Aufgabe zur benutzerdefinierten Untersuchung von Containern (Custom_Container_Scan, ID:19)

Die Aufgabe "Benutzerdefinierte Untersuchung von Containern" wird verwendet, um die Einstellungswerte zu speichern, die durch die Ausführung des Befehls kesl-control --scan-container angewendet werden.

Um die Aufgabe nutzen zu können, benötigen Sie eine Lizenz, in der diese Funktionalität enthalten ist.

Beim Start der Aufgabe zur benutzerdefinierten Untersuchung von Containern erstellt die App eine temporäre Aufgabe zur Untersuchung von Containern (vom Typ ContainerScan) mit den Einstellungen der Aufgabe "Custom_Container_Scan". Die Einstellungen der Aufgabe Custom_Container_Scan können Sie über die Befehlszeile ändern. Nach Abschluss der Untersuchung wird die Aufgabe "Custom_Container_Scan" automatisch gelöscht. Die Aufgabe zur benutzerdefinierten Untersuchung von Containern kann nicht gelöscht werden.

Um eine Aufgabe zur benutzerdefinierten Untersuchung von Containern zu starten, führen Sie den folgenden Befehl aus:

kesl-control --scan-container <ID des Containers oder des Images|Name des Containers|Name des Images[:tag]>

Bei mehreren Entitäten mit demselben Namen untersucht die App alle Entitäten.

Bei der Untersuchung mehrerer Objekte können Masken verwendet werden.

Wenn Sie durch das Ausführen des Befehls kesl-control --create-task<Aufgabenname> --type ContainerScan eine Aufgabe zur benutzerdefinierten Untersuchung von Containern erstellen, verwendet die App die gleichen Einstellungen wie für die Aufgabe zur Untersuchung von Containern (Container_Scan).

Beispiele:

Untersucht einen Container mit dem Namen my_container:

kesl-control --scan-container my_container

Untersucht ein Image namens "my_image" (alle Tags):

kesl-control --scan-container my_image*

Alle verfügbaren Werte und Standardwerte für jede Einstellung der Untersuchung von Containern und Images werden in der nachstehenden Tabelle beschrieben.

Einstellungen der Aufgabe zur Benutzerdefinierten Untersuchung von Containern

Einstellung

Beschreibung

Werte

ScanContainers

Untersuchung von Containern, die mittels Maske spezifiziert werden. Sie können Masken mit dem Parameter ContainerNameMask angeben.

Yes (Standardwert) – Die mittels Maske angegebenen Container untersuchen.

No – Die mittels Maske angegebenen Container nicht untersuchen.

ContainerNameMask

Legt einen Namen oder eine Namensmaske fest, die den zu untersuchenden Container definiert.

Masken werden im Format der Befehlsschnittstelle angegeben. Sie können die folgenden Symbole verwenden: "?" und "*".

Bevor Sie diese Einstellung angeben, stellen Sie sicher, dass für die Einstellung der Wert ScanContainers=Yes angegeben ist.

Der Standardwert ist * (alle Container untersuchen).

Beispiele:

So untersuchen Sie einen Container mit dem Namen my_container:

ContainerNameMask=my_container

So untersuchen Sie alle Container, deren Namen mit my_container beginnen:

ContainerNameMask=my_container*

So untersuchen Sie alle Container, deren Namen mit my_ beginnen, dann fünf beliebige Zeichen enthalten und anschließend von _container und einer beliebigen Zeichenfolge gefolgt sind:

ContainerNameMask=my_?????_container*

 

ScanImages

Untersuchung der Images, die mittels Maske spezifiziert werden. Sie können Masken mit dem Parameter ImageNameMask angeben.

Yes (Standardwert) – Die anhand der Maske festgelegten Images untersuchen.

No – Die anhand der Maske festgelegten Images nicht untersuchen.

ImageNameMask

Legt einen Namen oder eine Namensmaske fest, welche die zu untersuchenden Images definiert.

Bevor Sie diese Einstellung festlegen, überzeugen Sie sich, dass der Wert der Einstellung ScanImages auf Yes festgelegt ist.

