Tâche d'analyse personnalisée des conteneurs (Custom_Container_Scan, ID:19)

La tâche d'analyse personnalisée des conteneurs permet de stocker les valeurs des paramètres appliqués via l'exécution de la commande kesl-control --scan-container.

Pour utiliser la tâche, vous devez posséder la licence qui couvre cette fonction.

Au lancement de la tâche Analyse personnalisée du conteneur, l'application crée une tâche temporaire Analyse du conteneur (type ContainerScan) avec les paramètres de la tâche Custom_Container_Scan. Vous pouvez modifier les valeurs des paramètres de la tâche Custom_Container_Scan via la ligne de commande. Une fois l'analyse terminée, la tâche Custom_Container_Scan est supprimée automatiquement. Vous ne pouvez pas supprimer une tâche Analyse personnalisée des conteneurs.

Pour lancer une tâche d'analyse personnalisée des conteneurs, exécutez la commande :

kesl-control --scan-container <ID du conteneur ou de l'image|nom du conteneur|nom de l'image[:tag]>

S'il existe plusieurs entités portant le même nom, l'application les analyse toutes.

Vous pouvez utiliser des masques pour analyser plusieurs objets.

Lors de la création d'une tâche Analyse personnalisée du conteneur via l'exécution de la commande kesl-control --create-task <nom de la tâche> --type ContainerScan, l'application utilise les mêmes valeurs pour les paramètres que celles utilisées dans une tâche Analyse du conteneur (Container_Scan).

Exemples :

Analyse du conteneur baptisé my_container :

kesl-control --scan-container my_container

Analysez l'image baptisée my_image (toutes les balises) :

kesl-control --scan-container my_image*

Toutes les valeurs disponibles et les valeurs par défaut pour chaque paramètre d'analyse des conteneurs et des images sont décrites dans le tableau.

Paramètres de la tâche Analyse personnalisée des conteneurs

Paramètre

Description

Valeurs

ScanContainers

Analyse du conteneur défini par le masque. Vous pouvez spécifier des masques à l'aide du paramètre ContainerNameMask.

Yes (valeur par défaut) : analyse les conteneurs définis par masque.

No : n'analyse pas les conteneurs définis par masque.

ContainerNameMask

Nom ou un masque de nom qui définit un conteneur à analyser.

Les masques sont définis dans le format de l'interpréteur de commandes. Vous pouvez utiliser les caractères ? et *.

Avant de définir ce paramètre, assurez-vous que la valeur du paramètre ScanContainers=Yes.

Valeur par défaut : * (analyser tous les conteneurs).

Exemples :

Analysez un conteneur avec le nom my_container :

ContainerNameMask=my_container

Analysez tous les conteneurs dont les noms commencent par my_container :

ContainerNameMask=my_container*

Analysez tous les conteneurs dont les noms commencent par mon_, puis contiennent cinq caractères, puis _conteneur et se terminent par une séquence de caractères :

ContainerNameMask=my_?????_container*

 

ScanImages

Analyse des images définies par le masque. Vous pouvez spécifier des masques à l'aide du paramètre ImageNameMask.

Yes (valeur par défaut) : analyse les images définies par masque.

No : n'analyse pas les images définies par masque.

ImageNameMask

Spécifie un nom ou un masque de nom qui définit les images à analyser.

Avant de définir ce paramètre, assurez-vous que le paramètre ScanImages possède la valeur Yes.

Les masques sont définis dans le format de l'interpréteur de commandes.

Si vous souhaitez définir plusieurs masques, chaque masque doit figurer sur sa propre ligne et il faut définir un nouvel index.

Valeur par défaut : * (analyser tous les modèles).

Exemples :

Analysez une image avec le nom my_image et la valeur de tag latest :

ImageNameMask=my_image:latest

Analysez toutes les images dont les noms commencent par mon_image et avec n'importe quelle valeur de tag :

ImageNameMask=my_image*

 

DeepScan

Analyse de toutes les couches des images et des conteneurs lancés.

Yes : analyse toutes les couches.

Non (valeur par défaut) : n'analyse pas toutes les couches.

ContainerScanAction

Spécifie l'action à effectuer sur un conteneur lorsqu'un objet infecté est détecté. Les actions sur un objet infecté à l'intérieur du conteneur sont décrites ci-dessous.

StopContainerIfFailed (valeur par défaut) : l'application arrête le conteneur si elle ne parvient pas à désinfecter ou à supprimer l'objet infecté.

En raison du fonctionnement de l'environnement CRI-O, l'objet infecté n'est ni désinfecté ni supprimé dans le conteneur de l'environnement CRI-O. Il est recommandé de sélectionner l'action StopContainer.

