Cisco Cisco Firepower Management Center 4000 Guía Del Usuario
40-6
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件事件
威胁评分
文件分为四个威胁评分等级,与文件含有恶意内容的可能性一一对应:
防御中心本地缓存文件威胁评分时间与文件性质时间相同。如果系统在后期检测到这些文件,将
向用户显示缓存威胁评分而非再次查询思科云。根据文件策略配置,您可以自动向威胁评分超过
定义的恶意软件阈值威胁评分的文件分配恶意软件文件性质。有关详细信息,请参阅
向用户显示缓存威胁评分而非再次查询思科云。根据文件策略配置,您可以自动向威胁评分超过
定义的恶意软件阈值威胁评分的文件分配恶意软件文件性质。有关详细信息,请参阅
动态分析总结
如有动态分析总结,您可以点击威胁评分图标进行查看。动态分析总结介绍构成漏洞研究团队
(VRT) 文件分析分配的威胁评分总分的各部分等级以及云尝试运行该文件时启动的其他进程。
(VRT) 文件分析分配的威胁评分总分的各部分等级以及云尝试运行该文件时启动的其他进程。
如果存在多份报告,该总结应当基于与精确威胁评分匹配的最新报告。如果没有报告与精确威胁
评分匹配,则系统会显示威胁评分最高的报告。如果存在多份报告,您可以选择一个威胁评分查
看各份报告。
评分匹配,则系统会显示威胁评分最高的报告。如果存在多份报告,您可以选择一个威胁评分查
看各份报告。
总结将列明构成威胁评分的各部分威胁。各部分威胁都可以展开以详列 VRT 结果以及与该部分
威胁相关的进程。
威胁相关的进程。
进程树显示云尝试运行该文件时启动的进程。这有助于识别是否有包含恶意软件的文件意外尝试
访问进程和系统资源(例如,运行 Word 文档打开 Microsoft Word,接着启动 Explorer,然后启动
Java)。
访问进程和系统资源(例如,运行 Word 文档打开 Microsoft Word,接着启动 Explorer,然后启动
Java)。
列出的每个进程都包含一个进程标识符和 md5 校验和,以便您检验实际进程。进程树将以子节点
显示因父进程而启动的进程。
显示因父进程而启动的进程。
从动态分析总结中,您可以点击
View Full Report
查看 VRT 分析报告,其中详细展示了 VRT 的完
整分析,包括常规文件信息、对检测的所有进程的更深入了解、一份文件分析明细以及其他相
关信息。
关信息。
使用文件事件
许可证:保护
系统将按照当前适用文件策略记录当受管设备在网络流量中检测或阻止文件时生成的文件事件。
请注意,无论调用访问控制规则采用何种日志记录配置,系统生成文件事件时,都会将相关连接
的终止记录到防御中心数据库中。有关详细信息,请参阅
请注意,无论调用访问控制规则采用何种日志记录配置,系统生成文件事件时,都会将相关连接
的终止记录到防御中心数据库中。有关详细信息,请参阅
注
FireSIGHT 系统在网络流量中检测到并确认为恶意软件的文件将生成一个文件事件和一个恶意软
件事件。这是由于要在文件中检测恶意软件,系统必须首先检测文件本身。基于终端的恶意软件
事件并不具备对应文件事件。有关详细信息,请参阅
件事件。这是由于要在文件中检测恶意软件,系统必须首先检测文件本身。基于终端的恶意软件
事件并不具备对应文件事件。有关详细信息,请参阅
。
表
40-1
威胁评分等级
威胁指数
图标
评级
低
1-25
中
26-50
高
51-75
极高
76-100