Familiarisez-vous avec les terminologies clés utilisées dans Protection contre les programmes malveillants NSX.
Analyse de fichier cloud
- Sandboxing et analyse comportementale de Protection contre les programmes malveillants NSX
- Algorithmes statistiques
- Intelligence artificielle et apprentissage automatique
- Inspection approfondie du contenu
NSX-T envoie des fichiers inconnus via une connexion sécurisée au cloud uniquement lorsque vous optez pour l'analyse de fichier cloud dans votre profil de sécurité de protection contre les programmes malveillants.
Événement de fichier
Événement généré lorsqu'un fichier est extrait ou intercepté du trafic du chemin de données sur un dispositif NSX Edge ou une VM invitée sur l'hôte. Sur un dispositif NSX Edge, le fichier est extrait par le moteur IDPS NSX et, sur une VM invitée, le fichier est extrait par le pilote d'introspection de fichiers NSX dans l'agent léger de Guest Introspection (GI).
Analyse de fichiers locaux
L'analyse de fichiers locaux s'effectue dans NSX-T Data Center sur les nœuds de transport NSX Edge et les nœuds de transport hôtes ESXi activés pour Protection contre les programmes malveillants NSX. Elle implique une analyse légère des fichiers inconnus selon un ensemble de hachages de fichiers pour déterminer si le fichier est inoffensif, malveillant ou suspect.
Catégorie de programmes malveillants
Il s'agit du type de menace. Voici des exemples de catégorie de programmes malveillants : virus, chevaux de Troie, vers informatiques, logiciels de publicité, rançongiciels, logiciels espions, etc.
Famille de programmes malveillants
Il s'agit d'un nom qui identifie un groupe spécifique de fichiers de programmes malveillants, qui proviennent généralement du même code source ou sont développés par les mêmes auteurs de programmes malveillants. Exemples de familles de programmes malveillants : valyria, darkside, etc.
Réputation
Informations sur les menaces concernant un fichier, une URL ou d'autres artefacts qui fournissent des détails sur le fichier, l'URL.
- Nom de l'éditeur de fichiers
- Le fichier est-il signé (Oui ou Non) ?
- Autorité de signature du fichier
- Catégorie de réputation du fichier (programme malveillant, suspect, approuvé)
- Catégorie de programmes malveillants à laquelle appartient le fichier. Par exemple, cheval de Troie, porte dérobée, logiciel de publicité, etc.
Les détails de réputation des fichiers sont stockés dans le cloud et accessibles par tous les clients de NSX-T Data Center.
Score de menace
Il indique le degré de risque ou d'intention malveillante associé au fichier. Un score de menace élevé indique un risque plus élevé, et inversement.
Verdict
| Valeur | Description |
|---|---|
| Inoffensif |
Le fichier est sain ou peut être téléchargé en toute sécurité. |
| Approuvé |
Le fichier est approuvé en fonction de son comportement. |
| Hautement approuvé |
Le fichier est issu d'une source hautement approuvée, par exemple, Microsoft, Apple, Adobe, etc. |
| Malveillant |
Le fichier est dangereux ou constitue une menace pour le centre de données. |
| Suspect |
Le fichier est potentiellement dangereux ou indésirable. |
| Inconnu |
Le fichier n'est pas connu de NSX-T et, par conséquent, aucune décision n'est disponible pour le fichier. |
| Non inspecté |
Ce fichier n'est pas inspecté par Protection contre les programmes malveillants NSX, car vous aviez précédemment supprimé ou mis sur liste autorisée le fichier. |
Menace de type zero-day
Menace qui n'est pas visible dans NSX-T Data Center avant et qui ne correspond à aucune des signatures de logiciels malveillants connues.
