Защита от угроз
05 марта 2024
ID 180130
Kaspersky Scan Engine помогает защитить вашу сеть и данные, обнаруживая вредоносные программы и легальные программы, которые могут быть использованы злоумышленниками.
Прежде чем приступить к работе с Kaspersky Scan Engine, определитесь со своим вариантом использования в следующем порядке.
- Решите, какие данные вы хотите сканировать:
- Данные, загруженные в вашу сеть вашими пользователями.
- Данные, созданные внутри вашей организации, например документы.
- Данные, загруженные из источников за пределами вашей сети. Это может предотвратить атаки на цепочку поставок.
Вы также можете использовать Kaspersky Scan Engine для добавления функций сканирования в свои программы и службы безопасности. Kaspersky Scan Engine проверяет объекты любого формата, в том числе упакованные.
- Решите, какой режим лучше для вашей среды – HTTP или ICAP.
- Решите, где вы хотите развернуть Kaspersky Scan Engine.
- Решите, как вы получите доступ к результатам сканирования:
- В Kaspersky Scan Engine GUI.
- В клиентском приложении.
- Решите, какие функции Kaspersky Scan Engine вы будете использовать:
- Решите, хотите ли вы использовать Kaspersky Security Network (KSN) для проверки репутации файлов и URL-адресов.
- Решите, какой уровень эвристики вы хотите использовать.
- Решите, какие действия должен выполнять Kaspersky Scan Engine после обнаружения вредоносных или легальных программ, которые могут быть использованы злоумышленниками.
- Решите, хотите ли вы сканировать упакованные исполняемые файлы.
- Решите, хотите ли вы проверять архивы.
- Решите, хотите ли вы сканировать электронную почту.
- Решите, хотите ли вы сканировать почтовые базы.
После определения варианта использования Kaspersky Scan Engine переходите к разделу Начало работы с Kaspersky Scan Engine.
Ниже приведены инструкции по выполнению типовых задач, которые Kaspersky Scan Engine выполняет в режиме HTTP и ICAP.
Сканирование файлов с помощью примера HTTP-клиента (режим HTTP)
В этой инструкции предполагается, что вы уже установили и настроили Kaspersky Scan Engine с помощью файла конфигурации или графического интерфейса.
Для сканирования файлов в Kaspersky Scan Engine:
- Запустите службу kavhttpd.
- Запустите пример HTTP-клиента. Клиент находится в директории
/bin/kavhttp_client
пакета распространения. - Передайте файлы, которые вы хотите просканировать, в пример HTTP-клиента:
- Проверять файлы размером более 4 мегабайт (МБ) в режиме сканирования файлов. Используйте параметр
-f
и передайте локальные пути к файлам примеру HTTP-клиента.В приведенном ниже примере показано, как сканировать два файла в режиме сканирования файлов:
./kavhttp_client -f /usr/dir1/example1.zip /usr/dir2/example2.iso
- Проверять файлы размером менее 4 МБ в режиме сканирования памяти. Передайте пути (сетевые или локальные) к примеру HTTP-клиента. Для этого используйте параметр
-s
.В приведенном ниже примере показано, как сканировать файл в режиме сканирования памяти:
./kavhttp_client -s 192.0.2.0:888 /usr/dir/example.txt
- Проверять файлы размером более 4 мегабайт (МБ) в режиме сканирования файлов. Используйте параметр
- Просмотрите результаты проверки.
Сканирование трафика, проходящего через прокси-сервер (режим ICAP)
Эта инструкция предполагает, что вы уже установили и настроили Kaspersky Scan Engine с помощью файла конфигурации или Kaspersky Scan Engine GUI.
Чтобы проверить трафик, проходящий через прокси-сервер:
- Настройте свой прокси-сервер для работы с Kaspersky Scan Engine (см. пример использования Kaspersky Scan Engine в режиме ICAP со Squid).
- Создайте шаблон ответа, который вы хотите отобразить, или сценарий, который будет выполняться при обнаружении вредоносных или легальных программ, которые могут быть использованы злоумышленниками.
- Настройте правила службы ICAP на случай, когда Kaspersky Scan Engine обнаруживает вредоносные или легальные программы, которые могут быть использованы злоумышленниками. Вы можете сделать это вручную или с помощью графического интерфейса.
- Запустите службу kavicapd.
Kaspersky Scan Engine будет автоматически обнаруживать вредоносные или легальные программы, которые могут быть использованы злоумышленниками, а затем обрабатывать их в соответствии с правилами службы ICAP.