ClamAV to silnik antywirusowy o otwartym kodzie źródłowym , który zapewnia niezawodne funkcje wykrywania i zapobiegania złośliwemu oprogramowaniu. Jego głównym zadaniem w systemie jest skanowanie przesyłanych plików w poszukiwaniu potencjalnych zagrożeń, zapewniając identyfikację i odpowiednie postępowanie ze złośliwymi plikami, zanim zdążą one zainfekować system lub jego użytkowników.

Obsługa plików i konfiguracja oprogramowania antywirusowego

Integracja z programem antywirusowym ClamAV ma na celu zwiększenie bezpieczeństwa procesów obsługi plików.

Rozmiar pliku i limity skanowania

Ustawienie platformy, antivirus.max.file.size , określa maksymalny rozmiar pliku, jaki ClamAV może przeskanować. Domyślnie wartość ta wynosi 25 MB. Należy pamiętać, że zwiększenie maksymalnego rozmiaru pliku wydłuży czas skanowania i może prowadzić do problemów z wydajnością. To ustawienie platformy dotyczy dostępu do plików zarówno przez API sieci Web, jak i REST API .

W przypadku plików przekraczających zdefiniowany maksymalny rozmiar, użytkownikom wyświetla się okno z możliwością pobrania pliku lub anulowania operacji. Komunikat ostrzegawczy wyświetlany w tym oknie wygląda następująco:

"The file is too large to be scanned by the anti-virus service. Maximum file size is {platform_setting_value}. Do you still want to download the file?"

Jeśli użytkownik wybierze „Tak”, plik zostanie pobrany. Jeśli użytkownik wybierze „Nie”, plik nie zostanie pobrany. Ta funkcja wyskakującego okienka musi być dostępna zarówno w Classic UI jak i w interfejsie Agent .

Błąd „Usługa antywirusowa niedostępna, plik nie został przeskanowany. Pobieranie pliku”

Jeśli pojawi się ten błąd:

• Najczęstszym powodem jest to, że plik jest stosunkowo mały, ale zawiera dużo danych do zeskanowania, np. pliki skompresowane, pliki PDF itd.
• Na przykład plik PDF może mieć rozmiar tylko 6 MB (mniejszy niż domyślny rozmiar antivirus.max.file.size wynoszący 25 MB), ale ClamAV w rzeczywistości musi przeskanować ponad 100 MB i nie jest w stanie ukończyć tej operacji w ramach limitu czasu antivirus.timeout.period ani limitu czasu połączenia Tomcat/Apache.

Jeśli okres antivirus.timeout.period ulegnie wydłużeniu i pojawią się następujące błędy:

• Użytkownicy nie widzą błędu programu antywirusowego w interfejsie użytkownika.
• Zaplecze ESM pobierze wyniki skanowania i zapisze je w bazie danych lub uruchomi program antivirus.timeout.period i zapisz błąd w pliku dziennika.

W tym przypadku limit czasu Tomcat/Apache (5 minut) jest krótszy niż antivirus.timeout.period pomnożony przez antivirus.retry.count .

Wsparcie środowiska Cloud

Skanowanie ClamAV jest dostępne w instalacjach w chmurze. W przypadkach, gdy ClamAV nie jest włączony, pobieranie plików działa normalnie.

Stany plików i skanowanie antywirusowe

Istnieją dwa stany pliku: Przeskanowany - bezpieczny , Przeskanowany - szkodliwy i Nie przeskanowany / pusty .

Domyślny stan wszystkich nowych plików to Nieskanowane/Nuler, dopóki nie zostaną przeskanowane po raz pierwszy.

Czwarty stan, Oczekiwanie na ponowne skanowanie , jest używany podczas przekroczenia limitu czasu usługi antywirusowej lub przerw w jej działaniu.

Przepływ pracy skanowania i zarządzanie kwarantanną

System sprawdza czas aktualizacji bazy danych wirusów, aby ustalić, czy plik wymaga ponownego skanowania. Jeśli baza danych została zaktualizowana od ostatniego dostępu do pliku, skanowanie ClamAV jest uruchamiane w momencie dostępu do pliku. Jeśli baza danych nie została zaktualizowana, dodatkowe skanowanie nie jest inicjowane. Te sprawdzenia dotyczą zarówno dostępu użytkownika, jak i dostępu do plików integracyjnych.

Logika skanowania

Gdy żądane jest skanowanie pliku, system zapewnia wykonanie tylko jednego skanowania ClamAV, nawet jeśli dla tego samego pliku wysłano wiele równoczesnych żądań.

Jeśli ClamAV stwierdzi, że plik jest szkodliwy, zostanie on oznaczony jako szkodliwy w bazie danych ESM i przeniesiony do folderu kwarantanny. Informacje o pliku poddanym kwarantannie są rejestrowane w pliku efecte_security.log z wpisem o poziomie OSTRZEŻENIA. Stan pliku jest aktualizowany do „Skanowany – szkodliwy” . Pliki poddane kwarantannie są widoczne na karcie danych, w trybie edycji i widoku. Jednak interakcja z plikami poddanymi kwarantannie ogranicza się do usunięcia.

Jeśli ClamAV uzna plik za bezpieczny, jego stan zostanie zaktualizowany do „Skanowany – bezpieczny” , a plik pozostanie dostępny dla użytkowników. Zarówno w przypadku zagrożeń szkodliwych, jak i bezpiecznych, system aktualizuje czas ostatniego skanowania pliku.

Niedostępność usługi ClamAV

W scenariuszach, w których usługa ClamAV jest niedostępna, system ponawia próbę skanowania, jeśli nie występuje przekroczenie limitu czasu. Próg limitu czasu można skonfigurować. Jeśli żądanie skanowania spowoduje przekroczenie limitu czasu, stan pliku zostanie zaktualizowany do „Oczekuje na ponowne skanowanie” , ale plik pozostanie dostępny dla użytkowników i integracji.

Zarządzanie kwarantanną

System umożliwia ograniczoną interakcję z plikami poddanymi kwarantannie. Użytkownicy mogą usuwać elementy poddane kwarantannie za pośrednictwem interfejsu użytkownika. Elementy poddane kwarantannie są niedostępne za pośrednictwem REST API ani API internetowego.