Cisco Cisco Firepower Management Center 2000 User Guide

40-33

FireSIGHT 系统用户指南 

第 40 章      分析恶意软件和文件活动 

  使用网络文件轨迹  

下表介绍了概要信息字段。

表 

网络文件轨迹概要信息字段 

字段名称

说明

File SHA256

文件的 SHA-256 哈希值。

默认情况下以压缩格式显示哈希值。要查看完整哈希值，请将指针悬停在上方。如果一个
文件名与多个 SHA-256 哈希值关联，将指针悬停在链接上方查看全部哈希值。

点击下载文件图标  (

)  将文件下载到本地计算机。如弹出提示，请确认您要下载该文件。

按照浏览器提示保存文件。如果该文件不支持下载，则图标将灰显。

注意事项

思科强烈建议您不要下载恶意软件，否则可能造成不利后果。下载任何文件时
请保持谨慎，这些文件可能包含恶意软件。确保您在下载文件前已采取各种必
要预防措施保证下载目标安全。

文件名

事件关联文件的名称，如网络上所示。

如果一个 SHA-256 哈希值与多个文件名关联，列出最近检测到的文件名。您还可通过点击 

more

 将其展开以查看其余文件名。

文件类型

文件类型，例如 

HTML

 或

 MSEXE

。

File Category

文件类型的一般类别，例如 

Office Documents

 或 

System Files

。

Parent Application

检测期间访问恶意软件文件的客户端应用。这些应用与网络发现或应用控制无关联。

只为基于终端的恶意软件事件显示此字段。

First Seen

受管设备或 FireAMP 连接器首次检测到该文件和首次上传该文件的主机 IP 地址的时间。

Last Seen

受管设备或 FireAMP 连接器最近一次检测到该文件和最近一次下载该文件主机的 IP 地址的
时间。

Event Count

网络上看到的与该文件相关事件的数量，以及如检测到超过 250 个事件时映射中显示的事
件数量。

Seen On

发送或接收文件的主机数量。因为一台主机可以在不同时间上传和下载文件，在 

Seen On 

Breakdown

 字段中的主机总数可能与发送方总数加上接收方总数之和并不匹配。

Seen On Breakdown

发送文件的主机数量，然后紧接接收文件的主机数量。

Current Disposition

可以为下列文件性质之一：

Malware

 表示云将文件归类为恶意软件，或文件威胁评分超过文件策略定义的恶意软件

阈值。

Clean

 表示云将文件归类为安全，或用户将文件添加到安全列表。

Unknown

 表示在云分配性质之前发生恶意软件云查找。文件未分类。

Custom Detection

 表示用户将文件添加到自定义检测列表。

Unavailable

 表示防御中心无法执行恶意软件云查找。您可能看到有一小部分事件具有

此性质，这是预期行为。

N/A

 表示 Detect Files 或 Block Files 规则处理了文件，防御中心不执行恶意软件云查找。

点击编辑图标  (

)  从安全列表或自定义检测列表中添加或删除文件。

只为基于网络的恶意软件事件显示此字段。