Cisco Cisco Firepower Management Center 4000 Guia Do Utilizador
40-28
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用捕获的文件
搜索捕获文件
许可证:恶意软件
使用防御中心搜索页面,您可以搜索具体捕获文件,在事件查看器中显示结果,并保存搜索条件
以便后期重新使用。自定义分析控制面板构件、报告模版和自定义用户角色也可以使用保存的搜
索条件。
以便后期重新使用。自定义分析控制面板构件、报告模版和自定义用户角色也可以使用保存的搜
索条件。
请注意,搜索结果依赖于所搜索事件的可用数据。换言之,根据可用数据,搜索限制条件可能不
适用。例如,如果文件从未被提交用于动态分析,可能没有与其关联的威胁评分。
适用。例如,如果文件从未被提交用于动态分析,可能没有与其关联的威胁评分。
通用搜索语法
系统在每个搜索字段旁边显示有效语法示例。输入搜索条件时,请记住以下几点:
•
所有字段都接受求反 (
!
)。
•
所有字段都接受逗号分隔的搜索值列表。包含指定字段中列出的任何值的记录与该搜索条件
匹配。
匹配。
•
所有字段都接受将用引号引起来的逗号分隔列表作为搜索值。
–
对于只能包含一个值的字段,将包含指定精确字符串的指定字段放在引号内的记录与搜
索条件匹配。例如,搜索
索条件匹配。例如,搜索
A, B, "C, D, E"
时,匹配记录为包含
"A"
或
"B"
或
"C, D, E"
的指定字段。这允许与可能的值中包含逗号的字段匹配。
–
对于可能同时包含多个值的字段,指定字段包含所有引号引号引起来的逗号分隔列表中
所有值的记录与该搜索条件匹配。
所有值的记录与该搜索条件匹配。
–
对于可能同时包含多个值的字段,搜索条件可以包含单个值以及引号引起来的逗号分隔
列表。例如,在某字段上搜索
列表。例如,在某字段上搜索
A, B, "C, D, E"
时,如果该字段可能包含这其中一个或多
个字母,则匹配的记录指定字段将包含
A
或
B
或同时包含
C
、
D
和
E
。
•
搜索仅返回与所有字段的指定搜索条件匹配的记录。
•
许多字段接受一个或多个星号 (
*
) 作为通配符。
Archive Inspection
Status
Status
对于存档文件,存档检查状态如下:
•
Pending
表示系统仍在检查存档文件及其内容。如果文件再次通过您的系统,就可以提供
完整的信息。
•
Extracted
表示系统能够提取和检查存档内容。
•
在极少数情况下,如果系统无法处理提取内容,会出现
Failed
状态。
•
Depth Exceeded
表示存档包含超出最大允许深度的进一步嵌套存档文件。
•
Encrypted
表示存档文件内容已加密,无法进行检查。
•
Not Inspectable
表示系统未提取和检查存档内容。策略规则操作、策略配置和损坏文件
是出现此状态的三个主要原因。
要查看存档文件内容,请右键单击文件事件查看器行,打开上下文菜单,然后选择
View
Archive Contents
。有关详细信息,请参阅
。
Analysis Status
是否已提交该文件用于动态分析。
Last Sent
最近一次向云提交文件进行动态分析的时间。
表
40-4
捕获文件字段 (续)
字段
说明