文件和恶意软件事件(您可以通过工作流程查看和搜索文件和恶意软件事件)包含此部分中列出的字段。请记住,可用于任何单个事件的信息可能会根据该事件的生成方式和原因而异。
注 |
由恶意软件防护 识别为恶意软件的文件同时生成文件事件和恶意软件事件。由面向终端的 AMP 生成的恶意软件事件没有对应的文件事件,并且文件事件没有与面向终端的 AMP 相关的字段。
|
系统日志消息使用初始值填充并且不会更新。即使 FMC Web 界面中的等效字段使用追溯性判定等进行了更新,系统日志消息也不会更新。
操作(系统日志:FileAction)
检测文件的文件策略规则的相关操作以及任何相关文件规则操作选项。
AMP 云
产生面向终端的 AMP 事件的 AMP 云名称。
应用文件名
检测面向终端的 AMP 期间访问恶意软件文件的客户端应用。这些应用与网络发现或应用控制无关联。
应用文件 SHA256
检测面向终端的 AMP 期间访问被检测或隔离文件的父文件的 SHA-256 散列值。
在统一事件查看器中,此字段显示为 应用文件 SHA-256。
应用协议(系统日志:ApplicationProtocol)
受管设备检测到文件的流量所用应用协议。
应用协议类别或标记 (Application Protocol Category or Tag)
展示应用特征的条件,协助您了解应用功能。
应用风险
与连接中检测到的应用流量关联的风险:“非常高”、“高”、“中”、“低”或“非常低”。连接中检测的各类应用都有一个相关风险;该字段显示最高风险。
存档深度(系统日志:ArchiveDepth)
文件嵌入存档文件的层级(如有)。
存档名称(系统日志:ArchiveFileName)
包含恶意软件文件的存档文件名称(如有)。
要查看存档文件的内容,请在分析 > 文件下打开列出该存档文件的任意表,右键单击该存档文件的表行来打开情景菜单,然后点击查看存档内容。
存档 SHA256(系统日志:ArchiveSHA256)
包含恶意软件文件的存档文件的 SHA-256 散列值(如有)。
要查看存档文件的内容,请在“分析”>“文件”下打开列出该存档文件的任意表,右键单击该文档文件的表行来打开情景菜单,然后点击查看存档内容。
ArchiveFileStatus(仅限系统日志)
正在被检测的存档的状态。可能会有以下值:
业务相关性
与连接中检测到的应用流量关联的业务相关性:“非常高”、“高”、“中”、“低”或“非常低”。连接中检测的各类应用都有相关业务相关性;该字段显示级别最低的业务相关性。
类别/文件类型类别 (Category / File Type Category)
一般类别文件类型,例如:Office 文档、存档、多媒体、可执行文件、PDF 文件、编码文件、图形或系统文件。
客户端(系统日志:Client)
在一台主机上运行并依靠服务器发送文件的客户端应用。
客户端类别或标记 (Client Category or Tag)
展示应用特征的条件,协助您了解应用功能。
连接计数器 (仅限系统日志)
区分一个连接与另一个同时连接的计数器。此字段本身没有意义。
以下字段共同唯一地标识与特定文件或恶意软件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
连接实例 ID (仅限系统日志)
处理连接事件的 Snort 实例。此字段本身没有意义。
以下字段共同唯一地标识与特定文件或恶意软件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
计数
应用创建两个或多个相同行的限制条件后,与每行中的信息匹配的事件数。
检测名称 (Detection Name)
被测恶意软件名称。
检测器
识别恶意软件的面向终端的 AMP 检测器,例如 ClamAV、Spero 或 SHA。
设备
对于文件事件和 Firepower 设备生成的恶意软件事件,显示检测到文件的设备的名称。
对于面向终端的 AMP 生成的恶意软件事件和 AMP 云生成的追溯性恶意软件事件,显示 Cisco Secure Firewall Management Center的名称。
DeviceUUID (仅限系统日志)
生成事件的 Firepower 设备的唯一标识符。
以下字段共同唯一地标识与特定文件或恶意软件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
处置情况/文件处置情况(系统日志:SHA_Disposition)
文件的处置情况:
- 恶意软件
-
表示 AMP 云将文件归类为恶意软件,本地恶意软件分析识别的恶意软件或文件威胁评分超过文件策略中定义的恶意软件阈值。
- 干净
-
表示 AMP 云将文件分类为干净,或用户将文件添加到干净列表。干净的文件仅在变更为干净后才会显示在恶意软件表中。
- 未知
-
表示系统已查询 AMP 云,但文件尚未被分配处置情况;换句话说,AMP 云尚未对文件进行分类。
- 自定义检测
-
表示用户将文件添加到自定义检测列表。
- 不可用
-
表示系统无法查询 AMP 云。您可能看到很少一部分事件为此处置;这是预期行为。
- 不适用
-
表示“检测文件”或“阻止文件”规则已处理文件,Cisco Secure Firewall Management Center未查询 AMP 云。
只有系统为之查询 AMP 云的文件才会显示文件处置情况。
