ClamAV on avoimen lähdekoodin virustorjuntaohjelma , joka tarjoaa vankat haittaohjelmien tunnistus- ja ehkäisyominaisuudet. Sen ensisijainen tarkoitus järjestelmässä on skannata ladatut tiedostot mahdollisten uhkien varalta varmistaen, että haitalliset tiedostot tunnistetaan ja käsitellään asianmukaisesti ennen kuin ne voivat vaarantaa järjestelmän tai sen käyttäjät.

Tiedostojen käsittely ja virustorjuntaohjelman konfigurointi

ClamAV-virustorjuntaohjelman integrointi on suunniteltu parantamaan tiedostojen käsittelyprosessien turvallisuutta.

Tiedostokoko ja skannausrajoitukset

Alusta-asetus antivirus.max.file.size määrittää ClamAV:n skannaaman tiedoston enimmäiskoon. Oletusarvoisesti tämä arvo on 25 Mt. On tärkeää huomata, että tiedoston enimmäiskoon kasvattaminen pidentää skannausaikoja ja voi johtaa suorituskykyongelmiin. Tämä alusta-asetus koskee tiedostojen käyttöä sekä Web API että REST API kautta.

Jos tiedostokoko ylittää määritetyn enimmäiskoon, käyttäjille näytetään ponnahdusikkuna, jossa tarjotaan vaihtoehtoja joko ladata tiedosto tai peruuttaa toiminto. Ponnahdusikkunassa näkyvä varoitusviesti on seuraava:

"The file is too large to be scanned by the anti-virus service. Maximum file size is {platform_setting_value}. Do you still want to download the file?"

Jos käyttäjä valitsee "Kyllä", tiedosto ladataan. Jos käyttäjä valitsee "Ei", tiedostoa ei ladata. Tämän ponnahdusikkunatoiminnon on oltava käytettävissä sekä Classic UI että Agent käyttöliittymässä.

Virhe ”Virustorjuntapalvelu ei ole käytettävissä, tiedostoa ei ole skannattu. Tiedostoa ladataan”

Jos tämä virhe ilmenee:

• Yleinen syy on, että tiedosto on suhteellisen pieni, mutta sisältää paljon skannattavaa tietoa, kuten pakattuja tiedostoja, PDF-tiedostoja jne.
• Esimerkiksi PDF-tiedoston koko voi olla vain 6 Mt (pienempi kuin oletusarvoinen antivirus.max.file.size joka on 25 Mt), mutta ClamAV:n on itse asiassa tarkistettava yli 100 Mt, eikä se pysty viimeistelemään sitä antivirus.timeout.period ja Tomcat/Apache-yhteyden aikakatkaisun kuluessa.

Jos antivirus.timeout.period -arvoa pidennetään ja seuraavat virheet ilmenevät:

• Käyttäjät eivät näe virustorjuntavirhettä käyttöliittymässä.
• ESM-taustajärjestelmä joko hakee skannaustulokset ja tallentaa ne tietokantaan tai se suorittaa antivirus.timeout.period toiminnon. ja tulostaa virheen lokitiedostoon.

Tässä tapauksessa Tomcatin/Apachen aikakatkaisu (5 minuuttia) on lyhyempi kuin antivirus.timeout.period kerrottuna antivirus.retry.count -arvolla.

Cloud tuki

ClamAV-skannaus on käytettävissä pilviasennuksissa. Tapauksissa, joissa ClamAV ei ole käytössä, tiedostojen lataukset toimivat normaalisti.

Tiedostojen tilat ja virustarkistus

Tiedostolla on kaksi tilaa: Skannattu - turvallinen , Skannattu - haitallinen ja Ei skannattu / null .

Kaikkien uusien tiedostojen oletustila on Ei tarkistettu / tyhjä, kunnes ne on tarkistettu ensimmäisen kerran.

Neljättä tilaa, Odottaa uudelleentarkistusta , käytetään virustorjuntapalvelun aikakatkaisujen tai käyttökatkosten aikana.

Skannaustyönkulku ja karanteenin hallinta

Järjestelmä tarkistaa virustietokannan päivitysajan määrittääkseen, onko tiedosto tarkistettava uudelleen. Jos tietokantaa on päivitetty viimeisimmän tiedoston käyttökerran jälkeen, ClamAV-skannaus käynnistyy, kun tiedostoa käytetään. Jos tietokantaa ei ole päivitetty, lisäskannausta ei aloiteta. Nämä tarkistukset koskevat sekä käyttäjän että integrointitiedostojen käyttöoikeuksia.

Skannauslogiikka

Kun tiedostoskannausta pyydetään, järjestelmä varmistaa, että vain yksi ClamAV-skannaus suoritetaan, vaikka samasta tiedostosta tehtäisiin useita samanaikaisia pyyntöjä.

Jos ClamAV määrittää tiedoston haitalliseksi, tiedosto merkitään haitalliseksi ESM-tietokannassa ja siirretään karanteenikansioon. Tiedot karanteenissa olevasta tiedostosta kirjataan efecte_security.log tiedostoon WARN-tason merkinnällä. Tiedoston tilaksi päivitetään Tarkistattu - haitallinen . Karanteenissa olevat tiedostot näkyvät datakortissa, muokkaustilassa ja katselutilassa. Karanteenissa olevien tiedostojen kanssa voi kuitenkin vain poistaa ne.

Jos ClamAV määrittää tiedoston turvalliseksi, tiedoston tilaksi päivitetään Tarkistattu - turvallinen , ja tiedosto pysyy käyttäjien käytettävissä. Sekä haitallisten että turvallisten tulosten osalta järjestelmä päivittää tiedoston viimeisimmän tarkistuksen ajankohdan.

ClamAV-palvelun saatavuuskatkos

Tilanteissa, joissa ClamAV-palvelu ei ole käytettävissä, järjestelmä yrittää skannausta uudelleen, jos aikakatkaisua ei ole. Aikakatkaisukynnys on konfiguroitavissa. Jos skannauspyyntö aiheuttaa aikakatkaisun, tiedoston tilaksi päivitetään Odottaa uudelleenskannausta , mutta tiedosto on edelleen käyttäjien ja integraatioiden käytettävissä.

Karanteenin hallinta

Järjestelmä sallii rajoitetusti karanteenissa olevien tiedostojen käsittelyä. Käyttäjät voivat poistaa karanteenissa olevia kohteita käyttöliittymän kautta. Karanteenissa olevia kohteita ei voi käyttää REST API tai Web API kautta.