Cisco Cisco Firepower Management Center 4000 用户指南
40-27
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用捕获的文件
了解捕获的文件表
许可证:恶意软件
当受管设备捕获正在受监控网络流量中传送的文件时,防御中心根据已应用文件策略设置记录日志。
捕获文件表视图是预定义捕获文件工作流程的最终页面,也可以添加到自定义工作流程中,且该
视图为捕获文件表中的每个字段都准备了对应的列。捕获文件表视图中一些字段默认为禁用。要
在会话期间启用一个字段,请点击展开箭头 (
视图为捕获文件表中的每个字段都准备了对应的列。捕获文件表视图中一些字段默认为禁用。要
在会话期间启用一个字段,请点击展开箭头 (
) 展开搜索限制,然后点击
Disabled Columns
下的
列名。下表介绍捕获文件字段。
表
40-4
捕获文件字段
字段
说明
Last Changed
上一次更新与该文件有关信息的时间。
文件名
最近检测到的与文件 SHA-256 哈希值相关的文件名。
布置
可以为下列文件性质之一:
•
Malware
表示云将文件归类为恶意软件,或文件威胁评分超过文件策略定义的恶意软件阈值。
•
Clean
表示云将文件归类为安全,或用户将文件添加到安全列表。
•
Unknown
表示在云分配性质之前发生恶意软件云查找。文件未分类。
•
Custom Detection
表示用户将文件添加到自定义检测列表。
•
Unavailable
表示防御中心无法执行恶意软件云查找。您可能看到有一小部分事件具有此
性质,这是预期行为。
•
N/A
表示 Detect Files 或 Block Files 规则处理了文件,防御中心不执行恶意软件云查找。
SHA256
文件的 SHA-256 哈希值以及显示最近检测文件事件和文件性质的网络文件轨迹图标。
要查看网络文件轨迹,请点击轨迹图标。有关详细信息,请参阅
。
威胁指数
与此文件相关的最新威胁评分:
•
Low
(
)
•
Medium
(
)
•
High
(
)
•
Very High
(
)
要查看动态分析总结报告,请点击威胁评分图标。
类型
文件类型,例如
HTML
或
MSEXE
。
类别
一般类别文件类型,例如:
Office Documents
、
Archive
、
Multimedia
、
Executables
、
PDF
files
、
Encoded
、
Graphics
或
System Files
。
Storage Status
该文件是否存储于受管设备。