Правила позволяют указать шаблоны ответов, которые будут возвращаться вместо заблокированных веб-страниц, а также скрипты, которые могут выполняться при обнаружении, например скрипт уведомления системного администратора.
Пакет распространения Kaspersky Scan Engine содержит образцы шаблонов ответов и пример скрипта, отправляющего информацию об инциденте в syslog.
Работа с шаблонами ответов
Kaspersky Scan Engine поставляется со следующими образцами шаблонов ответов, расположенными в директории /opt/kaspersky/ScanEngine/icap_data/templates:
detect_req Этот шаблон возвращается, когда в режиме изменения запроса (REQMOD) обнаруживается угроза или тип легальной программы, которая может быть использована злоумышленниками для повреждения компьютера или личных данных пользователя.
detect_res Этот шаблон возвращается, когда в режиме изменения ответа (RESPMOD) обнаруживается угроза или тип легальной программы, которая может быть использована злоумышленниками для повреждения компьютера или личных данных пользователя.
macro_reqЭтот шаблон возвращается, когда в режиме REQMOD обнаруживается файл документа Microsoft Office, содержащий макрос.
macro_respЭтот шаблон возвращается, когда в режиме RESPMOD обнаруживается файл документа Microsoft Office, содержащий макрос.
Вы можете создавать собственные шаблоны ответов и настраивать Kaspersky Scan Engine возвращать их вместе с измененным сообщением. Подобно образцам шаблонов ответов, пользовательские шаблоны ответов могут использовать контекст обнаружения, который предоставляет пользователю дополнительную информацию. Дополнительную информацию о контексте обнаружения см. в подразделе "Использование контекста обнаружения в шаблонах ответов и скриптах" ниже.
Несмотря на то что Kaspersky Scan Engine возвращает шаблоны ответов вместо заблокированных веб-страниц, некоторые браузеры могут не отображать эти шаблоны, вместо этого возвращая код состояния HTTP 403 Forbidden.
Работа со скриптами
Kaspersky Scan Engine поставляется со скриптом send_syslog, расположенным в директории /opt/kaspersky/ScanEngine/icap_data/scripts.
Скрипт send_syslog отображает сообщение об обнаруженном объекте и перенаправляет его в утилиту логирования logger.
Вы можете создавать собственные скрипты оболочки и настраивать Kaspersky Scan Engine выполнять их при обнаружении. Подобно примеру скрипта, пользовательские скрипты могут использовать контекст обнаружения, который предоставляет пользователю дополнительную информацию. Дополнительную информацию о контексте обнаружения см. в подразделе "Использование контекста обнаружения в шаблонах ответов и скриптах" ниже.
Пользовательские скрипты выполняются в параллельных потоках. Максимальное количество потоков сканирования – 100.
Использование контекста обнаружения в шаблонах ответов и скриптах
Шаблоны ответов и скрипты поддерживают контекст обнаружения. При отображении шаблона ответа контекстные переменные заменяются значениями, возвращаемыми Kaspersky Scan Engine. Чтобы использовать контекст обнаружения в скрипте, используйте контекстные переменные как переменные среды.
В контексте обнаружения поддерживаются следующие переменные:
_VirusName_ – имя обнаруженного объекта._DateTime_ – дата и время инцидента (в формате YYYY-MM-DD HH:MM:MS)._ICAPDVersion_ – версия плагина ICAP. _URL_ – запрошенный URL-адрес.Вы можете использовать контекст обнаружения в собственных шаблонах ответов и скриптах.
В начало страницы