Familiarícese con la terminología clave que se utiliza en Prevención de malware de NSX.

Análisis de archivos de nube

El servicio NSX Advanced Threat Prevention que se ejecuta en la nube realiza el análisis de archivos de nube. Implica un análisis detallado de archivos desconocidos mediante las siguientes técnicas para detectar si el archivo es benigno, malintencionado o sospechoso:
  • Espacio aislado y análisis de comportamiento de Prevención de malware de NSX
  • Algoritmos estadísticos
  • Inteligencia artificial y aprendizaje automático
  • Inspección profunda de contenido

NSX-T envía archivos desconocidos a través de una conexión segura a la nube solo cuando se opta por el análisis de archivos de nube en el perfil de seguridad de prevención de malware.

Evento de archivo

Un evento que se genera cuando se extrae o se intercepta un archivo del tráfico de ruta de datos en NSX Edge o una máquina virtual invitada en el host. En NSX Edge, el motor de IDPS de NSX extrae el archivo y, en una máquina virtual invitada, el controlador de introspección de archivos de NSX extrae el archivo en a instancia de Thin Agent de Guest Introspection (GI).

Análisis de archivos locales

El análisis de archivos locales se realiza dentro de NSX-T Data Center en nodos de transporte de NSX Edge y nodos de transporte de host ESXi que se activan para Prevención de malware de NSX. Implica un escaneado ligero de archivos desconocidos y su cotejo con un conjunto conocido de hashes de archivos para detectar si el archivo es benigno, malintencionado o sospechoso:

Clase de malware

Es el tipo de amenaza. Ejemplos de clase de malware son virus, troyanos, gusanos, adware, ransomware, spyware, etc.

Familia de malware

Es un nombre que identifica un grupo específico de archivos de malware, que normalmente se origina en el mismo código fuente o que desarrollan los mismos autores de malware. Algunos ejemplos de familias de malware son valyria, darkside, etc.

Reputación

Información sobre amenazas sobre un archivo, URL u otros artefactos que proporcionan detalles sobre el archivo, la URL.

Por ejemplo, la reputación de un archivo puede incluir los siguientes detalles:
  • Nombre del publicador de archivos
  • ¿Está firmado el archivo? (Sí o No)
  • La autoridad de firma del archivo
  • Categoría de reputación del archivo (malware, sospechoso, de confianza)
  • Clase de malware a la que pertenece el archivo. Por ejemplo, troyanos, puertas traseras, adware, etc.

Los detalles de reputación de archivos se almacenan en la nube y todos los clientes NSX-T Data Center pueden acceder a ellos.

Puntuación de amenaza

Indica el grado de riesgo o malintencionado que está asociado con el archivo. Una puntuación de amenaza alta indica una mayor cantidad de riesgo y viceversa.

Veredicto

Prevención de malware de NSX notifica una decisión sobre los archivos, que se interceptan en el centro de datos en las instancias de NSX Edge (tráfico norte-sur) o en las máquinas virtuales invitadas (tráfico este-oeste). La decisión sobre el archivo se denomina veredicto. El veredicto puede ser uno de los siguientes valores.
Valor Descripción

Benigno

El archivo es adecuado o seguro para descargarlo.

De confianza

El archivo es de confianza en función de su comportamiento.

De plena confianza

El archivo proviene de un origen de alta confianza, por ejemplo, Microsoft, Apple, Adobe, etc.

Malicioso

El archivo es perjudicial o una amenaza para el centro de datos.

Sospechoso

El archivo es potencialmente perjudicial o no deseado.

Desconocido

El archivo no es conocido para NSX-T y, por lo tanto, no hay ninguna decisión disponible para el archivo.

Sin revisar

Este archivo no es inspeccionado por Prevención de malware de NSX porque había eliminado o permitido anteriormente el archivo en la lista de permitidos.

Amenaza de día cero

Una amenaza no vista antes en NSX-T Data Center y que no coincide con ninguna de las firmas de malware conocidas.