Masken werden im Format der Befehlsschnittstelle angegeben.

Wenn Sie mehrere Masken angeben möchten, muss jede Maske in einer neuen Zeile mit einem neuen Index angegeben werden.

Der Standardwert ist "*" (alle Images untersuchen).

Beispiele:

So untersuchen Sie ein Image mit dem Namen "my_image" und dem Tag-Wert "latest":

ImageNameMask=my_image:latest

Alle Images untersuchen, deren Namen mit "my_image" beginnen und die einen beliebigen Tag-Wert haben:

ImageNameMask=my_image*

 

DeepScan

Untersuchung aller Image-Ebenen und gestarteten Container.

Yes – Alle Ebenen untersuchen.

No (Standardwert) – Nicht alle Ebenen untersuchen.

ContainerScanAction

Aktion, die für einen Container ausgeführt werden soll, wenn ein infiziertes Objekt erkannt wird. Die Aktionen für infizierte Objekte in einem Container werden nachfolgend beschrieben.

StopContainerIfFailed (Standardwert) – Die App hält den Container an, falls die Desinfektion oder das Löschen eines infizierten Objekts fehlschlägt.

Aufgrund von Besonderheiten der Funktionsweise von CRI-O-Umgebungen werden infizierte Objekte in den Containern einer CRI-O-Umgebung weder desinfiziert noch gelöscht. Es wird stattdessen empfohlen, den Vorgang StopContainer auszuwählen.

StopContainer – Die App hält den Container an, wenn ein infiziertes Objekt erkannt wird.

Skip – Die App führt keine Aktion für Container aus, wenn ein infiziertes Objekt erkannt wird.

ImageAction

Legt die Aktion fest, die für ein Image ausgeführt werden soll, wenn ein infiziertes Objekt erkannt wird. Die Aktionen für infizierte Objekte in einem Image werden nachfolgend beschrieben.

Skip (Standardwert) – Die App führt keine Aktion für das Image aus, wenn ein infiziertes Objekt erkannt wird.

Delete – Die App löscht das Image, wenn ein infiziertes Objekt erkannt wird (nicht empfohlen).

Alle Abhängigkeiten werden ebenfalls gelöscht. Laufende Container werden angehalten und anschließend gelöscht.

Nachfolgend werden die Einstellungen beschrieben, die auf Objekte innerhalb von Containern und Images angewendet werden.

Einstellungen der Aufgabe zur Benutzerdefinierten Untersuchung von Containern

Einstellung

Beschreibung

Werte

ScanArchived

Aktiviert die Untersuchung von Archiven (einschließlich selbstentpackender sfx-Archive).

Die App untersucht Archive wie .zip; .7z*; .7-z; .rar; .iso; .cab; .jar; .bz; .bz2; .tbz; .tbz2; .gz; .tgz; .arj. Die Liste der unterstützten Archivformate hängt von den verwendeten App-Datenbanken ab.

Yes (Standardwert) – Archive untersuchen. Wenn der Wert FirstAction=Recommended angegeben ist, löscht die App je nach Archivtyp entweder das infizierte Objekt oder das gesamte Archiv, das die Bedrohung enthält.

No – Archive nicht untersuchen.

ScanSfxArchived

Aktiviert die Untersuchung von nur selbstentpackenden Archiven (Archiven, zu deren Bestandteilen ein ausführbares Dekompressionsmodul gehört).

Yes (Standardwert) – Selbstentpackende Archive untersuchen.

No – Selbstentpackende Archive nicht untersuchen.

ScanMailBases

Aktiviert die Untersuchung von E-Mail-Datenbanken von Microsoft Outlook, Outlook Express, The Bat und anderer Mail-Clients.

Yes – Dateien von E-Mail-Datenbanken untersuchen.

No (Standardwert) – Dateien von E-Mail-Datenbanken nicht untersuchen.

ScanPlainMail

Aktiviert die Untersuchung von E-Mail-Nachrichten im Textformat (plain text).

Yes – E-Mail-Nachrichten im Textformat untersuchen.

No (Standardwert) – E-Mail-Nachrichten im Textformat nicht untersuchen.

