Cette section permet aux administrateurs système d'activer l'analyse des fichiers entrants à l'aide d'un serveur antivirus distant. MOVEit Transfer soumet les fichiers entrants au serveur antivirus (AV) et/ou de prévention des pertes de données (DLP) via le protocole ICAP. Les fichiers exempts de tout problème sont ensuite transférés vers le système de fichiers MOVEit Transfer.
Remarque : si vous utilisez le module AS2 pour transférer les fichiers, sachez que l'analyse de contenu ne s'applique pas aux transferts AS2. Utilisez MOVEit Automation pour l'analyse antivirus des transferts AS2.
Pour plus d'informations sur la fonction d'analyse de contenu, et sur les journaux et rapports associés, reportez-vous à la section Présentation de la fonction d'analyse de contenu.
Configurer l'analyse de contenu pour les hôtes MOVEit Transfer
Le nom et l'emplacement (adresse URL du serveur) de l'analyseur de contenu sont des paramètres obligatoires. Tous les paramètres d'analyse du contenu s'appliquent à l'ensemble des hôtes MOVEit Transfer du système. Les paramètres sont décrits ci-dessous :
Remarque : vous pouvez activer ou désactiver l'analyse de contenu au niveau de chaque organisation dans Settings - Security Policies - Content Scanning (Paramètres - Stratégies de sécurité - Analyse de contenu). Vous devez être connecté en tant qu'administrateur d'organisation.
Scan uploads: Yes (Analyser les fichiers chargés : Oui) active l'analyse de contenu pour l'ensemble des organisations du système MOVEit Transfer. No signifie que l'analyse de contenu est désactivée pour toutes les organisations du système.
Nom : nom défini par l'utilisateur pour l'activité d'analyse de contenu, comme « Analyse AV ».
Server URL (Adresse URL du serveur) : adresse du serveur antivirus (ICAP). Elle doit être précédée du préfixe icap:// (par exemple : icap://scansrv:1344).
Server Type (Type de serveur) : utilisez la valeur par défaut - Auto Detect - (Détection automatique) ou sélectionnez un serveur antivirus dans la liste des types pris en charge.
Server allows "204" responses (Réponses « 204 » autorisées par le serveur) : la valeur par défaut Yes (Oui) accélère l'analyse puisque la réponse 204 permet au serveur de renvoyer un en-tête à jour sans le corps du message.
Maximum file size to scan (Taille maximale de fichier à analyser) : La valeur par défaut de 15 Mo (recommandée) signifie que les fichiers chargés dont la taille dépasse 15 Mo ne seront pas entièrement analysés. MOVEit Transfer n'exclut pas les fichiers excédant la taille spécifiée, mais n'analyse pas plus que la quantité de données correspondant à cette limite. Si l'analyse partielle ne révèle aucun problème, le transfert du fichier vers le système de fichiers MOVEit Transfer est autorisé. Pour éliminer la restriction portant sur la taille maximale du fichier à analyser, tapez 0 (zéro) pour définir « aucune valeur maximale » et analyser tous les fichiers (quelle que soit leur taille).
Remarque : Les règles d'utilisation de valeurs maximales importantes ou sans limite de taille peuvent ralentir les performances et être soumises aux performances et capacités de votre moteur d'analyse antivirus tiers.
Server connection timeout (Délai de connexion au serveur) : Avec la valeur par défaut (5 secondes), si MOVEit Transfer ne parvient pas à établir la connexion au serveur d'analyse dans un délai de 5 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server send timeout (Délai d'envoi au serveur) : Avec la valeur par défaut (30 secondes), si MOVEit Transfer ne parvient pas à envoyer les fichiers au serveur d'analyse dans un délai de 30 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server receive timeout (Délai de réception du serveur) : Avec la valeur par défaut (30 secondes), si le serveur antivirus ne reçoit pas les fichiers de MOVEit Transfer dans un délai de 30 secondes, un échec de connexion se produit. MOVEit Transfer tentera de se reconnecter jusqu'à ce que le nombre maximal autorisé de tentatives de connexion au serveur soit atteint.
