Работа с шаблонами ответов и скриптами

Правила позволяют указать шаблоны ответов, которые будут возвращаться вместо заблокированных веб-страниц, а также скрипты, которые могут выполняться при обнаружении, например скрипт уведомления системного администратора.

Пакет распространения Kaspersky Scan Engine содержит образцы шаблонов ответов и пример скрипта, отправляющего информацию об инциденте в syslog.

Работа с шаблонами ответов

Kaspersky Scan Engine поставляется со следующими образцами шаблонов ответов, расположенными в директории /opt/kaspersky/ScanEngine/icap_data/templates:

• detect_req

  Этот шаблон возвращается, когда в режиме изменения запроса (REQMOD) обнаруживается угроза или тип легальной программы, которая может быть использована злоумышленниками для повреждения компьютера или личных данных пользователя.

• detect_res

  Этот шаблон возвращается, когда в режиме изменения ответа (RESPMOD) обнаруживается угроза или тип легальной программы, которая может быть использована злоумышленниками для повреждения компьютера или личных данных пользователя.

• macro_req

  Этот шаблон возвращается, когда в режиме REQMOD обнаруживается файл документа Microsoft Office, содержащий макрос.

• macro_resp

  Этот шаблон возвращается, когда в режиме RESPMOD обнаруживается файл документа Microsoft Office, содержащий макрос.

Вы можете создавать собственные шаблоны ответов и настраивать Kaspersky Scan Engine возвращать их вместе с измененным сообщением. Подобно образцам шаблонов ответов, пользовательские шаблоны ответов могут использовать контекст обнаружения, который предоставляет пользователю дополнительную информацию. Дополнительную информацию о контексте обнаружения см. в подразделе "Использование контекста обнаружения в шаблонах ответов и скриптах" ниже.

Несмотря на то что Kaspersky Scan Engine возвращает шаблоны ответов вместо заблокированных веб-страниц, некоторые браузеры могут не отображать эти шаблоны, вместо этого возвращая код состояния HTTP 403 Forbidden.

Работа со скриптами

Kaspersky Scan Engine поставляется со скриптом send_syslog, расположенным в директории /opt/kaspersky/ScanEngine/icap_data/scripts.

Скрипт send_syslog отображает сообщение об обнаруженном объекте и перенаправляет его в утилиту логирования logger.

Вы можете создавать собственные скрипты оболочки и настраивать Kaspersky Scan Engine выполнять их при обнаружении. Подобно примеру скрипта, пользовательские скрипты могут использовать контекст обнаружения, который предоставляет пользователю дополнительную информацию. Дополнительную информацию о контексте обнаружения см. в подразделе "Использование контекста обнаружения в шаблонах ответов и скриптах" ниже.

Пользовательские скрипты выполняются в параллельных потоках. Максимальное количество потоков сканирования – 100.

Использование контекста обнаружения в шаблонах ответов и скриптах

Шаблоны ответов и скрипты поддерживают контекст обнаружения. При отображении шаблона ответа контекстные переменные заменяются значениями, возвращаемыми Kaspersky Scan Engine. Чтобы использовать контекст обнаружения в скрипте, используйте контекстные переменные как переменные среды.

В контексте обнаружения поддерживаются следующие переменные:

• _VirusName_ – имя обнаруженного объекта.
• _DateTime_ – дата и время инцидента (в формате YYYY-MM-DD HH:MM:MS).
• _ICAPDVersion_ – версия плагина ICAP.
• _URL_ – запрошенный URL-адрес.

Вы можете использовать контекст обнаружения в собственных шаблонах ответов и скриптах.