:
访问:管理员/任何安全分析师
步骤 1
选择
Analysis > Files > Captured Files
。
系统将显示默认文件事件工作流程首页。有关所显示的列的信息,请参阅