Настройка правил службы

Эти правила определяют поведение Kaspersky Scan Engine в режиме ICAP. Они перечислены в файле конфигурации, расположенном в директории /opt/kaspersky/ScanEngine/icap_data/. Расположение этого файла указывается в параметре RulesFilePath файла конфигурации режима ICAP. Пример файла конфигурации kavicapd_gui_rules.conf включен в пакет распространения.

Каждое правило, указанное в файле конфигурации, должно быть помещено в отдельную строку.

Синтаксис правила

Правило службы kavicapd состоит из трех частей:

• Режим ICAP

  Возможные значения:

  • REQ

    Режим модификации запросов (REQMOD).

  • RESP

    Режим модификации ответов (RESPMOD).

  • ANY

    Любой из режимов, перечисленных выше.

• Результат сканирования

  Возможные значения перечислены ниже.

  Возможные значения:

  • NON_SCANNED

    Объект не просканирован.

  • FAILED

    Ошибка сканирования.

  • PHISHING

    Обнаружен фишинговый веб-адрес.

  • DETECT

    Проверяемый объект или URL-адрес заражены.

  • MACRO

    Обнаружен документ Microsoft Office, содержащий макрос.

  • CLEAN

    Проверяемый объект безопасен (не заражен).

• Ответ Kaspersky Scan Engine в режиме ICAP

  Возможные значения:

  • SET_RESP=<response_template>

    Kaspersky Scan Engine отправляет HTML-шаблон ответа с указанным именем на прокси-сервер.

  • EXEC_CMD=<script>

    Kaspersky Scan Engine запускает скрипт с указанным именем.

  • NONE

    Kaspersky Scan Engine не изменяет проверяемый объект.

  Если ответ Kaspersky Scan Engine не указан в правиле, используется значение по умолчанию NONE.

Чтение результатов сканирования

В режиме ICAP Kaspersky Scan Engine проверяет как HTTP-трафик, так и веб-адреса, запрашиваемые пользователями. Результаты проверки ранжируются по степени серьезности, причем наиболее серьезному результату присваивается рейтинг 1. В следующем списке показано ранжирование поддерживаемых результатов сканирования по степени серьезности:

1. PHISHING
2. DETECT
3. MACRO
4. NON_SCANNED
5. FAILED
6. CLEAN

Если сканирования трафика и URL-адресов дают разные результаты, в качестве итогового результата сканирования выбирается результат с наивысшим уровнем критичности. Если оба результата проверки – DETECT, то итоговый результат проверки также будет DETECT, а имя обнаруженного объекта, возвращаемое Kaspersky Scan Engine, берется из результата проверки URL-адреса. Результаты проверки, используемые в правилах службы, являются итоговыми результатами проверки.

Примеры правил

Ниже приведены несколько примеров правил, которые вы можете указать:

RESP DETECT SET_RESP=detect_resp EXEC_CMD=admin_notify RESP FAILED SET_RESP=err_resp REQ FAILED EXEC_CMD=admin_notify REQ CLEAN

В начало страницы