Familiarisez-vous avec les terminologies clés utilisées dans Prévention des logiciels malveillants de NSX.
Analyse de fichier cloud
- Sandboxing et analyse comportementale de Prévention des logiciels malveillants de NSX
- Algorithmes statistiques
- Intelligence artificielle et apprentissage automatique
- Inspection approfondie du contenu
NSX envoie des fichiers inconnus via une connexion sécurisée au cloud uniquement lorsque vous optez pour l'analyse de fichier cloud dans votre profil de sécurité de protection contre les programmes malveillants.
Événement de fichier
Événement généré lorsqu'un fichier est extrait ou intercepté du trafic du chemin de données sur un dispositif NSX Edge ou une VM invitée sur l'hôte. Sur un dispositif NSX Edge, le fichier est extrait par le moteur IDPS NSX et, sur une VM invitée, le fichier est extrait par le pilote d'introspection de fichiers NSX dans l'agent léger de Guest Introspection (GI).
Analyse de fichiers locaux
L'analyse de fichiers locaux s'effectue dans NSX sur les nœuds de transport NSX Edge et les nœuds de transport hôtes ESXi activés pour Prévention des logiciels malveillants de NSX. Elle implique une analyse légère des fichiers inconnus selon un ensemble de hachages de fichiers pour déterminer si le fichier est inoffensif, malveillant ou suspect.
Catégorie de programmes malveillants
Il s'agit du type de menace. Voici des exemples de catégorie de programmes malveillants : virus, chevaux de Troie, vers informatiques, logiciels de publicité, rançongiciels, logiciels espions, etc.
Famille de programmes malveillants
Il s'agit d'un nom qui identifie un groupe spécifique de fichiers de programmes malveillants, qui proviennent généralement du même code source ou sont développés par les mêmes auteurs de programmes malveillants. Exemples de familles de programmes malveillants : valyria, darkside, etc.
Réputation
Informations sur les menaces concernant un fichier, une URL ou d'autres artefacts qui fournissent des détails sur le fichier, l'URL.
- Nom de l'éditeur de fichiers
- Le fichier est-il signé (Oui ou Non) ?
- Autorité de signature du fichier
- Catégorie de réputation du fichier (programme malveillant, suspect, approuvé)
- Catégorie de programmes malveillants à laquelle appartient le fichier. Par exemple, cheval de Troie, porte dérobée, logiciel de publicité, etc.
Les détails de réputation des fichiers sont stockés dans le cloud et accessibles par tous les clients de NSX.
Score de menace
Il indique le degré de risque ou d'intention malveillante associé au fichier. Un score de menace élevé indique un risque plus élevé, et inversement.
Verdict
Valeur | Description |
---|---|
Inoffensif |
Le fichier est sain ou peut être téléchargé en toute sécurité. |
Approuvé |
Le fichier est approuvé en fonction de son comportement. |
Hautement approuvé |
Le fichier est issu d'une source hautement approuvée, par exemple, Microsoft, Apple, Adobe, etc. |
Malveillant |
Le fichier est dangereux ou constitue une menace pour le centre de données. |
Suspect |
Le fichier est potentiellement dangereux ou indésirable. |
Inconnu |
Le fichier n'est pas connu de NSX et, par conséquent, aucune décision n'est disponible pour le fichier. |
Non inspecté |
Ce fichier n'est pas inspecté par Prévention des logiciels malveillants de NSX, car vous aviez précédemment supprimé ou mis sur liste autorisée le fichier. |
Menace de type zero-day
Menace qui n'est pas visible dans NSX avant et qui ne correspond à aucune des signatures de logiciels malveillants connues.