Cisco Cisco Firepower Management Center 2000 User Guide
40-32
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用网络文件轨迹
请注意,因为您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备查看执行了恶意软件云
查找的文件的轨迹。
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备查看执行了恶意软件云
查找的文件的轨迹。
要从 Network File Trajectory List 页面定位文件,请执行以下操作:
访问:任何环境
步骤 1
选择
Analysis > Files > Network File Trajectory
。
系统将显示 Network File Trajectory List 页面,显示最近查看的文件和最近的恶意软件列表。
步骤 2
或者,您可以在搜索字段键入完整的 SHA-256 哈希值、主机 IP 地址或所要跟踪文件的文件名,
然后按 Enter 键。
然后按 Enter 键。
系统将显示 Query Results 页面,其中列出与搜索匹配的所有文件。如果只有一个结果匹配,系统
将显示该文件的 Network File Trajectory 页面。
将显示该文件的 Network File Trajectory 页面。
分析网络文件轨迹
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
您可以通过查看网络文件详细轨迹在网络中跟踪文件。文件轨迹显示有关文件的概要信息、显示
随时间推移的映射绘图数据点并且还列出了与表中数据点有关的事件数据。使用该表和映射,您
可以准确定位特定文件事件、网络上传送或接收该文件的主机、映射中相关事件、表中受选定值
限制的其他关联事件。
随时间推移的映射绘图数据点并且还列出了与表中数据点有关的事件数据。使用该表和映射,您
可以准确定位特定文件事件、网络上传送或接收该文件的主机、映射中相关事件、表中受选定值
限制的其他关联事件。
请注意,因为您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备查看执行了恶意软件云
查找的文件的轨迹。
X-系列的思科 NGIPS上启用恶意软件许可证,所以,您无法使用这些设备查看执行了恶意软件云
查找的文件的轨迹。
有关详细信息,请参阅以下各节:
•
•
•
概要信息
许可证:恶意软件或任意
受支持的设备:因功能而异
受支持的防御中心:因功能而异
文件的轨迹页面显示有关文件的基本信息,包括文件识别信息、首次及最近一次在网络上查看文
件的时间、与该文件相关的事件和主机数量以及该文件的当前性质。从本节开始,如果受管设备
已存储文件,您可以进行本地下载、提交文件进行动态分析或将文件添加至文件列表。
件的时间、与该文件相关的事件和主机数量以及该文件的当前性质。从本节开始,如果受管设备
已存储文件,您可以进行本地下载、提交文件进行动态分析或将文件添加至文件列表。
提示
要查看相关文件事件,请点击字段值链接。在新窗口中打开文件事件默认工作流程首页,显示包
含选定值的所有文件事件。
含选定值的所有文件事件。