Cisco Cisco Web Security Appliance S370 Guia Do Utilizador

思科网络安全设备 AsyncOS 8.8 用户指南   

第 14 章      文件信誉过滤和文件分析

  当文件威胁判定更改时采取操作  

查看其他报告中的文件信誉过滤数据 

用于文件信誉和分析的数据会在其他相关的报告中提供。默认情况下，“被高级恶意软件保护阻
止”(Blocked by Advanced Malware Protection) 列可能在适用的报告中隐藏。要显示其他列，
请点击表格下方的 “列” (Columns) 链接。

“按用户位置分类的报告” (Report by User Location) 包括一个 “高级恶意软件保护”

(Advanced Malware Protection) 选项卡。

关于网络跟踪和高级恶意软件保护功能 

在网络跟踪中搜索文件威胁信息时，请记住以下要点： 

要搜索文件信誉服务发现的恶意文件，请在 “网络跟踪” (Web Tracking) 的 “高级”
(Advanced) 部分的 “恶意软件威胁” (Malware Threat) 区域中为按恶意软件类别过滤 
(Filter by Malware Category) 选项选择已知的恶意和高风险文件 (Known Malicious and 
High-Risk Files)。

网络跟踪仅包括有关文件信誉处理，以及处理事务时返回的原始文件信誉判定的信息。例
如，如果最初发现文件是干净文件，然后判定更新发现文件是恶意文件，则只有干净的判定
显示跟踪结果中。

搜索结果中的 “阻止 - AMP” (Block - AMP) 表示事务因文件的信誉判定而被阻止。

在跟踪详细信息中，“AMP 威胁分数” (AMP Threat Score) 是云信誉服务无法确定文件的
明确判定时尽力提供的分数。在这种情况下，分数介于 1 和 100 之间。（如果返回了 AMP 
判定，或者分数为零，请忽略 AMP 威胁分数。）设备会将此分数与阈值分数比较 （在 “安
全服务”[Security Services] >“防恶意软件和信誉”[Anti-Malware and Reputation] 页面
上配置），以确定要采取的操作。默认情况下，分数在 60 和 100 之间的文件将被视为恶意文
件。思科建议不要更改默认阈值分数。 WBRS 分数是从中下载文件的站点的信誉；此分数与
文件信誉无关。

判定更新仅在 AMP 判定更新报告中可用。网络跟踪中的原始事务详细信息不会通过判定更
改进行更新。要查看与特定文件相关的事务，请点击判定更新报告中的 SHA-256。

有关文件分析的信息 （包括分析结果以及是否发送文件进行分析）仅在文件分析报告中可用。

有关已分析的文件的其他信息，可从云端获取。要查看文件的任何可用 “文件分析” (File 
Analysis) 信息，请依次选择报告 (Reporting) > 文件分析 (File Analysis) ，然后输入 
SHA-256 以搜索该文件或点击 “网络跟踪” (Web Tracking) 详细信息中的 SHA-256 链
接。如果文件分析服务已分析任何源中的文件，则可以查看详细信息。系统仅会为已分析的
文件的结果。

如果设备处理了已发送进行分析的某个文件的后续实例，这些实例将显示在网络跟踪搜索结
果中。

当文件威胁判定更改时采取操作 

程序 

步骤 1

查看 AMP 判定更新报告。

步骤 2

点击相关 SHA-256 链接，查看允许最终用户访问的该文件所有事务的 Web 跟踪数据。