Familiarizzare con i termini chiave utilizzati in Prevenzione malware NSX.

Analisi dei file cloud

L'analisi dei file cloud viene eseguita dal servizio NSX Advanced Threat Prevention in esecuzione nel cloud. Implica un'analisi dettagliata dei file sconosciuti utilizzando le tecniche seguenti per scoprire se un file è innocuo, dannoso o sospetto.
  • Analisi comportamentale e sandboxing di Prevenzione malware NSX
  • Algoritmi statistici
  • Intelligenza artificiale e apprendimento automatico
  • Ispezione approfondita dei contenuti

NSX invia file sconosciuti tramite una connessione sicura al cloud solo se si sceglie l'analisi dei file cloud nel profilo di sicurezza Prevenzione malware.

Evento file

Un evento generato quando un file viene estratto o intercettato dal traffico del percorso dati in un NSX Edge o in una macchina virtuale guest nell'host. In un NSX Edge, il file viene estratto dal motore NSX IDPS e in una macchina virtuale guest il file viene estratto da Driver NSX File Introspection nel thin agent Guest Introspection (GI).

Analisi dei file Locale

L'analisi del file locale viene eseguita all'interno di NSX nei nodi di trasporto di NSX Edge e di ESXi dell'host attivati per Prevenzione malware NSX. Implica un'analisi generica dei file sconosciuti utilizzando le tecniche seguenti per scoprire se un file è innocuo, dannoso o sospetto.

Classe malware

Si tratta del tipo di minaccia. Esempi di classe malware sono virus, trojan, worm, adware, ransomware, spyware e così via.

Famiglia malware

Si tratta di un nome che identifica un gruppo specifico di file malware, che in genere provengono dallo stesso codice sorgente o dagli stessi autori di malware. Esempi di famiglie di malware sono valyria, darkside e così via.

Reputazione

Informazioni sulle minacce relative a un file, un URL o altri artefatti che forniscono dettagli sul file, l'URL.

Ad esempio, la reputazione di un file può includere i seguenti dettagli:
  • Nome dell'autore del file
  • È il file firmato (Sì o No)
  • L'autorità di firma del file
  • Categoria di reputazione del file (malware, sospetto, attendibile)
  • Classe malware a cui appartiene il file. Ad esempio, trojan, backdoor, adware e così via.

I dettagli di reputazione del file vengono archiviati nel cloud e sono accessibili a tutti i clienti NSX.

Punteggio minaccia

Indica il livello di rischio o intento dannoso associato al file. Un punteggio di minaccia elevato indica una maggiore quantità di rischio e viceversa.

Verdetto

Prevenzione malware NSX segnala una decisione sui file, che vengono intercettati nel data center in NSX Edge (traffico nord-sud) o nelle macchine virtuali guest (traffico est-ovest). La decisione sul file è definita essere verdetto. Il verdetto può essere uno dei seguenti valori.
Valore Descrizione

Legittimo

Il download del file è idoneo o sicuro.

Attendibile

Il file viene considerato attendibile in base al suo comportamento.

Altamente attendibile

Il file proviene da una fonte altamente attendibile, ad esempio Microsoft, Apple, Adobe e così via.

Dannoso

Il file è dannoso o rappresenta una minaccia per il data center.

Sospetta

Il file è potenzialmente dannoso o indesiderato.

Sconosciuto

Il file non è noto a NSX e non è quindi disponibile alcuna decisione per il file.

Non ispezionato

 Questo file non è stato ispezionato da Prevenzione malware NSX perché in precedenza il file era stato eliminato o inserito nella lista consentita.

Minaccia zero-day

Una minaccia che non mai stata rilevata in NSX e che non corrisponde ad alcuna delle firme malware note.