ClamAV är en antivirusmotor med öppen källkod som tillhandahåller robusta funktioner för att upptäcka och förebygga skadlig kod. Dess primära syfte i systemet är att skanna uppladdade filer efter potentiella hot, vilket säkerställer att skadliga filer identifieras och hanteras på lämpligt sätt innan de kan äventyra systemet eller dess användare.

Filhantering och antiviruskonfiguration

Integreringen av ClamAV-antivirusprogrammet är utformad för att förbättra säkerheten i filhanteringsprocesser.

Filstorlek och skanningsgränser

Plattformsinställningen, antivirus.max.file.size , avgör den maximala filstorleken som ClamAV kan skanna. Som standard är detta värde inställt på 25 MB. Det är viktigt att notera att en ökning av den maximala filstorleken kommer att resultera i längre skanningstider och kan leda till prestandaproblem. Denna plattformsinställning gäller filåtkomst via både webb API och REST API .

För filer som överskrider den definierade maximala storleken visas ett popup-fönster där användarna kan välja att antingen ladda ner filen eller avbryta åtgärden. Varningsmeddelandet som visas i detta popup-fönster är följande:

"The file is too large to be scanned by the anti-virus service. Maximum file size is {platform_setting_value}. Do you still want to download the file?"

Om användaren väljer "Ja" laddas filen ner. Om användaren väljer "Nej" laddas filen inte ner. Denna popup-funktion måste vara tillgänglig i både det Classic UI och Agent .

Felet "Antivirustjänsten är inte tillgänglig, filen skannades inte. Laddar ner filen"

Om detta fel visas:

• Vanlig orsak är att filen är relativitetsmässigt liten, men innehåller mycket data att skanna, som komprimerade filer, PDF-filer etc.
• Till exempel kan en PDF-fil bara vara 6 MB stor (lägre än standardvärdet antivirus.max.file.size på 25 MB), men ClamAV måste faktiskt skanna över 100 MB och kan inte slutföra den inom antivirus.timeout.period och Tomcat/Apache-anslutningstimeout.

Om antivirus.timeout.period ökar och följande fel visas:

• Användare får inte antivirusfelet i användargränssnittet.
• ESM-backend hämtar antingen skanningsresultaten och lagrar dem i databasen, eller så aktiverar den antivirus.timeout.period och skriv ut felet i loggfilen.

I det här fallet är Tomcat/Apache-timeouten (5 minuter) kortare än antivirus.timeout.period multiplicerat med antivirus.retry.count .

Stöd för Cloud

ClamAV-skanning är tillgänglig i molninstallationer. I de fall där ClamAV inte är aktiverat fortsätter filnedladdningar att fungera som vanligt.

Filstatus och virusskanning

Den har två filtillstånd: Skannad - säker , Skannad - skadlig och Inte skannad/null .

Standardläget för alla nya filer är Inte genomsökt / null förrän de genomsöks för första gången.

Ett fjärde tillstånd, Väntar på omskanning , används vid timeouts eller avbrott för antivirustjänster.

Skanningsarbetsflöde och karantänhantering

Systemet kontrollerar uppdateringstiden för virusdatabasen för att avgöra om en fil behöver genomsökas om. Om databasen har uppdaterats sedan den senaste filåtkomsten utlöses en ClamAV-skanning när filen öppnas. Om databasen inte har uppdaterats initieras ingen ytterligare skanning. Dessa kontroller gäller både användar- och integrationsfilåtkomst.

Skanningslogik

När en filsökning begärs säkerställer systemet att endast en ClamAV-sökning körs, även om flera samtidiga förfrågningar görs för samma fil.

Om ClamAV fastställer att en fil är skadlig markeras filen som skadlig i ESM-databasen och flyttas till en karantänmapp. Information om den karantänsatta filen loggas i filen efecte_security.log med en WARN-nivåpost. Filens status uppdateras till Skannad - skadlig . Filer i karantän visas i datakortet, redigeringsläget och visningsläget. Interaktion med filer i karantän är dock begränsad till radering.

Om ClamAV fastställer att en fil är säker uppdateras filens status till Skannad - säker , och filen förblir tillgänglig för användare. För både skadliga och säkra resultat uppdaterar systemet den senaste skanningstiden för filen.

ClamAV-tjänsten är otillgänglig

I scenarier där ClamAV-tjänsten inte är tillgänglig försöker systemet genomsöka igen om det inte finns någon timeout. Timeout-tröskeln är konfigurerbar. Om en genomsökningsbegäran resulterar i en timeout uppdateras filens status till Väntar på omsökning , men filen förblir tillgänglig för användare och integrationer.

Karantänhantering

Systemet tillåter begränsade interaktioner med filer i karantän. Användare kan ta bort objekt i karantän via användargränssnittet. Objekt i karantän är inte åtkomliga via REST API eller Web API .