NSX Malware Preventionで使用される主な用語について理解しておく必要があります。

クラウド ファイル分析

クラウド ファイル分析は、クラウドで実行されている NSX Advanced Threat Prevention サービスによって行われます。次の方法で不明なファイルを詳しく分析し、無害なファイル、悪質なファイル、または不審なファイルかを検出します。
  • NSX Malware Preventionサンドボックスと動作分析
  • 統計アルゴリズム
  • 人工知能と機械学習
  • 詳細なコンテンツ検査

NSX は、マルウェア防止セキュリティ プロファイルでクラウド ファイル分析を選択した場合にのみ、クラウドへの安全な接続を介して不明なファイルを送信します。

ファイル イベント

ホスト上の NSX Edge またはゲスト仮想マシンのデータ パス トラフィックからファイルを抽出またはインターセプトしたときに生成されるイベント。NSX Edge では、ファイルは NSX IDPS エンジンによって抽出されます。ゲスト仮想マシンでは、ゲスト イントロスペクション (GI) シン エージェントの NSX ファイル イントロスペクション ドライバによってファイルが抽出されます。

ローカル ファイル分析

ローカル ファイル分析は、NSX Edge トランスポート ノードの NSX と、NSX Malware Preventionが有効になっている ESXi ホスト トランスポート ノード内で行われます。既知のファイル ハッシュのセットを使用して不明なファイルを簡易的にスキャンし、無害なファイル、悪質なファイル、または不審なファイルかを検出します。

マルウェア クラス

これは脅威のタイプです。マルウェア クラスの例としては、ウイルス、トロイの木馬、ワーム、アドウェア、ランサムウェア、スパイウェアなどがあります。

マルウェア ファミリ

通常、同じソース コードまたは同じマルウェア作成者によって作成されたマルウェア ファイルの特定のグループを表す名前です。マルウェア ファミリの例としては、valyria、darkside などがあります。

レピュテーション

ファイルや URL の脅威情報。または、ファイルや URL の詳細を提供するその他のアーティファクトに関する脅威情報。

たとえば、ファイルのレピュテーションには次のような詳細が含まれます。
  • ファイル公開者の名前
  • ファイルが署名されているかどうか(はい、いいえ)
  • ファイルの署名機関
  • ファイルのレピュテーション カテゴリ(マルウェア、不審、信頼済み)
  • ファイルが属するマルウェア クラス。たとえば、トロイの木馬、バックドア、などです。

ファイル レピュテーションの詳細はクラウドに保存され、すべての NSX ユーザーがアクセスできます。

脅威スコア

ファイルに関連付けられているリスクまたは悪意のあるインテントの程度を示します。脅威スコアが高い場合はリスクが高く、低い場合は低くなります。

判定

NSX Malware Preventionは、NSX Edge(North-South トラフィック)またはゲスト仮想マシン(East-West トラフィック)のいずれかで、データセンターでインターセプトされるファイルに関する決定を報告します。ファイルに関する決定は、判定と呼ばれます。判定は、次のいずれかの値になります。
説明

無害

ファイルは正常または安全にダウンロードできます。

信頼する

ファイルは、その動作から信頼されています。

信頼性の高い

Microsoft、Apple、Adobe など、信頼性の高いソースからのファイルです。

悪質

ファイルは、データセンターに対する有害または脅威です。

不審

ファイルは、有害か望ましくない可能性があります。

不明

このファイルは NSX で認識されていないため、ファイルに使用可能な決定はありません。

未検査

以前にファイルを抑止したか、許可リストに登録したため、このファイルは NSX Malware Preventionによって検査されません。

ゼロデイ脅威

以前に NSX で認識されていない、既知のマルウェア シグネチャのいずれとも一致しない脅威。