コンテナのカスタムスキャンタスク(Custom_Container_Scan、ID:19)

コンテナのカスタムスキャンタスクは、kesl-control --scan-container コマンドを実行して適用される設定値を保存するために使用されます。

このタスクを使用するには、対応する機能を含むライセンスが要求されます。

コンテナのカスタムスキャンタスクを実行すると、本製品は Custom_Container_Scan タスクの設定を使用して一時的なコンテナのカスタムスキャンタスク(ContainerScan タイプ)を作成します。Custom_Container_Scan タスクの設定値は、コマンドラインを使用して変更できます。スキャンが完了すると、Custom_Container_Scan タスクは自動的に削除されます。コンテナのカスタムスキャンタスクは手動で削除できません。

コンテナのカスタムスキャンタスクを開始するには、次のコマンドを実行します:

kesl-control --scan-container <コンテナ ID またはイメージ ID|コンテナ名|イメージ名[:tag]>

同名のエントリが複数ある場合は、それらすべてをスキャンします。

複数のオブジェクトをスキャンするには、マスクを使用できます。

kesl-control --create-task <タスク名> --type ContainerScan コマンドを実行してカスタムコンテナースキャンタスクを作成する時は、コンテナースキャン(Container_Scan)タスクと同じ設定値が使用されます。

例:

my_container という名前のコンテナをスキャンします:

kesl-control --scan-container my_container

my_image(すべてのタグ)という名前のイメージをスキャンします:

kesl-control --scan-container my_image*

この表では、すべてのコンテナとイメージのスキャン設定のすべての設定と、その設定で使用可能なすべての値と既定値を説明します。

コンテナのカスタムスキャンタスクの設定

設定

説明

ScanContainers

マスクで指定したコンテナスキャン ContainerNameMask の設定を使用してマスクを指定することができます。

Yes(既定値)– コンテナをマスクの定義に基づいてスキャンします。

No – コンテナをマスクの定義に基づいてスキャンしません。

ContainerNameMask

名前または名前のマスクを指定して、スキャン対象のコンテナを定義します。

マスクはコマンドシェル形式で指定されます。? および * の記号が使用することができます。

この設定を指定する前に、ScanContainers=Yes であることを確認してください。

既定値:*(すべてのコンテナをスキャン)

例:

my_container という名前のコンテナをスキャンする場合:

ContainerNameMask=my_container

名前が my_container で始まるすべてのコンテナをスキャンする場合:

ContainerNameMask=my_container*

名前が my_ で始まり、その後に任意の 5 文字、_container の順に続き、任意の文字で名前が終わるすべてのコンテナをスキャンする場合:

ContainerNameMask=my_?????_container*

 

ScanImages

マスクで指定したコンテナスキャン ImageNameMask の設定を使用してマスクを指定することができます。

Yes(既定値)– イメージをマスクの定義に基づいてスキャンします。

No – イメージをマスクの定義に基づいてスキャンしません。

ImageNameMask

名前または名前のマスクを指定して、スキャン対象のイメージを定義します。

この設定を指定する前に、ScanImages 設定が Yes に設定されていることを確認してください。

マスクはコマンドシェル形式で指定されます。

複数のマスクを指定する場合は、新しいインデックスを使用して新しい行に各マスクを指定する必要があります。

既定値:*(すべてのイメージをスキャン)。

例:

「my_image」という名前で、「latest」タグを持つイメージをスキャンする場合:

ImageNameMask=my_image:latest

名前が「my_image」で始まり、任意のタグを持つすべてのイメージをスキャンする場合:

ImageNameMask=my_image*

 

DeepScan

すべてのイメージレイヤーを確認し、コンテナを実行します。

Yes – 全レイヤーをスキャンします。

No(既定値)– どのレイヤーもスキャンしません。

ContainerScanAction

感染したオブジェクトの検知時に、コンテナに対して実行する処理。コンテナ内の感染したオブジェクトに対する処理について、下に記載しています。

StopContainerIfFailed(既定値)— アプリケーションが感染したオブジェクトの駆除や削除ができなかった場合、コンテナを停止します。

CRI-O 環境の仕組みにより、感染したオブジェクトは CRI-O 環境のコンテナ内で駆除または削除されません。StopContainer 操作を選択することを推奨します。

