熟悉 NSX 惡意軟體防護使用的關鍵術語。
雲端檔案分析
雲端檔案分析由雲端中執行的
NSX Advanced Threat Prevention 服務完成。其中涉及使用下列技術來詳細分析未知檔案,以偵測檔案是良性、惡意或可疑:
- NSX 惡意軟體防護沙箱處理和行為分析
- 統計演算法
- 人工智慧和機器學習
- 深入內容檢查
僅當您在惡意程式碼防護安全性設定檔中選擇進行雲端檔案分析時,NSX 才會透過安全連線將未知檔案傳送至雲端。
檔案事件
在 NSX Edge 上或主機的客體虛擬機器上,從資料路徑流量擷取或攔截檔案時產生的事件。在 NSX Edge 上,檔案由 NSX IDPS 引擎擷取,而在客體虛擬機器上,檔案由 Guest Introspection (GI) 精簡型代理程式中的 NSX File Introspection 驅動程式擷取。
本機檔案分析
本機檔案分析在已啟用 NSX 惡意軟體防護的NSX Edge 傳輸節點和 ESXi 主機傳輸節點上的 NSX 內完成。其中涉及對照一組已知的檔案雜湊,輕便掃描未知檔案,以偵測檔案是良性、惡意或可疑。
惡意程式碼類別
威脅類型。例如,惡意程式碼類別包括病毒、特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。
惡意程式碼系列
特定一組惡意程式碼檔案的識別名稱,這些檔案通常源自相同的原始程式碼,或由同一個惡意程式碼作者開發。惡意程式碼系列包括 valyria、darkside 等。
信譽
有關檔案、URL 或其他構件的威脅資訊,提供檔案、URL 的詳細資料。
例如,檔案的信譽可能包含下列詳細資料:
- 檔案發佈者的名稱
- 檔案是否已簽署 (是或否)
- 檔案的簽署授權機構
- 檔案的信譽類別 (惡意程式碼、可疑、受信任)
- 檔案所屬的惡意程式碼類別。例如,特洛伊木馬、後門程式、廣告軟體等。
檔案信譽詳細資料儲存在雲端,所有 NSX 客戶都可存取。
威脅分數
表示與檔案相關聯的風險或惡意意圖程度。威脅分數越高,表示風險越大,反之亦然。
判定
針對 NSX Edge (南北向流量) 或客體虛擬機器 (東西向流量) 的資料中心截取的檔案,
NSX 惡意軟體防護報告相關的決策。與檔案有關的決策稱為判定。判定可以是下列其中一個值。
值 | 說明 |
---|---|
良性 |
檔案良好或可以安全下載。 |
信任 |
檔案的行為可受信任。 |
高度受信任 |
檔案來自高度可信任的來源,例如 Microsoft、Apple、Adobe 等。 |
惡意 |
檔案對資料中心有害或造成威脅。 |
可疑 |
檔案可能有害或無用。 |
未知 |
檔案不為 NSX 所知,因此沒有檔案的相關決策。 |
未檢查 |
NSX 惡意軟體防護未檢查此檔案,因為您先前已抑制檔案,或將檔案列入允許清單中。 |
零時差威脅
NSX 中從未看過的威脅,不符合任何已知惡意程式碼特徵碼。