StopContainer : l'application arrête le conteneur lorsqu'un objet infecté est détecté.

Skip : l'application n'effectue aucune action sur les conteneurs lorsqu'un objet infecté est détecté.

ImageAction

Spécifie l'action à effectuer sur une image lorsqu'un objet infecté est détecté. Les actions sur un objet infecté à l'intérieur de l'image sont décrites ci-dessous.

Skip (valeur par défaut) : l'application n'effectue aucune action sur l'image lorsqu'un objet infecté est détecté.

Delete : l'application supprime l'image lorsqu'un objet infecté est détecté (non recommandé).

Toutes les dépendances seront également supprimées. Les conteneurs en exécution seront arrêtés, puis supprimés.

Les paramètres décrits ci-dessous sont appliqués aux objets à l'intérieur des conteneurs et des images.

Paramètres de la tâche Analyse personnalisée des conteneurs

Paramètre

Description

Valeurs

ScanArchived

Activation de l'analyse des archives (y compris les archives autoextractibles SFX).

L'application analyse les archives telles que : .zip ; .7z* ; .7-z ; .rar ; .iso ; .cab ; .jar ; .bz ; .bz2 ; .tbz ; .tbz2 ; .gz ; .tgz ; .arj. La liste des formats d'archive pris en charge dépend des bases de données de l'application utilisées.

Yes (valeur par défaut) : analyse les archives. Si la valeur FirstAction=Recommended est spécifiée, alors, en fonction du type d'archive, l'application supprime soit l'objet infecté, soit l'archive entière contenant la menace.

No : n'analyse pas les archives.

ScanSfxArchived

Activation de l'analyse uniquement des archives autoextractibles (archives comprenant un module d'extraction d'exécutable).

Yes (valeur par défaut) : analyse les archives autoextractibles.

No : n'analyse pas les archives autoextractibles.

ScanMailBases

Activation de l'analyse des bases de données email des applications Microsoft Outlook, Outlook Express, The Bat! et autres clients de messagerie.

Yes : analyse les fichiers des bases de données email.

No (valeur par défaut) : n'analyse pas les fichiers des bases de données email.

ScanPlainMail

Activation de l'analyse des messages électroniques au format texte (plain text).

Yes : analyse les messages électroniques au format texte.

No (valeur par défaut) : n'analyse pas les messages électroniques au format texte.

TimeLimit

Durée maximale d'analyse de l'objet (en secondes). L'application interrompt l'analyse de l'objet si sa durée dépasse la valeur définie pour ce paramètre.

0–9999

0 : la durée de l'analyse des objets n'est pas limitée.

Valeur par défaut : 0.

SizeLimit

Taille maximale d'une archive à analyser (en mégaoctets). Si la taille de l'objet à analyser dépasse la valeur spécifiée, l'application ignore l'objet pendant l'analyse.

0 – 999999

0 : l'application analyse les objets de n'importe quelle taille.

Valeur par défaut : 0.

FirstAction

Sélection de la première action que l'application va exécuter sur les objets infectés.

Disinfect (désinfecter) : l'application tente de désinfecter un objet en enregistrant une copie dans le stockage. Si la désinfection échoue, par exemple, le type de l'objet ou le type de la menace dans l'objet ne peut pas être désinfecté, l'application garde l'objet intact. Si la valeur de la première action est Disinfect (Désinfecter), il est recommandé de définir une deuxième action via le paramètre SecondAction.

Remove (supprimer) : l'application supprime l'objet infecté après avoir créé au préalable sa copie de sauvegarde.

Recommended (exécution de l'action recommandée) : l'application sélectionne et exécute automatiquement une action sur l'objet en fonction des informations relatives à la menace détectée dans l'objet. Par exemple, l'application supprime automatiquement les chevaux de Troie, car ils ne s'intègrent pas à d'autres fichiers et par conséquent, ils n'ont pas besoin d'être désinfectés.

Skip (ignorer) : l'application ne tente pas de désinfecter ou de supprimer un objet infecté. Les informations sur l'objet infecté sont conservées dans le journal.

Valeur par défaut : Recommended.

SecondAction

Sélection de la deuxième action exécutée par l'application sur les objets infectés. L'application exécute la deuxième action si la première échoue.

Les valeurs du paramètre SecondAction sont identiques à celles du paramètre FirstAction.

Si l'option Skip ou Remove est sélectionnée en tant que première action, il n'est pas nécessaire d'en choisir une deuxième. Dans les autres cas, il est recommandé d'indiquer deux actions. Si vous n'avez pas défini une deuxième action, l'application exécute l'action Skip (ignorer) en tant que deuxième action.

Valeur par défaut : Skip.

