Поддержка

Поддержка приложений для бизнеса

Kaspersky Scan Engine

Использование Kaspersky Scan Engine в режиме ICAP

Настройка Kaspersky Scan Engine в режиме ICAP

Настройка правил сервиса

Kaspersky Scan Engine
Нет результатов
База знаний Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения

Настройка правил сервиса

05 марта 2024

ID 179893

Эти правила определяют поведение Kaspersky Scan Engine в режиме ICAP. Они перечислены в файле конфигурации, расположенном в директории /opt/kaspersky/ScanEngine/icap_data/. Расположение этого файла указывается в параметре RulesFilePath файла конфигурации режима ICAP. Пример файла конфигурации kavicapd_gui_rules.conf включен в пакет распространения.

Каждое правило, указанное в файле конфигурации, должно быть помещено в отдельную строку.

Синтаксис правила

Правило службы kavicapd состоит из трех частей:

  • Режим ICAP

    Возможные значения:

    • REQ

      Режим модификации запросов (REQMOD).

    • RESP

      Режим модификации ответов (RESPMOD).

    • ANY

      Любой из режимов, перечисленных выше.

  • Результат сканирования

    Возможные значения перечислены ниже.

    Возможные значения:

    • NON_SCANNED

      Объект не просканирован.

    • FAILED

      Ошибка сканирования.

    • PHISHING

      Обнаружен фишинговый веб-адрес.

    • DETECT

      Проверяемый объект или URL-адрес заражены.

    • MACRO

      Обнаружен документ Microsoft Office, содержащий макрос.

    • CLEAN

      Проверяемый объект безопасен (не заражен).

  • Ответ Kaspersky Scan Engine в режиме ICAP

    Возможные значения:

    • SET_RESP=<response_template>

      Kaspersky Scan Engine отправляет HTML-шаблон ответа с указанным именем на прокси-сервер.

    • EXEC_CMD=<script>

      Kaspersky Scan Engine запускает скрипт с указанным именем.

    • NONE

      Kaspersky Scan Engine не изменяет проверяемый объект.

    Если ответ Kaspersky Scan Engine не указан в правиле, используется значение по умолчанию NONE.

Чтение результатов сканирования

В режиме ICAP Kaspersky Scan Engine проверяет как HTTP-трафик, так и веб-адреса, запрашиваемые пользователями. Результаты проверки ранжируются по степени серьезности, причем наиболее серьезному результату присваивается рейтинг 1. В следующем списке показано ранжирование поддерживаемых результатов сканирования по степени серьезности:

  1. PHISHING
  2. DETECT
  3. MACRO
  4. NON_SCANNED
  5. FAILED
  6. CLEAN

Если сканирования трафика и URL-адресов дают разные результаты, в качестве итогового результата сканирования выбирается результат с наивысшим уровнем критичности. Если оба результата проверки – DETECT, то итоговый результат проверки также будет DETECT, а имя обнаруженного объекта, возвращаемое Kaspersky Scan Engine, берется из результата проверки URL-адреса. Результаты проверки, используемые в правилах службы, являются итоговыми результатами проверки.

Примеры правил

Ниже приведены несколько примеров правил, которые вы можете указать:

RESP DETECT SET_RESP=detect_resp EXEC_CMD=admin_notify

RESP FAILED SET_RESP=err_resp

REQ FAILED EXEC_CMD=admin_notify

REQ CLEAN

Профессиональные услуги «Лаборатории Касперского»
Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!