Unterstützung der virtuellen Appliance für ICAP-DURCHSUCHEN

Ansichten:

Die File Security Virtual Appliance bietet einen Virenscan-Dienst über das ICAP-Protokoll (RFC 3507) an. ICAP-Clients wie Proxys und sichere Web-Gateways können Dateien zur Überprüfung an die Virtual Appliance weiterleiten, bevor sie durchgelassen werden.

ICAP-Server-Endpunkt

icap://<host>:<port><path>

Komponente	Beschreibung	Standard (SG)
`host`	Adresse der File Security Virtual Appliance-Instanz	—
`port`	ICAP-Abhörport für externe Clients	`31344`
`path`	Endpunktpfad durchsuchen	`/avscan`

Beispiel:

icap://host:31344/avscan

Unterstützte ICAP-Methoden: REQMOD, RESPMOD, OPTIONS

Anforderungsparameter

Query Parameters

Parameter	Wert	Beschreibung
`pml`	`true`	Vorausschauendes Maschinenlernen (PML) DURCHSUCHEN zusätzlich zur Standard-Engine aktivieren

Um PML zu aktivieren, fügen Sie ?pml=true zum ICAP-Dienstpfad hinzu

Beispiel:

icap://host:31344/avscan?pml=true

Beispiel mit c-icap-client, übergehen Sie es als Teil der -s-Option:

c-icap-client -i host -p 31344 -s avscan?pml=true -v -f /path/to/sample.exe
                  -x "X-scan-file-name:
      sample.exe"

File Name for Scan Result Reporting

Der Scanner extrahiert den Dateiname aus der ICAP-Anfrage für Suchergebnis-Feedback an TrendAI Vision One™. Wenn eine bösartige Datei erkannt wird oder ein Scanfehler auftritt, erscheint der Dateiname in der event table auf der TrendAI Vision One™ Konsole.

Der Dateiname wird aus den folgenden Quellen ermittelt, in der Reihenfolge der Priorität:

Quelle	Beispiel	Beschreibung
`X-scan-file-name`-Header	`-x "X-scan-file-name: sample.exe"`	Benutzerdefinierter ICAP-Anforderungsheader. Hat Vorrang, wenn vorhanden.
Eingekapselter Anforderungs-URI-Pfad	`-req http://localhost/sample.exe`	Der Pfadbestandteil der eingebetteten HTTP-Anforderungs-URI (gemäß RFC 3507). Wird als Fallback verwendet, wenn `X-scan-file-name` nicht bereitgestellt wird.

Beispiel mit X-scan-file-name-Header:

c-icap-client -i host -p 31344 -s avscan -v -f /path/to/sample.exe -x
                  "X-scan-file-name: sample.exe"

Beispiel für die Verwendung eines gekapselten Anforderungs-URI-Pfads:

c-icap-client -i host -p 31344 -s avscan -v -f /path/to/sample.exe -req
                  http://localhost/sample.exe

Hinweis

Einige ICAP-Clients, wie Dell OneFS, übergeben den Dateipfad über die gekapselte Anforderungs-URI. Der Scanner extrahiert den Dateinamen automatisch aus diesem Pfad, wenn der X-scan-file-name-Header nicht vorhanden ist.

Antwort

Ergebnis	ICAP-Antwort	Beschreibung
Säubern	`204 No Content`	Keine Bedrohung erkannt; Datei wird durchgelassen.
Infiziert	`200 OK (with 403 Forbidden)`	Bedrohung erkannt; Datei ist gesperrt.
Fehler	`200 OK (with 500 / 400)`	Durchsuchung fehlgeschlagen oder Anfrage ist ungültig. Weitere Informationen finden Sie unter ICAP-Scanner-Antworten.