Machen Sie sich mit den wichtigsten Begriffen vertraut, die in NSX Malware Prevention verwendet werden.

Cloud-Dateianalyse

Die Cloud-Dateianalyse erfolgt durch den NSX Advanced Threat Prevention-Dienst, der in der Cloud ausgeführt wird. Dies beinhaltet eine detaillierte Analyse unbekannter Dateien mithilfe der folgenden Techniken, um zu erkennen, ob die Datei ungefährlich, schädlich oder verdächtig ist:
  • NSX Malware Prevention-Sandboxing und Verhaltensanalyse
  • Statistische Algorithmen
  • Künstliche Intelligenz und maschinelles Lernen
  • Deep-Content-Inspektion

NSX sendet unbekannte Dateien nur dann über eine sichere Verbindung zur Cloud, wenn Sie sich in Ihrem Malware-Schutz-Sicherheitsprofil für eine Cloud-Dateianalyse entscheiden.

Dateiereignis

Ein Ereignis, das generiert wird, wenn eine Datei aus dem Datenverkehr des Datenpfads auf einem NSX Edge oder einer Gast-VM auf dem Host extrahiert oder abgefangen wird. Auf einem NSX Edge wird die Datei von der NSX-IDPS-Engine extrahiert, und auf einer Gast-VM wird die Datei vom NSX Datei-Introspektion-Treiber im Guest Introspection(GI)-Thin Agent extrahiert.

Lokale Dateianalyse

Die lokale Dateianalyse erfolgt innerhalb des NSX auf NSX Edge-Transportknoten und ESXi-Host-Transportknoten, die für NSX Malware Prevention aktiviert sind. Dies beinhaltet eine grobe Analyse unbekannter Dateien anhand eines bekannten Satzes von Datei-Hashes, um festzustellen, ob die Datei ungefährlich, bösartig oder verdächtig ist.

Malware-Klasse

Es handelt sich um eine Art der Bedrohung. Beispiele für Malware-Klassen sind Viren, Trojaner, Würmer, Adware, Ransomware, Spyware usw.

Malware-Familie

Es handelt sich um einen Namen, der eine bestimmte Gruppe von Malware-Dateien identifiziert, die in der Regel aus demselben Quellcode stammen oder von denselben Malware-Autoren entwickelt wurden. Beispiele für Malware-Familien sind Valyria, Darkside usw.

Reputation

Bedrohungsinformationen zu einer Datei, URL oder anderen Artefakten; diese enthalten Details über die Datei, die URL usw.

Beispielsweise kann die Reputation einer Datei die folgenden Details enthalten:
  • Name des Dateiherausgebers
  • Ist die Datei signiert? (Ja oder Nein)
  • Die Signaturautorität der Datei
  • Reputationskategorie der Datei (Malware, verdächtig, vertrauenswürdig)
  • Malware-Klasse, zu der die Datei gehört. Beispiel: Trojaner, Backdoor, Adware usw.

Details zur Dateireputation werden in der Cloud gespeichert und sind für alle NSX-Kunden zugänglich.

Bedrohungsbewertung

Sie gibt den mit der Datei verbundenen Risikograd bzw. die Wahrscheinlichkeit einer bösartigen Absicht an. Eine hohe Bedrohungsbewertung weist auf ein größeres Risiko hin und umgekehrt.

Bewertung

NSX Malware Prevention meldet eine Einstufung der Dateien, die im Datencenter entweder auf den NSX Edges (vertikaler Datenverkehr) oder auf den Gast-VMs (horizontaler Datenverkehr) abgefangen werden. Die Einstufung der Datei wird als Bewertung bezeichnet. Die Bewertung kann die Datei in eine der folgenden Risikoklassen einstufen:
Wert Beschreibung

Ungefährlich

Die Datei kann problemlos heruntergeladen werden.

Vertrauenswürdig

Die Datei wird basierend auf ihrem Verhalten als vertrauenswürdig eingestuft.

Sehr vertrauenswürdig

Die Datei stammt aus einer hochgradig vertrauenswürdigen Quelle, z. B. Microsoft, Apple, Adobe usw.

Bösartig

Die Datei ist schädlich oder stellt eine Bedrohung für das Datencenter dar.

Verdächtig

Die Datei ist potenziell schädlich oder unerwünscht.

Unbekannt

Die Datei ist NSX nicht bekannt und kann daher nicht bewertet werden.

Nicht geprüft

Diese Datei wird von NSX Malware Prevention nicht geprüft, da Sie die Datei zuvor unterdrückt oder in die Positivliste aufgenommen haben.

Zero-Day-Lücke

Eine Sicherheitslücke, die in NSX bisher nicht vorgekommen ist und die mit keiner der bekannten Malware-Signaturen übereinstimmt.