StopContainer – 感染したオブジェクトが検知されると、本製品によってコンテナが停止されます。

Skip – 感染したオブジェクトの検知時に、コンテナに対する処理は実行されません。

ImageAction

悪意のあるオブジェクトが削除された時に、イメージに対して実行する処理を指定します。イメージ内の感染したオブジェクトに対する処理について、下に記載しています。

Skip(既定値)– 感染したオブジェクトの検知時に、イメージに対する処理は実行されません。

Delete – 感染したオブジェクトの検知時に、本製品によってイメージが削除されます(推奨しないオプションです)。

すべての依存関係も削除されます。実行中のコンテナは停止され、それから削除されます。

コンテナとイメージ内のオブジェクトに対して、下に記載された設定が適用されます。

コンテナのカスタムスキャンタスクの設定

設定

説明

ScanArchived

アーカイブ(自己解凍型アーカイブを含む)のスキャンを指定します。

アプリケーションは次のアーカイブをスキャンします:.zip、.7z*、.7-z、.rar、.iso、.cab、.jar、.bz、.bz2、.tbz、.tbz2、.gz、.tgz、.arj。サポートされているアーカイブ形式のリストは、使用されている製品データベースによって異なります。

Yes(既定値)– アーカイブをスキャンします。FirstAction=Recommended の値が指定されている場合、アーカイブの種別に応じて、感染したオブジェクトか、脅威を含むアーカイブ全体を削除します。

No – アーカイブをスキャンしません。

ScanSfxArchived

自己解凍型アーカイブ(実行可能な解凍モジュールを含むアーカイブ)のみのスキャンを指定します。

Yes(既定値)– 自己解凍アーカイブをスキャンします。

No – 自己解凍型アーカイブをスキャンしません。

ScanMailBases

Microsoft Outlook、Outlook Express、およびその他のメールクライアントのメールデータベースのスキャンを指定します。

Yes – メールデータベースのファイルをスキャンします。

No(既定値)– メールデータベースのファイルをスキャンしません。

ScanPlainMail

プレーンテキストのメールメッセージのスキャンを指定します。

Yes – プレーンテキストのメールメッセージをスキャンします。

No(既定値)– プレーンテキストのメールメッセージをスキャンしません。

TimeLimit

オブジェクトの最大スキャン時間(秒単位)。この設定で指定された時間よりもスキャンの時間がかかる場合、そのオブジェクトのスキャンが停止されます。

0~9999

0 – オブジェクトのスキャン時間は無制限です。

既定値:0

SizeLimit

スキャン対象のオブジェクトの最大サイズ(メガバイト単位)。指定された値よりもスキャン対象のオブジェクトのサイズが大きい場合、オブジェクトはスキップされます。

0 ~ 999999

0 – スキャン対象オブジェクトのサイズは無制限です。

既定値:0

FirstAction

感染したオブジェクトに対して実行される最初の処理の選択。

Disinfect – オブジェクトの駆除を試行し、そのコピーを保管領域に保存します。駆除できない場合(オブジェクトの種別またはオブジェクト内の脅威の種別が駆除できない場合など)、オブジェクトは変更されないままです。最初の処理が[Disinfect]の場合は、[SecondAction]の設定を使用して次の処理を指定してください。

Remove – 感染したオブジェクトのバックアップコピーを作成し、そのオブジェクトを削除します。

Recommended(推奨される処理を実行)– オブジェクトで検知された脅威に関する情報に基づいてオブジェクトの処理を自動的に選択して実行します。たとえば、トロイの木馬の場合は即座に削除されます。トロイの木馬は他のファイルに寄生することはなく、駆除の必要がないためです。

Skip – 感染したオブジェクトの駆除または削除を行いません。感染したオブジェクトに関する情報は記録されます。

既定値:Recommended

SecondAction

感染したオブジェクトに対して実行される次の処理の選択。最初の処理に失敗した場合に、次の処理を実行します。

SecondAction に設定可能な値は、FirstAction の設定の値と同じです。

Skip または Remove が最初の処理として選択された場合、次の処理を指定する必要はありません。他のすべての場合では、2 つの処理を指定してください。次の処理を指定しない場合、Skip が次の処理として適用されます。