系统日志字段仅反映初始处置情况;它们不会进行更新以反映追溯裁定。
域
对于文件事件和 Firepower 设备生成的恶意软件事件,显示检测到文件的设备的域。对于面向终端的 AMP 生成的恶意软件事件和 AMP 云生成的追溯性恶意软件事件,显示与报告事件的 AMP 云连接关联的域。
仅当曾经配置 Cisco Secure Firewall Management Center以实现多租户时,此字段才存在。
DstIP(仅限系统日志)
对连接作出响应的主机的 IP 地址。这可能是文件发送方或接收方的 IP 地址,具体取决于 FileDirection 字段中的值:
如果 FileDirection 字段中的值为 Upload,则为文件接收方的 IP 地址。
如果 FileDirection 字段中的值为 Download,则为文件发送方的 IP 地址。
另请参阅 SrcIP。
另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明。
DstPort(仅限系统日志)
DstIP 所述在连接中使用的端口。
出口虚拟路由器
在使用虚拟路由的网络中,用于流量离开网络的虚拟路由器的名称。
事件子类型
导致恶意软件检测的面向终端的 AMP 操作,例如,“创建”(Create)、“执行”(Execute)、“移动”(Move) 或“扫描”(Scan)。
文件路径
面向终端的 AMP 检测到的恶意软件文件的文件路径,不包括文件名。
文件策略(系统日志:FilePolicy)
检测文件的文件策略。
文件存储/已存储(系统日志:FileStorageStatus)
与事件关联的文件的存储状态:
- 已存储 (Stored)
-
返回当前存储相关文件的所有事件。
- 已在连接中存储 (Stored in connection)
-
返回系统捕获并存储相关文件的所有事件,无论当前是否已存储相关文件。
- 失败
-
返回系统无法存储相关文件的所有事件。
系统日志字段仅包含初始状态;它们不会进行更新以反映更改的状态。
文件时间戳
面向终端的 AMP 检测到恶意软件文件创建的时间和日期。
FileDirection(仅限系统日志)
文件在连接期间是否进行过下载或上传。可能的值包括:
FileSandboxStatus(仅限系统日志)
表示是否已发送文件以进行动态分析,若已发送则表示状态。
第一个数据包时间 (仅限系统日志)
系统遇到第一个数据包的时间。
以下字段共同唯一地标识与特定文件或恶意软件事件相关的连接事件:DeviceUUID,第一个数据包时间,连接实例 ID 和连接计数器。
FirstPacketSecond(仅限系统日志)
文件下载或上传流程开始的时间。
消息报头时间戳中捕获有事件发生的时间。
HTTP 响应代码 (HTTP Response Code)
传输文件时,系统响应客户端的 HTTP 请求发送的 HTTP 状态代码。
入口虚拟路由器
在使用虚拟路由的网络中,用于流量进入网络的虚拟路由器的名称。
IOC
对于连接涉及的主机,恶意软件事件是否触发危害表现 (IOC)。当面向终端的 AMP 数据触发 IOC 规则时,将生成 AMP IOC 类型的完整恶意软件事件。
消息
恶意软件事件相关的其他信息。对于文件事件和 Firepower 设备生成的恶意软件事件,系统仅对处置情况发生变更的文件(即具有关联追溯性事件的文件)填充此字段。
协议(仅限系统日志)
用于连接的协议,例如 TCP 或 UDP。
接收 IP
在 FMC Web 界面中:
对于文件事件和 Firepower 设备生成的恶意软件事件,显示接收文件的主机的 IP 地址。
另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明。
对于面向终端的 AMP 生成的恶意软件事件,显示连接器报告事件的终端的 IP 地址。
有关系统日志等效项(仅 Firepower 设备生成的事件),请参阅 DstIP 和 SrcIP。
接收端口
在 FMC Web 界面中:
检测到文件的流量所用目标端口。
对于系统日志等效项,请参阅 DstIP 和 SrcIP 以及 DstPort 和 SrcPort。
安全情景(系统日志:Context)
识别流量通过的虚拟防火墙组的元数据。请注意,仅当系统管理至少一个在多情景模式下运行的 ASA FirePOWER 设备时才会显示此字段。
发送端口
在 FMC Web 界面中:
检测到文件的流量所用源端口。
对于系统日志等效项,请参阅 DstIP 和 SrcIP 以及 DstPort 和 SrcPort。
SHA256/文件 SHA256 (系统日志:FileSHA256)
文件的 SHA-256 散列值。
要具有 SHA256 值,文件必须已经过以下任一文件规则处理:
此列还会显示代表最近检测到的文件事件和文件处置情况且链接到网络文件轨迹的网络文件轨迹图标。
大小 (KB)/文件大小 (KB) (系统日志:FileSize)
在 FMC Web 界面中:文件大小(千字节)。
在系统日志消息中:文件大小(字节)。
请注意,如果系统在完全接收某个文件前确定了该文件的文件类型,则可能不会计算该文件的大小。在这种情况下,此字段为空。
SperoDisposition(仅限系统日志)
表示文件分析中是否使用了 SPERO 签名。可能的值:
-