TimeLimit

Maximale Untersuchungsdauer (in Sekunden) eines Objekts. Die App stellt die Untersuchung eines Objekts ein, wenn sie länger dauert als durch diese Einstellung festgelegt.

0 – 9999

0 – die Untersuchungsdauer für Objekte ist nicht begrenzt.

Standardwert: 0.

SizeLimit

Maximale Größe des zu untersuchenden Objekts (in Megabyte). Wenn die Größe des zu untersuchenden Objekts den angegebenen Wert überschreitet, überspringt die App das Objekt während der Untersuchung.

0 – 999999

0 – Die App untersucht Objekte beliebiger Größe.

Standardwert: 0.

FirstAction

Auswahl der ersten Aktion, welche die App für infizierte Objekte ausführen soll.

Disinfect (desinfizieren) – Die App versucht, ein Objekt zu desinfizieren, und speichert eine Kopie davon im Speicher. Wenn die Desinfektion fehlschlägt (beispielsweise, weil der Typ des Objekts oder der Typ der Bedrohung im Objekt nicht desinfiziert werden kann), belässt die App das Objekt unverändert. Wenn die erste Aktion auf Desinfizieren festgelegt ist, wird empfohlen, die zweite Aktion mithilfe der Einstellung SecondAction anzugeben.

Remove (löschen) – Die App löscht das infizierte Objekt, nachdem eine Backup-Kopie davon erstellt wurde.

Recommended (empfohlene Aktion ausführen) – Die App wählt automatisch eine Aktion für das Objekt und führt sie aus, wobei Informationen zu der im Objekt gefundenen Bedrohung berücksichtigt werden. Beispielsweise löscht die App sofort Trojaner, da diese keine anderen Dateien infizieren und deshalb keine Desinfektion erfordern.

Skip (überspringen) – Die App versucht nicht, das infizierte Objekt zu desinfizieren oder zu löschen. Informationen über das infizierte Objekt werden im Protokoll gespeichert.

Standardwert: Recommended

SecondAction

Auswahl der zweiten Aktion, welche die App für infizierte Objekte ausführen soll. Die App führt die zweite Aktion aus, wenn die Ausführung der ersten Aktion misslingt.

Die Werte der Einstellung SecondAction sind dieselben wie die Werte der Einstellung FirstAction.

Wenn als erste Aktion Skip oder Remove ausgewählt ist, muss keine zweite Aktion angegeben werden. In allen anderen Fällen wird empfohlen, zwei Aktionen anzugeben. Wenn Sie keine zweite Aktion angegeben haben, wendet die App Skip (überspringen) als zweite Aktion an.

Standardwert: Skip

UseExcludeMasks

Steuert den Ausschluss von Objekten, die in der Einstellung ExcludeMasks.item_# angegeben sind, aus der Untersuchung.

Yes – Objekte, die in der Einstellung ExcludeMasks.item_# angegeben sind, aus der Untersuchung ausschließen.

No (Standardwert) – Objekte, die in der Einstellung ExcludeMasks.item_# angegeben sind, nicht aus der Untersuchung ausschließen.

ExcludeMasks.item_#

Ausschluss von der Untersuchung von Objekten nach Name oder Maske. Mit dieser Einstellung können Sie eine einzelne Datei anhand des Namens oder mehrere Dateien anhand von Masken im Shell-Format aus dem angegebenen Untersuchungsbereich ausschließen.

Der Standardwert ist nicht angegeben.

Beispiel:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

Steuert den Ausschluss von Objekten mit Bedrohungen, die durch die Einstellung ExcludeThreats.item_# festgelegt sind, aus der Untersuchung.

Yes – Objekte, die Bedrohungen enthalten, die in der Einstellung ExcludeThreats.item_# angegeben sind, von der Untersuchung ausschließen.

No (Standardwert) – Objekte, die Bedrohungen enthalten, die in der Einstellung ExcludeThreats.item_# angegeben sind, nicht von der Untersuchung ausschließen.

