Sie können die von NSX berechnete Dateibewertung überschreiben oder unterdrücken. Dateien mit unterdrückter Bewertung werden in der Tabelle „Positivliste“ aufgeführt.
Angenommen, NSX Malware Prevention hat eine ausführbare Datei auf den Gast-VMs einiger Benutzer im Datencenter extrahiert, und bei der Berechnung für diese Datei ergibt sich eine Bewertung als bösartig. Wenn die Regel in Ihrer Sicherheitsrichtlinie auf den Modus „Erkennen und verhindern“ festgelegt ist, blockiert die Funktion NSX Malware Prevention diese Datei auf den Gast-VMs. Wenn Sie jedoch festgestellt haben, dass die Datei legitim und für die Benutzer im Datencenter nicht schädlich ist, können Sie die von NSX berechnete Bewertung unterdrücken (überschreiben). Die Positivlistenbewertung wird zu Prüfzwecken in der NSX Manager-Datenbank protokolliert. Wenn diese in die Positivliste aufgenommene Datei im Datencenter erkannt oder erneut extrahiert wird, analysiert NSX Malware Prevention diese Datei nicht und gibt als Bewertung Nicht geprüft zurück. NSX Malware Prevention kann diese unterdrückte Datei in nachfolgenden Dateiextraktionen erst wieder analysieren, nachdem Sie die Datei aus der Positivlistentabelle entfernt haben.
Prozedur
- Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
- Klicken Sie auf Sicherheit und dann im linken Navigationsbereich auf Malware-Schutz.
Die Seite
Potenzielle Malware wird angezeigt. Sie können die nachfolgenden Schritte auf dieser Seite oder auf der Seite
Alle Dateien durchführen.
- Klicken Sie auf das Filtersymbol in der oberen rechten Ecke der Seite und wählen Sie die Kriterien zum Filtern der Informationen auf der Seite aus.
Sie können die Informationen filtern, um die Datei, die für Sie von Interesse ist, schneller zu finden. Beispielsweise können Sie das Kriterium
Bewertung auswählen und dann die Option
Bösartig auswählen, um nur Dateien mit Bewertung als bösartig auf der Seite anzuzeigen.
- Klicken Sie in der Tabelle für die Datei, deren Bewertung Sie unterdrücken möchten, auf das Symbol Unterdrücken und klicken Sie dann auf Anwenden.
Hinweis: Sie können jeweils nur eine Datei unterdrücken. Eine Batchunterdrückung mehrerer Dateien gleichzeitig wird derzeit nicht unterstützt.
Für denselben Datei-Hash mit der Bewertung
Positivliste wird ein neues Dateiereignis generiert. Die Bedrohungsbewertung der Datei ändert sich nicht. Die Farbe der Blase ändert sich jedoch in Grau und die Blase dieses Datei-Hashes wechselt im Blasendiagramm in die Zeitachse „Nicht geprüft“ (Positivliste).
- Überprüfen Sie, ob die unterdrückte Datei zur Positivlistentabelle hinzugefügt wurde.
- Navigieren Sie zu .
- Klicken Sie unten in der Tabelle auf das Symbol Aktualisieren.
Die Datei wird in der Positivlistentabelle angezeigt.
- Wenn Sie die Datei aus der Positivlistentabelle entfernen möchten, wählen Sie die Datei aus und klicken Sie auf Löschen. Klicken Sie in der angezeigten Informationsmeldung auf Ja, um die Löschaktion zu bestätigen.