Cette section permet aux administrateurs système d'activer l'analyse des fichiers entrants à l'aide d'un serveur antivirus distant. MOVEit Transfer soumet les fichiers entrants au serveur antivirus (AV) et/ou de prévention des pertes de données (DLP) via le protocole ICAP. Les fichiers exempts de tout problème sont ensuite transférés vers le système de fichiers MOVEit Transfer.
Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2. Utilisez MOVEit Central pour l'analyse antivirus des transferts AS2.
Configurer l'analyse de contenu pour les hôtes MOVEit Transfer
Le nom et l'emplacement (adresse URL du serveur) de l'analyseur de contenu sont des paramètres obligatoires. Tous les paramètres d'analyse du contenu s'appliquent à l'ensemble des hôtes MOVEit Transfer du système. Les paramètres sont décrits ci-dessous :
Remarque : vous pouvez activer ou désactiver l'analyse de contenu au niveau de chaque organisation dans Settings - Security Policies - Content Scanning (Paramètres - Stratégies de sécurité - Analyse de contenu). Vous devez être connecté en tant qu'administrateur d'organisation.
Scan uploads: Yes (Analyser les fichiers chargés : Oui) active l'analyse de contenu pour l'ensemble des organisations du système MOVEit Transfer. No signifie que l'analyse de contenu est désactivée pour toutes les organisations du système.
Nom : nom défini par l'utilisateur pour l'activité d'analyse de contenu, comme « Analyse AV ».
Server URL (Adresse URL du serveur) : adresse du serveur antivirus (ICAP). Elle doit être précédée du préfixe icap:// (par exemple : icap://scansrv:1344).
Server Type (Type de serveur) : utilisez la valeur par défaut - Auto Detect - (Détection automatique) ou sélectionnez un serveur antivirus dans la liste des types pris en charge.
Server allows "204" responses (Réponses « 204 » autorisées par le serveur) : la valeur par défaut Yes (Oui) accélère l'analyse puisque la réponse 204 permet au serveur de renvoyer un en-tête à jour sans le corps du message.
Maximum file size to scan (Taille maximale de fichier à analyser) : la valeur par défaut de 15 Mo (recommandée) signifie que les fichiers chargés dont la taille dépasse 15 Mo ne seront pas entièrement analysés. MOVEit Transfer n'exclut pas les fichiers excédant la taille spécifiée, mais n'analyse pas plus que la quantité de données correspondant à cette limite. Si l'analyse partielle ne révèle aucun problème, le transfert du fichier vers le système de fichiers MOVEit Transfer est autorisé. Si vous ne souhaitez pas définir de taille maximale de fichier pour l'analyse, saisissez « 0 » dans ce champ.
Server connection timeout (Délai de connexion au serveur) : avec la valeur par défaut (5 secondes), si MOVEit Transfer ne parvient pas à établir la connexion au serveur d'analyse dans un délai de 5 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server send timeout (Délai d'envoi au serveur) : avec la valeur par défaut (30 secondes), si MOVEit Transfer ne parvient pas à envoyer les fichiers au serveur d'analyse dans un délai de 30 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server receive timeout (Délai de réception du serveur) : avec la valeur par défaut (30 secondes), si le serveur antivirus ne reçoit pas les fichiers de MOVEit Transfer dans un délai de 30 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server connection tries (Tentatives de connexion au serveur) : la valeur par défaut (3) signifie que MOVEit Transfer a droit à 3 tentatives pour établir la connexion initiale au serveur antivirus.
Change Content Scanning (Modifier les paramètres d'analyse de contenu) : après toute saisie ou modification, cliquez sur ce bouton pour appliquer les changements.
Test Content Scanning (Tester l'analyse de contenu) : testez les fonctions AV ou DLP en envoyant un faux fichier infecté connu (par exemple, EICAR.COM) au serveur ICAP. Vérifiez s'il est signalé comme infecté ou assurez-vous que le serveur DLP a bien été contacté. (Pour éviter tout problème avec d'autres logiciels antivirus en cours d'exécution sur le système, le fichier EICAR est stocké sous forme chiffrée.) Avant d'effectuer le test, veillez à enregistrer tous les changements de paramètres en cliquant sur le bouton Change Content Scanning (Modifier les paramètres d'analyse de contenu).
