Cisco Cisco Firepower Management Center 4000 Guía Del Usuario

40-25

FireSIGHT 系统用户指南 

第 40 章      分析恶意软件和文件活动 

  使用捕获的文件  

有关恶意软件事件的专用搜索语法，请参阅

有关与公共密钥证书相关的字段，请参阅

步骤 4

如果您计划保存搜索，也可以选择 

 复选框，将搜索保存为私有，这样就只有您可以访问

它。否则，请清除此复选框，将搜索保存为适用于所有用户。

提示

如想要使用搜索作为对自定义用户角色的数据限制，必须将其另存为私有搜索。

步骤 5

或者，您可以保存搜索，以备以后使用。您有以下选项：

点击 

，保存搜索条件。

对于新的搜索，系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名
称，然后点击 

。如果为之前即已存在的搜索保存新的条件，则不会显示提示。搜索保存

成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。

点击 

 可保存新搜索或通过修改之前保存的搜索为您已创建的搜索指定名称。

系统将显示一个对话框，提示您提供搜索的名称；请输入一个唯一的搜索名称，然后点击 

。

搜索保存成功 （如果您选择了 

，则只对您的帐户显示），您以后可以运行此搜索。

步骤 6

点击 

 开始搜索。

搜索结果出现在默认恶意软件事件工作流程内并受当前时间范围限制。

使用捕获的文件

许可证：恶意软件

受支持的设备：任何设备， 2 系列或 X -系列除外

受支持的防御中心：除 DC500 外的所有型号

当受管设备根据当前应用的文件策略规则捕获网络流量中检测到的文件时，系统记录日志。通过
事件查看器可查看与捕获文件相关的信息，如与 SHA-256 值相关的最新文件名、文件性质和威胁
评分、文件存储状态、存档检验状态以及是否手动提交文件用于动态分析。

注

因为捕获之前必须先检测到恶意软件，所以设备捕获包含恶意软件的文件后同时生成文件事件和恶意
软件事件。有关详细信息，请参阅

。

可以使用防御中心事件查看器查看和搜索捕获文件，以及提交捕获文件进行动态分析。此外，文
件控制面板还使用图表快速展示与网络上检测到的文件 （包括恶意软件文件）相关的详细信息。

有关详情，请参阅：