您可以替代或禁止 NSX 计算的文件判定结果。允许列表表格中列出了判定为禁止的文件。

假定 NSX 恶意软件防护 已在数据中心内某些用户的客户机虚拟机上提取可执行文件,且计算出此文件的判定结果为恶意文件。如果安全策略中的规则设置为检测和阻止模式,则 NSX 恶意软件防护 功能会在客户机虚拟机上阻止此文件。但是,如果您已确定文件为合法且不会对数据中心内的用户造成危害,则可以禁止(替代)NSX 计算的判定结果。列入允许列表的判定记录在 NSX Manager 数据库中,以便进行审核。在数据中心中检测到或再次提取列入允许列表的此文件时,NSX 恶意软件防护 不会分析此文件,并返回未检测的判定。您将此文件从允许列表中移除后,NSX 恶意软件防护 才会在后续文件提取中再次分析已禁止的此文件。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 单击安全性,然后在左侧导航窗格中单击恶意软件防护
    此时将显示 潜在的恶意软件页面。您可以在此页面或 所有文件页面上执行后续步骤。
  3. 单击页面右上角的筛选器图标,然后选择筛选页面上信息的条件。
    筛选信息可帮助您快速找到所需的文件。例如,您可以选择 判定标准,然后选择 恶意选项,以查看页面上仅被判定为恶意的文件。
  4. 在此表格中,单击要禁止其判定的文件的禁止图标,然后单击应用
    注: 一次只能禁止一个文件。当前不支持同时批量禁止多个文件。
    系统会为判定为 允许列表的相同文件哈希生成一个新的文件事件。文件的威胁评分不变。但是,气泡颜色将变为灰色,而此文件哈希的气泡将移动到气泡图中的“未检查”(允许列表)时间轴。
  5. 确认已将禁止的文件添加到允许列表表格中。
    1. 导航到 安全 > IDS/IPS 和恶意软件防护 > 设置 > 恶意软件防护
    2. 单击此表格底部的刷新图标。
      文件将显示在允许列表表格中。
  6. 如果要从允许列表表格中移除此文件,请选择此文件,然后单击删除。在显示的信息中,单击以确认删除操作。