L'écran suivant affiche un exemple de configuration d'un analyseur antivirus ICAP Sophos.
Journalisation
Après l'analyse d'un fichier, les pages de détails du fichier affichent des informations du serveur ICAP.
En cas de résultat positif de l'analyse, un message d'erreur apparaît en haut de la page du navigateur de l'utilisateur qui a chargé le fichier.
De plus, les entrées du fichier journal indiquent le nom défini par l'utilisateur du serveur ICAP utilisé lors du chargement du fichier. Elles fournissent également des informations d'auto-identification, la version, et la marque de définition de virus ou de stratégie DLP renvoyée par le serveur.
Les codes d'erreur (6100-6103) sont utilisés pour consigner les erreurs AV. Utilisez ces codes pour filtrer les journaux. Lorsque l'analyse du contenu provoque un échec du chargement, la table de journalisation correspondante consigne le nom du serveur AV et, si possible, le nom du virus.
Les codes d'erreur 0 et 6150 sont utilisés pour consigner les violations de stratégie DLP, comme suit:
Code d'erreur 0 pour les violations qui ont été autorisées ou mises en quarantaine
Code d'erreur 6150 pour les violations qui ont été bloquées
Notifications
Les macros de notification pour l'analyse du contenu, lorsqu'elles sont activées, peuvent consigner les résultats des analyses antivirus (AV) ainsi que des analyses de prévention des pertes de données (DLP) effectuées.
Les notifications suivantes peuvent inclure les résultats des analyses AV et/ou DLP:
New File Upload Notification (Notification de nouveau chargement de fichier)
File Upload Confirmation (Confirmation de chargement de fichier)
New Package (Nouveau paquet)
New Package Secure Attach (Nouveau paquet, pièce jointe sécurisée)
New Temp User Package (with password) (Nouveau paquet utilisateur temporaire (avec mot de passe))
New Temp User Package (with password) Secure Attach (Nouveau paquet utilisateur temporaire (avec mot de passe), pièce jointe sécurisée)
New Temp User Package (with password link) (Nouveau paquet utilisateur temporaire (avec lien mot de passe))
(Nouveau paquet utilisateur temporaire (avec lien mot de passe), pièce jointe sécurisée)
New Guest Package (Nouveau paquet invité)
New Package Secure Attach (Nouveau paquet invité, pièce jointe sécurisée)
File Non-Delivery Receipt (Accusé de non livraison de fichier)
File Upload List Notification (Notification de liste de chargements de fichiers)
File Upload List Confirmation (Confirmation de liste de chargements de fichiers)
File Not Downloaded List (Liste de fichiers non téléchargés)
File Delivery Receipt (Accusé de réception de fichier)
Package Delivery Receipt (Accusé de réception du paquet)
Package Download Receipt (Accusé de téléchargement du paquet)
Package Deleted By User (Paquet supprimé par l'utilisateur)
Package User Was Deleted (Utilisateur du paquet supprimé)
Les résultats des analyses de contenu ne sont pas pris en compte par les modèles standard utilisés par ces notifications. Vous pouvez ajouter les macros voulues pour la consignation des résultats d'analyse en créant des modèles de notification personnalisés. Pour définir des notifications personnalisées pour votre organisation, utilisez Settings | Appearance | Notification | Custom (Paramètres | Apparence | Notification | Personnaliser).
Reporting
Vous pouvez ajouter un rapport d'analyse du contenu recensant les fichiers bloqués pour cause de violation des conditions de sécurité. Une violation survient, par exemple, lorsqu'un fichier échoue à une analyse antivirus ou enfreint une stratégie de protection contre les pertes de données (DLP). Dans ce cas, le rapport indique le nom de l'analyseur, le nom du fichier et le nom du virus détecté (si connu) ou de la politique concernée. Si vous êtes connecté en tant qu'administrateur d'organisation, le rapport vous montre les violations survenues dans votre organisation. Si vous êtes connecté en tant qu'administrateur système, le rapport peut couvrir plusieurs organisations.