UseExcludeMasks

Utilisation de l'exclusion de l'analyse des objets définis à l'aide du paramètre ExcludeMasks.item_#.

Yes : exclut de l'analyse les objets définis par le paramètre ExcludeMasks.item_#.

No (valeur par défaut) : n'exclut pas de l'analyse les objets définis par le paramètre ExcludeMasks.item_#.

ExcludeMasks.item_#

Exclusion de l'analyse des objets en fonction du nom ou du masque. Ce paramètre permet d'exclure de la zone d'analyse indiquée un fichier distinct en fonction de son nom ou plusieurs fichiers à l'aide de masques au format shell.

La valeur par défaut n'est pas définie.

Exemple :

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

Utilisation de l'exclusion de l'analyse des objets contenant les menaces indiquées par le paramètre ExcludeThreats.item_#.

Yes : exclut de l'analyse les objets contenant les menaces définies par le paramètre ExcludeThreats.item_#.

No (valeur par défaut) : n'exclut pas de l'analyse les objets contenant les menaces désignées par le paramètre ExcludeThreats.item_#.

ExcludeThreats.item_#

Exclusion de l'analyse des objets en fonction des noms des menaces détectées dans ceux-ci. Avant d'indiquer la valeur de ce paramètre, assurez-vous que le paramètre UseExcludeThreats est activé.

Pour exclure un objet de l'analyse, indiquez le nom complet de la menace détectée dans cet objet, la chaîne de l'application contenant le verdict d'infection de l'objet.

Par exemple, vous utilisez un utilitaire pour collecter des informations sur votre réseau. Pour que l'application ne le bloque pas, ajoutez le nom complet de la menace qu'il comporte à la liste des menaces exclues de l'analyse.

Vous pouvez trouver le nom complet de la menace détectée dans l'objet dans le journal de l'application ou sur le site https://threats.kaspersky.com/fr/.

La valeur du paramètre est sensible à la casse.

La valeur par défaut n'est pas définie.

Exemple :

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

ReportCleanObjects

Activation de l'enregistrement dans le journal des informations relatives aux objets analysés que l'application a considéré comme non infecté.

Vous pouvez activer ce paramètre par exemple pour confirmer qu'un objet quelconque a bien été analysé par l'application.

Yes : enregistre dans le journal les informations relatives aux objets non infectés.

No (valeur par défaut) : n'enregistre pas les informations relatives aux objets non infectés dans le journal.

ReportPackedObjects

Activation de l'enregistrement dans le journal des informations relatives aux objets analysés qui font partie d'objets composés.

Vous pouvez activer ce paramètre par exemple pour confirmer qu'un objet qui se trouve dans une archive a bien été analysé par l'application.

Yes : enregistre dans le journal les informations relatives à l'analyse des objets des archives.

No (valeur par défaut) : n'enregistre pas dans le journal les informations relatives à l'analyse des objets des archives.

ReportUnprocessedObjects

Activation de la consignation dans le journal des informations relatives aux objets qui n'ont pas été traités pour une raison quelconque.

Yes : enregistre dans le journal les informations relatives aux objets non traités.

No (valeur par défaut) : n'enregistre pas dans le journal les informations relatives aux objets non traités.

UseAnalyzer

Activation de l'analyse heuristique.

Grâce à l'analyse heuristique, l'application peut détecter les nouvelles menaces avant leur détection par les analystes antivirus.

Yes (valeur par défaut) : active l'analyse heuristique ;

No : désactive l'analyse heuristique.

HeuristicLevel

Niveau de l'analyse heuristique.

Vous pouvez définir le niveau de l'analyse heuristique. Celui-ci définit l'équilibre entre la minutie de la recherche des menaces, la charge sur les ressources du système d'exploitation et la durée de l'analyse. Plus le niveau de l'analyse heuristique est élevé, plus le volume de ressources et le temps consacrés à l'analyse augmentent.

Light : analyse la moins minutieuse avec une charge minimale sur le système.

Medium : niveau de l'analyse heuristique normal avec une charge équilibrée sur le système d'exploitation.

Deep : analyse la plus minutieuse avec une charge maximale sur le système d'exploitation.

Recommander (valeur par défaut) : valeur recommandée.

UseIChecker

Activation de l'utilisation de la technologie iChecker.

Si l'application Kaspersky Endpoint Security est utilisée en mode Light Agent pour protéger les environnements virtuels, l'utilisation de la technologie iChecker n'est pas prise en charge. L'optimisation de l'analyse est mise en œuvre à l'aide des outils du Serveur de protection.

Yes (valeur par défaut) : active l'utilisation de la technologie iChecker.

No : désactive l'utilisation de la technologie iChecker.

Haut de page