Familiarícese con la terminología clave que se utiliza en NSX Malware Prevention.
Análisis de archivos de nube
- Espacio aislado y análisis de comportamiento de NSX Malware Prevention
- Algoritmos estadísticos
- Inteligencia artificial y aprendizaje automático
- Inspección profunda de contenido
NSX envía archivos desconocidos a través de una conexión segura a la nube solo cuando se opta por el análisis de archivos de nube en el perfil de seguridad de prevención de malware.
Evento de archivo
Un evento que se genera cuando se extrae o se intercepta un archivo del tráfico de ruta de datos en NSX Edge o una máquina virtual invitada en el host. En NSX Edge, el motor de IDPS de NSX extrae el archivo y, en una máquina virtual invitada, el controlador de introspección de archivos de NSX extrae el archivo en a instancia de Thin Agent de Guest Introspection (GI).
Análisis de archivos locales
El análisis de archivos locales se realiza dentro de NSX en nodos de transporte de NSX Edge y nodos de transporte de host ESXi que se activan para NSX Malware Prevention. Implica un escaneado ligero de archivos desconocidos y su cotejo con un conjunto conocido de hashes de archivos para detectar si el archivo es benigno, malintencionado o sospechoso:
Clase de malware
Es el tipo de amenaza. Ejemplos de clase de malware son virus, troyanos, gusanos, adware, ransomware, spyware, etc.
Familia de malware
Es un nombre que identifica un grupo específico de archivos de malware, que normalmente se origina en el mismo código fuente o que desarrollan los mismos autores de malware. Algunos ejemplos de familias de malware son valyria, darkside, etc.
Reputación
Información sobre amenazas sobre un archivo, URL u otros artefactos que proporcionan detalles sobre el archivo, la URL.
- Nombre del publicador de archivos
- ¿Está firmado el archivo? (Sí o No)
- La autoridad de firma del archivo
- Categoría de reputación del archivo (malware, sospechoso, de confianza)
- Clase de malware a la que pertenece el archivo. Por ejemplo, troyanos, puertas traseras, adware, etc.
Los detalles de reputación de archivos se almacenan en la nube y todos los clientes NSX pueden acceder a ellos.
Puntuación de amenaza
Indica el grado de riesgo o malintencionado que está asociado con el archivo. Una puntuación de amenaza alta indica una mayor cantidad de riesgo y viceversa.
Veredicto
Valor | Descripción |
---|---|
Benigno |
El archivo es adecuado o seguro para descargarlo. |
De confianza |
El archivo es de confianza en función de su comportamiento. |
De plena confianza |
El archivo proviene de un origen de alta confianza, por ejemplo, Microsoft, Apple, Adobe, etc. |
Malicioso |
El archivo es perjudicial o una amenaza para el centro de datos. |
Sospechoso |
El archivo es potencialmente perjudicial o no deseado. |
Desconocido |
El archivo no es conocido para NSX y, por lo tanto, no hay ninguna decisión disponible para el archivo. |
Sin revisar |
Este archivo no es inspeccionado por NSX Malware Prevention porque había eliminado o permitido anteriormente el archivo en la lista de permitidos. |
Amenaza de día cero
Una amenaza no vista antes en NSX y que no coincide con ninguna de las firmas de malware conocidas.