ClamAV ist eine Open-Source-Antiviren-Engine , die robuste Funktionen zur Erkennung und Abwehr von Malware bietet. Ihre Hauptaufgabe im System besteht darin, hochgeladene Dateien auf potenzielle Bedrohungen zu prüfen und sicherzustellen, dass schädliche Dateien erkannt und entsprechend behandelt werden, bevor sie das System oder seine Benutzer gefährden können.

Dateiverwaltung und Antivirus-Konfiguration

Die Integration des ClamAV-Antivirus soll die Sicherheit von Dateiverarbeitungsprozessen erhöhen.

Dateigröße und Scan-Limits

Die Plattformeinstellung antivirus.max.file.size bestimmt die maximale Dateigröße, die ClamAV scannen kann. Standardmäßig ist dieser Wert auf 25 MB eingestellt. Beachten Sie, dass eine Erhöhung der maximalen Dateigröße zu längeren Scanzeiten und möglicherweise zu Leistungseinbußen führt. Diese Plattformeinstellung gilt sowohl für den Dateizugriff über die Web API als auch über die REST API .

Bei Dateien, die die definierte Maximalgröße überschreiten, wird dem Benutzer ein Popup-Fenster angezeigt, in dem er die Datei herunterladen oder den Vorgang abbrechen kann. Die in diesem Popup angezeigte Warnmeldung lautet wie folgt:

"The file is too large to be scanned by the anti-virus service. Maximum file size is {platform_setting_value}. Do you still want to download the file?"

Wenn der Benutzer „Ja“ wählt, wird die Datei heruntergeladen. Wenn der Benutzer „Nein“ wählt, wird die Datei nicht heruntergeladen. Diese Popup-Funktion muss sowohl in der Classic UI als auch in der Agent -Benutzeroberfläche verfügbar sein.

Fehler „Antivirus-Dienst nicht verfügbar, Datei nicht gescannt. Datei wird heruntergeladen.“

Wenn dieser Fehler auftritt:

• Der häufigste Grund ist, dass die Datei relativ klein ist, aber viele zu scannende Daten enthält, wie komprimierte Dateien, PDFs usw.
• Beispielsweise kann eine PDF-Datei nur 6 MB groß sein (weniger als die standardmäßige antivirus.max.file.size von 25 MB), ClamAV muss jedoch tatsächlich über 100 MB scannen und kann dies nicht innerhalb der Zeitspanne antivirus.timeout.period und des Tomcat/Apache-Verbindungstimeouts abschließen.

Wenn die antivirus.timeout.period erhöht wird und die folgenden Fehler auftreten:

• Benutzer erhalten den Antivirenfehler nicht in der Benutzeroberfläche.
• Das ESM-Backend erhält entweder die Scan-Ergebnisse und speichert sie in der Datenbank, oder es erreicht die antivirus.timeout.period und drucken Sie den Fehler in die Protokolldatei.

In diesem Fall ist das Tomcat/Apache-Timeout (5 Minuten) kürzer als antivirus.timeout.period multipliziert mit antivirus.retry.count .

Unterstützung Cloud Umgebungen

ClamAV-Scans sind in Cloud-Installationen verfügbar. In Fällen, in denen ClamAV nicht aktiviert ist, funktionieren Dateidownloads weiterhin wie gewohnt.

Dateistatus und Virenscan

Es gibt zwei Dateizustände: Gescannt – sicher , Gescannt – schädlich und Nicht gescannt/null .

Der Standardstatus für alle neuen Dateien ist „Nicht gescannt/null“, bis sie zum ersten Mal gescannt werden.

Ein vierter Status, „Erneuter Scan ausstehend“ , wird bei Zeitüberschreitungen oder Ausfällen des Antivirendienstes verwendet.

Scan-Workflow und Quarantäneverwaltung

Das System prüft den Aktualisierungszeitpunkt der Virendatenbank, um festzustellen, ob eine Datei erneut gescannt werden muss. Wurde die Datenbank seit dem letzten Dateizugriff aktualisiert, wird beim Zugriff auf die Datei ein ClamAV-Scan ausgelöst. Wurde die Datenbank nicht aktualisiert, wird kein zusätzlicher Scan gestartet. Diese Prüfungen gelten sowohl für den Benutzer- als auch für den Integrationsdateizugriff.

Scan-Logik

Wenn ein Dateiscan angefordert wird, stellt das System sicher, dass nur ein ClamAV-Scan ausgeführt wird, auch wenn mehrere gleichzeitige Anforderungen für dieselbe Datei gestellt werden.

Wenn ClamAV eine Datei als schädlich einstuft, wird sie in der ESM-Datenbank als schädlich gekennzeichnet und in einen Quarantäneordner verschoben. Informationen zur unter Quarantäne gestellten Datei werden in der Datei efecte_security.log mit einem WARN-Eintrag protokolliert. Der Status der Datei wird auf „Gescannt – schädlich“ aktualisiert. Unter Quarantäne gestellte Dateien sind in der Datenkarte, im Bearbeitungsmodus und im Ansichtsmodus sichtbar. Die Interaktion mit unter Quarantäne gestellten Dateien ist jedoch auf das Löschen beschränkt.

Wenn ClamAV eine Datei als sicher einstuft, wird der Dateistatus auf „Gescannt – sicher“ aktualisiert und die Datei bleibt für Benutzer zugänglich. Sowohl bei schädlichen als auch bei sicheren Ergebnissen aktualisiert das System den letzten Scanzeitpunkt der Datei.

Nichtverfügbarkeit des ClamAV-Dienstes

In Szenarien, in denen der ClamAV-Dienst nicht verfügbar ist, wiederholt das System den Scan, sofern kein Timeout auftritt. Der Timeout-Schwellenwert ist konfigurierbar. Wenn eine Scan-Anforderung zu einem Timeout führt, wird der Dateistatus auf „Erneuter Scan ausstehend“ aktualisiert, die Datei bleibt jedoch für Benutzer und Integrationen zugänglich.

Quarantänemanagement

Das System ermöglicht eingeschränkte Interaktionen mit unter Quarantäne gestellten Dateien. Benutzer können unter Quarantäne gestellte Elemente über die Benutzeroberfläche löschen. Auf unter Quarantäne gestellte Elemente kann über die REST API oder die Web API nicht zugegriffen werden.