ExcludeThreats.item_#

Schließt Objekte nach dem Namen der in den Objekten gefundenen Bedrohungen von der Untersuchung aus. Bevor Sie die Werte dieser Einstellung festlegen, stellen Sie sicher, dass die Einstellung UseExcludeThreats aktiviert ist.

Um ein Objekt von der Untersuchung auszuschließen, geben Sie den vollständigen Namen der Bedrohung an, die im Objekt gefunden wurde, d. h. die Zeile mit der Entscheidung der App, dass dieses Objekt infiziert ist.

Sie können beispielsweise ein Tool zum Sammeln von Informationen über Ihr Netzwerk verwenden. Damit es von der App nicht blockiert wird, fügen Sie den vollständigen Namen der darin enthaltenen Bedrohung zur Liste der Bedrohungen hinzu, die von der Untersuchung ausgenommen sind.

Den vollständigen Namen der im Objekt gefundenen Bedrohung finden Sie im Protokoll der App oder auf der Website https://threats.kaspersky.com.

Beim Wert der Einstellung muss die Groß- und Kleinschreibung beachtet werden.

Der Standardwert ist nicht angegeben.

Beispiel:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

ReportCleanObjects

Aktiviert die Protokollierung von Informationen zu untersuchten Objekten, welche die App als nicht infiziert einstuft.

Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt durch die App untersucht wurde.

Yes – Informationen zu nicht infizierten Objekten im Protokoll speichern.

No (Standardwert) – Informationen zu nicht infizierten Objekten nicht im Protokoll speichern.

ReportPackedObjects

Aktiviert das Protokollieren von Informationen über untersuchte Objekte, die Bestandteil zusammengesetzter Objekte sind.

Sie können diese Einstellung aktivieren, um beispielsweise sicherzustellen, dass ein bestimmtes Objekt innerhalb eines Archivs von der App untersucht wurde.

Yes – Informationen über die Untersuchung von Objekten, die zu einem Archiv gehören, im Protokoll speichern.

No (Standardwert) – Informationen über die Untersuchung von Objekten, die zu einem Archiv gehören, nicht im Protokoll speichern.

ReportUnprocessedObjects

Aktiviert das Protokollieren von Informationen über Objekte, die aus einem bestimmten Grund nicht verarbeitet wurden.

Yes – Informationen zu nicht verarbeiteten Objekten im Protokoll speichern.

No (Standardwert) – Informationen zu nicht verarbeiteten Objekten nicht im Protokoll speichern.

UseAnalyzer

Aktiviert die heuristische Analyse.

Mithilfe der heuristischen Analyse kann die App Bedrohungen bereits erkennen, bevor sie den Virenanalysten bekannt sind.

Yes (Standardwert) – Heuristische Analyse aktivieren.

No – Heuristische Analyse deaktivieren.

HeuristicLevel

Legt die Stufe der heuristischen Analyse fest.

Sie können die Ebene der heuristischen Analyse festlegen. Die Ebene der heuristischen Analyse regelt das Verhältnis zwischen der Gründlichkeit der Suche nach Bedrohungen, der Belastung der Betriebssystemressourcen und der Untersuchungsdauer. Je höher die festgelegte Ebene der heuristischen Analyse, desto mehr Ressourcen verbraucht die Untersuchung und desto länger dauert sie.

Light – Oberflächlichste Untersuchung mit minimaler Belastung des Systems.

Medium – Mittlere Ebene der heuristischen Analyse mit ausgeglichener Belastung des Betriebssystems.

Deep – Gründlichste Untersuchung mit maximaler Belastung des Betriebssystems.

Recommended (Standardwert) – Der empfohlene Wert.

UseIChecker

Aktiviert die Nutzung der iChecker-Technologie.

Wenn Sie Kaspersky Endpoint Security im Light Agent-Modus zum Schutz virtueller Umgebungen verwenden, wird die Verwendung der iChecker-Technologie nicht unterstützt. Wird Optimierung für Untersuchungen mittels des Schutzservers realisiert.

Yes (Standardwert) – Nutzung der iChecker-Technologie aktivieren.

No – Nutzung der iChecker-Technologie deaktivieren.

Nach oben