Cisco Cisco Firepower Management Center 2000 用户指南
40-3
FireSIGHT 系统用户指南
第 40 章 分析恶意软件和文件活动
使用文件存储
注意事项
请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。
恶意软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包
方面的帮助,请与技术支持部门联系。有关详细信息,请参阅 《FireSIGHT 系统恶意软件存储包
指南》。
恶意软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包
方面的帮助,请与技术支持部门联系。有关详细信息,请参阅 《FireSIGHT 系统恶意软件存储包
指南》。
请注意,由于您无法在 DC500 上使用恶意软件许可证,也无法在 2 系列设备或用于 Blue Coat
X-系列的思科 NGIPS上启用恶意软件许可证,因此,无法使用这些设备捕获或存储文件。
X-系列的思科 NGIPS上启用恶意软件许可证,因此,无法使用这些设备捕获或存储文件。
有关详情,请参阅:
•
•
了解捕获文件存储
许可证:恶意软件
受支持的设备:8000 系列
基于文件策略配置,设备可以将大量文件数据存储在硬盘驱动器中。您可以在设备上安装恶意软
件存储包。系统将文件存储在恶意软件存储包内,允许主硬盘驱动器留出更多空间存储事件和配
置文件。系统定期删除早期文件。
件存储包。系统将文件存储在恶意软件存储包内,允许主硬盘驱动器留出更多空间存储事件和配
置文件。系统定期删除早期文件。
注意事项
请勿尝试在设备中安装思科未提供的硬盘驱动器。安装不受支持的硬盘驱动器可能会损坏设备。恶意
软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包方面的帮
助,请与技术支持部门联系。有关详细信息,请参阅 《FireSIGHT 系统恶意软件存储包指南》。
软件存储包套件仅可从思科购买,而且仅限用于 8000 系列设备。如果需要恶意软件存储包方面的帮
助,请与技术支持部门联系。有关详细信息,请参阅 《FireSIGHT 系统恶意软件存储包指南》。
在未安装恶意软件存储包时,如果将设备配置为存储文件,设备将分配一部分主硬盘驱动器空间
专用于存储捕获文件。如果您在设备上安装恶意软件存储包并配置设备存储文件,设备将分配整
个恶意软件存储包用于存储捕获文件。设备不会在恶意软件存储包中存储其他任何信息。
专用于存储捕获文件。如果您在设备上安装恶意软件存储包并配置设备存储文件,设备将分配整
个恶意软件存储包用于存储捕获文件。设备不会在恶意软件存储包中存储其他任何信息。
当分配的用于存储捕获文件的空间用尽时,系统删除最早的存储文件,直至分配空间达到系统定
义的阈值。依据存储文件数量,在系统删除文件后,磁盘用量将大幅下降。
义的阈值。依据存储文件数量,在系统删除文件后,磁盘用量将大幅下降。
如果在安装恶意软件存储包时,设备已经存储文件,当您下次重启设备时,存储在主硬盘驱动器
上的捕获文件将移至恶意软件存储包中。设备未来存储的文件都将存储至恶意软件存储包。如果
设备主硬盘驱动器空间不足,也未安装恶意软件存储包,您将无法存储文件。
上的捕获文件将移至恶意软件存储包中。设备未来存储的文件都将存储至恶意软件存储包。如果
设备主硬盘驱动器空间不足,也未安装恶意软件存储包,您将无法存储文件。
请注意,您不能将存储的文件置于系统备份文件中。有关详细信息,请参阅
。
将存储的文件下载至另一位置
许可证:恶意软件
受支持的设备:任何设备, 2 系列或 X -系列除外
受支持的防御中心:除 DC500 外的所有型号
设备存储文件后,只要防御中心可以与该设备保持通信并且未删除该文件,您就可以下载该文
件。您可以人工分析该文件,或者将其下载至本地主机进行长期存储和分析。您可以从相关文件
事件、恶意软件事件、捕获文件视图或文件轨迹中下载文件。有关详细信息,请参阅
件。您可以人工分析该文件,或者将其下载至本地主机进行长期存储和分析。您可以从相关文件
事件、恶意软件事件、捕获文件视图或文件轨迹中下载文件。有关详细信息,请参阅
和