熟悉 NSX 恶意软件防护 中使用的关键术语。
云文件分析
云文件分析由在云中运行的
NSX Advanced Threat Prevention 服务完成。它涉及使用以下技术详细分析未知文件,以检测文件是正常、恶意还是可疑文件:
- NSX 恶意软件防护 沙箱和行为分析
- 统计算法
- 人工智能和机器学习
- 深层内容检查
仅当您选择在恶意软件防护安全配置文件中进行云文件分析时,NSX-T 才会通过安全连接向云发送未知文件。
文件事件
从主机上的 NSX Edge 或客户机虚拟机上的数据路径流量提取或拦截文件时生成的事件。在 NSX Edge 上,文件由 NSX IDPS 引擎提取,而在客户机虚拟机上,文件由客户机侦测 (GI) 瘦代理中的 NSX 文件侦测驱动程序提取。
本地文件分析
本地文件分析在启用 NSX 恶意软件防护 的 NSX Edge 传输节点和 ESXi 主机传输节点上的 NSX-T Data Center 中完成。它涉及对照一组已知的文件哈希对未知文件进行轻量级扫描,以检测文件是正常、恶意还是可疑文件。
恶意软件类别
它是威胁类型。例如,恶意软件类包括病毒、特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。
恶意软件系列
它是一个用于标识特定的一组恶意软件文件的名称,这些文件通常源自同一源代码或由同一个恶意软件作者开发。恶意软件系列包括 valyria、darkside 等。
信誉
有关文件、URL 或其他工件的威胁信息,提供文件、URL 的详细信息。
例如,文件的信誉可以包含以下详细信息:
- 文件发布者的名称
- 文件是否已签名(是或否)
- 文件的签名机构
- 文件的信誉类别(恶意软件、可疑、受信任)
- 文件所属的恶意软件类。例如,特洛伊木马、后门程序、广告软件等。
文件信誉详细信息存储在云中,所有 NSX-T Data Center 客户均可访问。
威胁评分
它表示与文件关联的风险或恶意意图的程度。威胁评分越高,表示风险越大,反之亦然。
判定
NSX 恶意软件防护 报告有关文件的决策,这些文件在数据中心内的 NSX Edge(南北向流量)或客户机虚拟机(东西向流量)上截获。与文件有关的决定称为判定结果。判定结果可以是以下值之一。
| 值 | 描述 |
|---|---|
| 正常 |
文件正常或可以安全地下载。 |
| 受信任 |
基于文件的行为来看,文件是受信任的。 |
| 高度可信 |
该文件来自高度可信的源,例如 Microsoft、Apple、Adobe 等。 |
| 恶意 |
文件对数据中心有害或有威胁。 |
| 可疑 |
文件可能有害或是多余的。 |
| 未知 |
文件对 NSX-T 为未知,因此无法对文件作出决定。 |
| 未检查 |
NSX 恶意软件防护 不会检查此文件,因为您之前已禁止此文件或将此文件列入允许列表。 |
零日威胁
之前未出现在 NSX-T Data Center 中且不匹配任何已知恶意软件特征码的威胁。
