SMB 文件下载详细信息
要访问此页面,请导航到 。单击 “签名 ID ”链接以转到“SMB 文件下载详细信息”页面。
使用此页面可查看已下载文件的分析信息和恶意软件行为摘要。此页面分为几个部分:
按钮/链接 |
目的 |
|---|---|
报告误报 |
单击此按钮可启动一个新屏幕,通过该屏幕向您瞻博网络发送报告,通知瞻博网络有关错误头寸或误报的信息。瞻博网络将对该报告进行调查,但是,这项调查不会改变判决。如果要进行更正(将系统标记为清洁),则必须手动进行。 |
下载 STIX 报告 |
当结构化威胁信息抑制 (STIX) 报告可用时,此页面上将显示一个下载链接。单击链接以下载 JSON 或 XML 格式的报告。默认情况下,以 STIX 2.1 JSON 格式下载报告。仅当 JSON 捆绑包不可用时,才会下载 XML 版本。 您可以查看收集的开源威胁信息,例如列入黑名单的文件、地址和 URL。 STIX 是一种使用可信自动指示器信息交换 (TAXII) 报告和共享威胁信息的语言。TAXII 是各方之间通过 HTTPS 通信威胁信息的协议。 STIX 和 TAXII 是开放的、社区驱动的标准,支持以标准化格式自动交换威胁信息。瞻博网络 ATP 云使用这些信息以及其他来源。这种信息交换会自动进行。STIX 不需要管理员配置。 STIX 报告会有所不同。查看本页底部的样本报告。 瞻博网络 ATP 云还可以共享威胁情报。您可以从威胁共享页面控制共享哪些威胁信息。请参阅 配置威胁情报共享。 |
下载压缩文件 |
(如可用)单击此链接下载隔离的恶意软件以供分析。该链接允许您下载包含恶意软件的受密码保护的压缩文件。zip 文件的密码是恶意软件 exe 文件的 SHA256 散列(64 个字符长,字母数字字符串),显示在相关文件的瞻博网络 ATP 云用户界面的“常规”选项卡中。 |
下载 PDF 报告 |
单击此链接可下载有关相关文件的详细报告。该报告提供有关文件威胁级别、发现的协议以及文件类别和大小的详细信息。它还包括客户端 IP 地址、用户名和其他信息(如果可用)。此数据以带有目录的格式化 PDF 形式提供。 |
页面顶部提供以下信息的快速视图(在 UI 中向右滚动以查看更多框):
威胁级别 — 这是分配的威胁级别 (0-10),此框还提供文件名和威胁类别。
主要指示器 — 在此框中,您将找到文件名的签名匹配项和防病毒详细信息。
流行率 — 此框提供有关此恶意软件的出现频率、网络上下载文件的单个主机数量以及使用的协议的信息。
文件摘要
字段 |
定义 |
|---|---|
| 通用 | |
威胁级别 |
这是分配的威胁级别 0-10。10 是最恶意的。 |
全球流行率 |
此文件在不同客户中出现的频率。 |
上次扫描 |
上次扫描以检测可疑文件的时间和日期。 |
| 文件信息 | |
文件名 |
可疑文件的名称。示例:unzipper-setup.exe、20160223158005.exe、wordmui.msi。 |
类别 |
文件类型 示例:PDF、可执行文件、文档 |
尺寸 |
下载文件的大小。 |
平台 |
文件的目标操作系统 示例:Win32 |
恶意软件名称 |
如果可能,瞻博网络 ATP 云会确定恶意软件的名称。 |
类型 |
如果可能,瞻博网络 ATP 云会确定威胁的类型。示例:特洛伊木马、应用程序、广告软件。 |
应变 |
如果可能,瞻博网络 ATP 云会确定检测到的恶意软件菌株。示例:Outbrowse.1198、Visicom.E、Flystudio |
| 其他详情 | |
SHA256 和 MD5 |
确定文件是否为恶意软件的一种方法是计算文件的校验和,然后查询以查看该文件以前是否已被识别为恶意软件。 |
SMB 下载
这是已下载可疑文件的主机列表。单击 “主机标识符”(Host Identifier ) 链接,以转到此主机的“主机详细信息”(Host Details) 页面。