Защита от угроз

Kaspersky Scan Engine помогает защитить вашу сеть и данные, обнаруживая вредоносные программы и легальные программы, которые могут быть использованы злоумышленниками.

Прежде чем приступить к работе с Kaspersky Scan Engine, определитесь со своим вариантом использования в следующем порядке.

1. Решите, какие данные вы хотите сканировать:
   • Данные, загруженные в вашу сеть вашими пользователями.
   • Данные, созданные внутри вашей организации, например документы.
   • Данные, загруженные из источников за пределами вашей сети. Это может предотвратить атаки на цепочку поставок.

   Вы также можете использовать Kaspersky Scan Engine для добавления функций сканирования в свои программы и службы безопасности. Kaspersky Scan Engine проверяет объекты любого формата, в том числе упакованные.

2. Решите, какой режим лучше для вашей среды – HTTP или ICAP.
3. Решите, где вы хотите развернуть Kaspersky Scan Engine.
4. Решите, как вы получите доступ к результатам сканирования:
   • В Kaspersky Scan Engine GUI.
   • В клиентском приложении.
5. Решите, какие функции Kaspersky Scan Engine вы будете использовать:
   • Решите, хотите ли вы использовать Kaspersky Security Network (KSN) для проверки репутации файлов и URL-адресов.
   • Решите, какой уровень эвристики вы хотите использовать.
   • Решите, какие действия должен выполнять Kaspersky Scan Engine после обнаружения вредоносных или легальных программ, которые могут быть использованы злоумышленниками.
   • Решите, хотите ли вы сканировать упакованные исполняемые файлы.
   • Решите, хотите ли вы проверять архивы.
   • Решите, хотите ли вы сканировать электронную почту.
   • Решите, хотите ли вы сканировать почтовые базы.

После определения варианта использования Kaspersky Scan Engine переходите к разделу Начало работы с Kaspersky Scan Engine.

Ниже приведены инструкции по выполнению типовых задач, которые Kaspersky Scan Engine выполняет в режиме HTTP и ICAP.

Сканирование файлов с помощью примера HTTP-клиента (режим HTTP)

В этой инструкции предполагается, что вы уже установили и настроили Kaspersky Scan Engine с помощью файла конфигурации или графического интерфейса.

Для сканирования файлов в Kaspersky Scan Engine:

1. Запустите службу kavhttpd.
2. Запустите пример HTTP-клиента. Клиент находится в директории /bin/kavhttp_client пакета распространения.
3. Передайте файлы, которые вы хотите просканировать, в пример HTTP-клиента:
   • Проверять файлы размером более 4 мегабайт (МБ) в режиме сканирования файлов. Используйте параметр -f и передайте локальные пути к файлам примеру HTTP-клиента.

     В приведенном ниже примере показано, как сканировать два файла в режиме сканирования файлов:

   ./kavhttp_client -f /usr/dir1/example1.zip /usr/dir2/example2.iso

   • Проверять файлы размером менее 4 МБ в режиме сканирования памяти. Передайте пути (сетевые или локальные) к примеру HTTP-клиента. Для этого используйте параметр -s.

     В приведенном ниже примере показано, как сканировать файл в режиме сканирования памяти:

   ./kavhttp_client -s 192.0.2.0:888 /usr/dir/example.txt

4. Просмотрите результаты проверки.

Сканирование трафика, проходящего через прокси-сервер (режим ICAP)

Эта инструкция предполагает, что вы уже установили и настроили Kaspersky Scan Engine с помощью файла конфигурации или Kaspersky Scan Engine GUI.

Чтобы проверить трафик, проходящий через прокси-сервер:

1. Настройте свой прокси-сервер для работы с Kaspersky Scan Engine (см. пример использования Kaspersky Scan Engine в режиме ICAP со Squid).
2. Создайте шаблон ответа, который вы хотите отобразить, или сценарий, который будет выполняться при обнаружении вредоносных или легальных программ, которые могут быть использованы злоумышленниками.
3. Настройте правила службы ICAP на случай, когда Kaspersky Scan Engine обнаруживает вредоносные или легальные программы, которые могут быть использованы злоумышленниками. Вы можете сделать это вручную или с помощью графического интерфейса.
4. Запустите службу kavicapd.

Kaspersky Scan Engine будет автоматически обнаруживать вредоносные или легальные программы, которые могут быть использованы злоумышленниками, а затем обрабатывать их в соответствии с правилами службы ICAP.