熟悉 NSX 恶意软件防护 中使用的关键术语。

云文件分析

云文件分析由在云中运行的 NSX Advanced Threat Prevention 服务完成。它涉及使用以下技术详细分析未知文件,以检测文件是正常、恶意还是可疑文件:
  • NSX 恶意软件防护 沙箱和行为分析
  • 统计算法
  • 人工智能和机器学习
  • 深层内容检查

仅当您选择在恶意软件防护安全配置文件中进行云文件分析时,NSX-T 才会通过安全连接向云发送未知文件。

文件事件

从主机上的 NSX Edge 或客户机虚拟机上的数据路径流量提取或拦截文件时生成的事件。在 NSX Edge 上,文件由 NSX IDPS 引擎提取,而在客户机虚拟机上,文件由客户机侦测 (GI) 瘦代理中的 NSX 文件侦测驱动程序提取。

本地文件分析

本地文件分析在启用 NSX 恶意软件防护NSX Edge 传输节点和 ESXi 主机传输节点上的 NSX-T Data Center 中完成。它涉及对照一组已知的文件哈希对未知文件进行轻量级扫描,以检测文件是正常、恶意还是可疑文件。

恶意软件类别

它是威胁类型。例如,恶意软件类包括病毒、特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。

恶意软件系列

它是一个用于标识特定的一组恶意软件文件的名称,这些文件通常源自同一源代码或由同一个恶意软件作者开发。恶意软件系列包括 valyria、darkside 等。

信誉

有关文件、URL 或其他工件的威胁信息,提供文件、URL 的详细信息。

例如,文件的信誉可以包含以下详细信息:
  • 文件发布者的名称
  • 文件是否已签名(是或否)
  • 文件的签名机构
  • 文件的信誉类别(恶意软件、可疑、受信任)
  • 文件所属的恶意软件类。例如,特洛伊木马、后门程序、广告软件等。

文件信誉详细信息存储在云中,所有 NSX-T Data Center 客户均可访问。

威胁评分

它表示与文件关联的风险或恶意意图的程度。威胁评分越高,表示风险越大,反之亦然。

判定

NSX 恶意软件防护 报告有关文件的决策,这些文件在数据中心内的 NSX Edge(南北向流量)或客户机虚拟机(东西向流量)上截获。与文件有关的决定称为判定结果。判定结果可以是以下值之一。
描述

正常

文件正常或可以安全地下载。

受信任

基于文件的行为来看,文件是受信任的。

高度可信

该文件来自高度可信的源,例如 Microsoft、Apple、Adobe 等。

恶意

文件对数据中心有害或有威胁。

可疑

文件可能有害或是多余的。

未知

文件对 NSX-T 为未知,因此无法对文件作出决定。

未检查

NSX 恶意软件防护 不会检查此文件,因为您之前已禁止此文件或将此文件列入允许列表。

零日威胁

之前未出现在 NSX-T Data Center 中且不匹配任何已知恶意软件特征码的威胁。