已对文件执行 Spero 检测
-
未对文件执行 Spero 检测
SrcIP(仅限系统日志)
发起连接的主机的 IP 地址。这可能是文件发送方或接收方的 IP 地址,具体取决于 FileDirection 字段中的值:
如果 FileDirection 字段中的值为 Upload,此为文件发送方的 IP 地址。
如果 FileDirection 字段中的值为 Download,此为文件接收方的 IP 地址。
另请参阅 DstIP。
另请参阅有关发起方/响应方,源/目标和发件人/接收方字段的说明。
SrcPort(仅限系统日志)
SrcIP 所述在连接中使用的端口。
SSL 实际操作(系统日志:SSLActualAction)
系统应用于已加密流量的操作:
- 阻止或通过重置阻止
-
表示阻止的加密连接。
- 解密(重新签名)
-
表示使用重新签名的服务器证书解密的传出连接。
- 解密(替换密钥)
-
表示使用具有替代公钥的自签名服务器证书解密的传出连接。
- 解密(已知密钥)
-
表示使用已知私钥解密的传入连接。
- 默认操作
-
表示连接采用默认操作处理。
- 不解密
-
表示系统未解密的连接。
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
SSL 证书信息
用于加密流量的公钥证书上存储的信息,包括:
-
使用者/颁发者公用名称
-
使用者/颁发者组织
-
使用者/颁发者单位
-
无效时间
-
序列号、证书指纹
-
公钥指纹
有关系统日志,请参阅 SSLCertificate。
SSL 失败原因(系统日志:SSLFlowStatus)
系统无法解密已加密流量的原因:
-
未知
-
不匹配
-
成功
-
未缓存的会话
-
未知加密套件
-
不受支持的加密套件
-
不支持的 SSL 版本
-
使用了 SSL 压缩
-
会话在被动模式下无法解密
-
握手错误
-
解密错误
-
挂起的服务器名称类别查找
-
挂起的公用名类别查找
-
内部错误 (Internal Error)
-
网络参数不可用
-
服务器证书处理无效
-
服务器证书指纹不可用
-
无法缓存使用者 DN
-
无法缓存颁发者 DN
-
未知的 SSL 版本
-
外部证书列表不可用
-
外部证书指纹不可用
-
内部证书列表无效
-
内部证书列表不可用
-
内部证书不可用
-
内部证书指纹不可用
-
服务器证书验证不可用
-
服务器证书验证失败
-
无效操作
字段值显示在搜索工作流程页面上的 SSL 状态 (SSL Status) 字段中。
SSL 状态
与记录加密连接的 SSL 实际操作 (SSL 规则、默认操作或无法解密的流量操作)关联的操作。 锁定图标 指向 TLS/SSL 证书详细信息。如果证书不可用(例如,对于因 TLS/SSL 握手错误而受阻的连接),锁定图标会灰显。
如果系统无法解密已加密连接,则其会显示所采取的 SSL 实际操作 (SSL Actual Action)(无法解密的流量操作)以及 SSL 失败原因 (SSL Failure Reason)。例如,如果系统检测到使用未知密码套件加密的流量并且未做进一步检查即允许了该流量,则此字段显示 Do Not Decrypt (Unknown Cipher Suite)。
当搜索该字段时,请键入一个或多个 SSL 实际操作 (SSL Actual Action) 和 SSL 失败原因 (SSL Failure Reason) 值以查看系统处理或无法解密的已加密流量。
SSL 使用者/颁发者所在国家/地区
与加密证书关联的使用者或颁发者所在国家/地区的双字符 ISO 3166-1 alpha-2 国家/地区代码。
SSLCertificate(仅限系统日志)
TLS/SSL 服务器的证书指纹。
威胁名称(系统日志:ThreatName)
被测恶意软件名称。
威胁评分(系统日志:ThreatScore)
与此文件相关的最新威胁评分。此为 0 至 100 之间的数值,该数值基于动态分析期间观察到的潜在恶意行为。
威胁评分图标可连接到“动态分析摘要”(Dynamic Analysis Summary) 报告。
时间
事件生成的日期和时间。此字段不可搜索。
在系统日志消息中,请参阅 FirstPacketSecond。
类型/文件类型(系统日志:FileType)
文件类型,例如 HTML 或 MSEXE。
URI/文件 URI(系统日志:URI)
与文件事务关联的连接的 URI,例如,用户下载文件所使用的 URL。
用户(系统日志:User)
发起连接的主机的 IP 地址相关的用户名。如果此 IP 地址在您的网络外部,则关联的用户名通常是未知的。
如果适用,用户名前面会附加 <区域>\。
对于文件事件和 Firepower 设备生成的恶意软件事件,此字段显示由身份策略或授权登录确定的用户名。如果没有身份策略,则显示“无需身份验证”。
对于面向终端的 AMP 生成的恶意软件事件,用户名由面向终端的 AMP 确定。这些用户不受用户发现或控制束缚。他们不会出现在用户表中,您也无法查看这些用户详细信息。
Web 应用(系统日志:WebApplication)
代表连接内被检测 HTTP 流量内容或所请求 URL 的应用。
Web 应用类别或标记 (Web Application Category or Tag)
展示了应用特征的标准,以帮助您了解应用功能。