Cisco Cisco Firepower Management Center 4000 Fascicule
5.3.0.1 版
Sourcefire 3D 系统版本说明
28
之前版本引入的功能
动态分析、威胁分数和摘要报告
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的所有型号
5.3 版本中引入了动态分析,借助于该功能,您可尽可能快地使用基于云的技术识
别网络中新的零日恶意行为。配置后,您可以将性质未知、以前未见过的文件提交
到 Sourcefire 云,以深入分析该文件的行为。根据该行为确定威胁分数并传回防
御中心。威胁分数越高,文件就越可能是恶意的,然后便可根据威胁分数级别采取
相应的措施。
别网络中新的零日恶意行为。配置后,您可以将性质未知、以前未见过的文件提交
到 Sourcefire 云,以深入分析该文件的行为。根据该行为确定威胁分数并传回防
御中心。威胁分数越高,文件就越可能是恶意的,然后便可根据威胁分数级别采取
相应的措施。
Sourcefire 还提供相关动态分析摘要报告,其中详细介绍了此分析及此文件获得此
威胁分数的原因。此附加信息可帮助您识别恶意软件和微调检测功能。
威胁分数的原因。此附加信息可帮助您识别恶意软件和微调检测功能。
您可以将系统配置为自动捕获并发送文件进行动态分析,或者也可以按需提交它们
进行分析。
进行分析。
自定义检测
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的所有型号
自定义文件检测可用于识别和阻止在网络中移动的任何文件,即使是 Sourcefire
尚未识别为恶意的文件。您无需云连接即可执行这些查找,因此,自定义文件检测
非常适合于处理您具有的任何类型的私有情报数据。
尚未识别为恶意的文件。您无需云连接即可执行这些查找,因此,自定义文件检测
非常适合于处理您具有的任何类型的私有情报数据。
如果您识别出恶意文件,可以将其唯一的 SHA-256 值添加到自定义文件检测列表
中,以自动阻止该文件。您可以将自定义检测列表和清除列表配合使用,将特定文
件标记为清除。
中,以自动阻止该文件。您可以将自定义检测列表和清除列表配合使用,将特定文
件标记为清除。
自定义文件检测列表与清除列表一起帮助您自定义适合具体环境的恶意软件防护方
法。默认情况下,每个文件策略都包含自定义文件检测列表和清除列表,但您可以
选择不在每个策略中使用任一或两个列表。
法。默认情况下,每个文件策略都包含自定义文件检测列表和清除列表,但您可以
选择不在每个策略中使用任一或两个列表。
Spero 引擎
许可证:恶意软件
支持的设备:
支持的设备:
3 系列、虚拟、 X 系列
支持的防御中心:除
DC500 之外的所有型号
Spero 引擎功能,为使用大数据检测可执行文件中可疑和新的潜在恶意软件提供另
一种基于云的方法。 Spero 根据可执行文件的结构信息、引用的动态链接库 (DLL)
以及可移植可执行文件 (PE) 头中的元数据创建文件签名。然后,此功能打印浏览
机器已知的数据树进行分析,并确定文件是否包含恶意软件。系统综合考虑 Spero
分析结果与文件性质以生成该可执行文件的最终性质。
一种基于云的方法。 Spero 根据可执行文件的结构信息、引用的动态链接库 (DLL)
以及可移植可执行文件 (PE) 头中的元数据创建文件签名。然后,此功能打印浏览
机器已知的数据树进行分析,并确定文件是否包含恶意软件。系统综合考虑 Spero
分析结果与文件性质以生成该可执行文件的最终性质。