既定値:Skip

UseExcludeMasks

ExcludeMasks.item_# 設定で指定されたオブジェクトのスキャン除外を使用します。

YesExcludeMasks.item_# 設定で指定されたオブジェクトをスキャンから除外します。

No(既定値)– ExcludeMasks.item_# 設定で指定されたオブジェクトをスキャンから除外しません。

ExcludeMasks.item_#

名前またはマスクにより、オブジェクトをスキャンから除外します。この設定を使用すると、指定されたスキャン範囲から名前によって個別のファイルを除外したり、シェル形式でマスクを使用して複数のファイルを除外したりできます。

既定値は定義されていません。

例:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

ExcludeThreats.item_# 設定で指定された脅威を含むオブジェクトのスキャン除外を使用します。

YesExcludeThreats.item_# 設定で指定された脅威を含むオブジェクトをスキャンから除外します。

No(既定値)– ExcludeThreats.item_# 設定で指定された脅威を含むオブジェクトをスキャンから除外しません。

ExcludeThreats.item_#

オブジェクト内で検知された脅威の名前によってスキャンからオブジェクトを除外します。この設定の値を指定する前に、UseExcludeThreats 設定が有効になっていることを確認します。

スキャンから単一オブジェクトを除外するには、このオブジェクト内で検知された脅威の完全な名前(このオブジェクトが感染していると判定した際に使用された名前の文字列)を指定します。

たとえば、ネットワークに関する情報を収集するユーティリティを使用している場合があります。これをブロックしないようにするには、スキャンから除外される脅威のリストに、製品で使用される脅威の完全な名前を追加します。

オブジェクトで検知された脅威のフルネームは、アプリケーションログや https://threats.kaspersky.com の Web サイトで確認することができます。

設定値では、大文字と小文字が区別されます。

既定値は定義されていません。

例:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

ReportCleanObjects

感染していないとレポートされたスキャン済みオブジェクトに関する情報のログへの記録を指定します。

この設定は、たとえば特定のオブジェクトがスキャン済みであることを確認するために有効にします。

Yes – 感染していないオブジェクトに関する情報をログに記録します。

No(既定値)– 感染していないオブジェクトに関する情報をログに記録しません。

ReportPackedObjects

複合オブジェクトの一部を構成するスキャン済みオブジェクトに関する情報のログへの記録を指定します。

この設定は、たとえばアーカイブ内のオブジェクトがスキャン済みであることを確認するために有効にします。

Yes – アーカイブ内のスキャン済みオブジェクトに関する情報をログに記録します。

No(既定値)– アーカイブ内のスキャン済みオブジェクトに関する情報をログに記録しません。

ReportUnprocessedObjects

何らかの理由により処理されていないオブジェクトに関する情報のログへの記録を指定します。

Yes – 処理されていないオブジェクトに関する情報をログに記録します。

No(既定値)– 処理されていないオブジェクトに関する情報をログに記録しません。

UseAnalyzer

ヒューリスティック分析を指定します。

ヒューリスティック分析により、新しい脅威がウイルスアナリストに知られるようになる前に検知することができます。

Yes(既定値)– ヒューリスティック分析を有効にします。

No – ヒューリスティック分析を無効にします。

HeuristicLevel

ヒューリスティック分析のレベルを指定します。

ヒューリスティック分析のレベルを指定できます。ヒューリスティック分析レベルは、脅威の検索範囲とオペレーティングシステムのリソースに対する負荷およびスキャンの所要時間のバランスを設定します。ヒューリスティック分析レベルが高いほど、スキャンに必要なリソースと時間が増加します。

Light – 徹底度が最も低いスキャンを行い、システムへの負荷は最小です。

Medium – 中間のヒューリスティック分析レベルで、システムへの負荷ともバランスが取れています。

Deep – 最も徹底的なスキャンを行い、システムへの負荷が最大となります。

Recommended(既定値)– 推奨値。

UseIChecker

iChecker 技術の使用を指定します。

Kaspersky Endpoint Security を仮想環境保護用 Light Agent モードで使用する場合、iChecker 技術の使用はサポートされません。スキャンの最適化は、Protection Server によって実行されます。

Yes(既定値)– iChecker 技術の使用を有効にします。

No – iChecker 技術の使用を無効にします。

ページのトップに戻る