Familiarisez-vous avec les terminologies clés utilisées dans Prévention des logiciels malveillants de NSX.

Analyse de fichier cloud

L'analyse de fichier cloud est effectuée par le service NSX Advanced Threat Prevention qui s'exécute dans le cloud. Cela implique une analyse détaillée des fichiers inconnus à l'aide des techniques suivantes pour détecter si le fichier est inoffensif, malveillant ou suspect :
  • Sandboxing et analyse comportementale de Prévention des logiciels malveillants de NSX
  • Algorithmes statistiques
  • Intelligence artificielle et apprentissage automatique
  • Inspection approfondie du contenu

NSX envoie des fichiers inconnus via une connexion sécurisée au cloud uniquement lorsque vous optez pour l'analyse de fichier cloud dans votre profil de sécurité de protection contre les programmes malveillants.

Événement de fichier

Événement généré lorsqu'un fichier est extrait ou intercepté du trafic du chemin de données sur un dispositif NSX Edge ou une VM invitée sur l'hôte. Sur un dispositif NSX Edge, le fichier est extrait par le moteur IDPS NSX et, sur une VM invitée, le fichier est extrait par le pilote d'introspection de fichiers NSX dans l'agent léger de Guest Introspection (GI).

Analyse de fichiers locaux

L'analyse de fichiers locaux s'effectue dans NSX sur les nœuds de transport NSX Edge et les nœuds de transport hôtes ESXi activés pour Prévention des logiciels malveillants de NSX. Elle implique une analyse légère des fichiers inconnus selon un ensemble de hachages de fichiers pour déterminer si le fichier est inoffensif, malveillant ou suspect.

Catégorie de programmes malveillants

Il s'agit du type de menace. Voici des exemples de catégorie de programmes malveillants : virus, chevaux de Troie, vers informatiques, logiciels de publicité, rançongiciels, logiciels espions, etc.

Famille de programmes malveillants

Il s'agit d'un nom qui identifie un groupe spécifique de fichiers de programmes malveillants, qui proviennent généralement du même code source ou sont développés par les mêmes auteurs de programmes malveillants. Exemples de familles de programmes malveillants : valyria, darkside, etc.

Réputation

Informations sur les menaces concernant un fichier, une URL ou d'autres artefacts qui fournissent des détails sur le fichier, l'URL.

Par exemple, la réputation d'un fichier peut inclure les détails suivants :
  • Nom de l'éditeur de fichiers
  • Le fichier est-il signé (Oui ou Non) ?
  • Autorité de signature du fichier
  • Catégorie de réputation du fichier (programme malveillant, suspect, approuvé)
  • Catégorie de programmes malveillants à laquelle appartient le fichier. Par exemple, cheval de Troie, porte dérobée, logiciel de publicité, etc.

Les détails de réputation des fichiers sont stockés dans le cloud et accessibles par tous les clients de NSX.

Score de menace

Il indique le degré de risque ou d'intention malveillante associé au fichier. Un score de menace élevé indique un risque plus élevé, et inversement.

Verdict

Prévention des logiciels malveillants de NSX signale une décision concernant les fichiers, qui sont interceptés dans le centre de données sur les dispositifs NSX Edge (trafic nord-sud) ou sur les VM invitées (trafic est-ouest). La décision concernant le fichier est appelée un verdict. Le verdict peut être l'une des valeurs suivantes.
Valeur Description

Inoffensif

Le fichier est sain ou peut être téléchargé en toute sécurité.

Approuvé

Le fichier est approuvé en fonction de son comportement.

Hautement approuvé

Le fichier est issu d'une source hautement approuvée, par exemple, Microsoft, Apple, Adobe, etc.

Malveillant

Le fichier est dangereux ou constitue une menace pour le centre de données.

Suspect

Le fichier est potentiellement dangereux ou indésirable.

Inconnu

Le fichier n'est pas connu de NSX et, par conséquent, aucune décision n'est disponible pour le fichier.

Non inspecté

Ce fichier n'est pas inspecté par Prévention des logiciels malveillants de NSX, car vous aviez précédemment supprimé ou mis sur liste autorisée le fichier.

Menace de type zero-day

Menace qui n'est pas visible dans NSX avant et qui ne correspond à aucune des signatures de logiciels malveillants connues.