Server connection tries (Tentatives de connexion au serveur) : La valeur par défaut (3) signifie que MOVEit Transfer a droit à 3 tentatives pour établir la connexion initiale au serveur antivirus.
Change Content Scanning (Modifier les paramètres d'analyse de contenu) : après toute saisie ou modification, cliquez sur ce bouton pour appliquer les changements.
Test Content Scanning (Tester l'analyse de contenu) : testez les fonctions AV ou DLP en envoyant un faux fichier infecté connu (par exemple, EICAR.COM) au serveur ICAP. Vérifiez s'il est signalé comme infecté ou assurez-vous que le serveur DLP a bien été contacté. (Pour éviter tout problème avec d'autres logiciels antivirus en cours d'exécution sur le système, le fichier EICAR est stocké sous forme chiffrée.) Avant d'effectuer le test, veillez à enregistrer tous les changements de paramètres en cliquant sur le bouton Change Content Scanning (Modifier les paramètres d'analyse de contenu).
L'écran suivant affiche un exemple de configuration d'un analyseur antivirus ICAP Sophos.
Journalisation
Après l'analyse d'un fichier, les pages de détails du fichier affichent des informations du serveur ICAP.
Quand l'analyse d’un fichier échoue, un message d'erreur apparaît dans la page du navigateur de l'utilisateur ayant chargé ce fichier.
De plus, les entrées du fichier journal indiquent le nom défini par l'utilisateur du serveur ICAP utilisé lors du chargement du fichier. Elles fournissent également des informations d'auto-identification, la version, et la marque de définition de virus ou de stratégie DLP renvoyée par le serveur.
Les codes d'erreur (6100-6103) sont utilisés pour consigner les erreurs AV. Utilisez ces codes pour filtrer les journaux. Lorsque l'analyse du contenu provoque un échec du chargement, la table de journalisation correspondante consigne le nom du serveur AV et, si possible, le nom du virus.
Les codes d'erreur 0 et 6150 sont utilisés pour consigner les violations de stratégie DLP, comme suit :
Code d'erreur 0 pour les violations qui ont été autorisées ou mises en quarantaine
Code d'erreur 6150 pour les violations qui ont été bloquées
Notifications
Les macros de notification pour l'analyse du contenu, lorsqu'elles sont activées, peuvent consigner les résultats des analyses antivirus (AV) ainsi que des analyses de prévention des pertes de données (DLP) effectuées.
Les notifications suivantes peuvent inclure les résultats des analyses AV et/ou DLP :
Notification de nouveau chargement de fichier
Confirmation de chargement de fichier
Nouveau paquet
Nouveau paquet, pièce jointe sécurisée
Paquet de nouvel utilisateur temporaire (avec mot de passe)
Paquet de nouvel utilisateur temporaire (avec mot de passe), pièce jointe sécurisée
Paquet de nouvel utilisateur temporaire (avec lien mot de passe)
Paquet de nouvel utilisateur temporaire (avec lien mot de passe), pièce jointe sécurisée
Paquet de nouvel invité
Nouveau paquet invité, pièce jointe sécurisée
Accusé de non livraison de fichier
Notification de liste de chargements de fichiers
Confirmation de liste de chargements de fichiers
Liste de fichiers non téléchargés
Accusé de réception de fichier
Accusé de réception du paquet
Accusé de téléchargement du paquet
Paquet supprimé par un utilisateur
L'utilisateur du paquet a été supprimé
Les résultats des analyses de contenu ne sont pas pris en compte par les modèles standard utilisés par ces notifications. Vous pouvez ajouter les macros voulues pour la consignation des résultats d'analyse en créant des modèles de notification personnalisés. Pour définir des notifications personnalisées pour votre organisation, utilisez Settings | Appearance | Notification | Custom (Paramètres | Apparence | Notification | Personnaliser).
Reporting
Vous pouvez ajouter un rapport d'analyse du contenu recensant les fichiers bloqués pour cause de violation des conditions de sécurité. Une violation survient, par exemple, lorsqu'un fichier échoue à une analyse antivirus ou enfreint une stratégie de protection contre les pertes de données (DLP). Dans ce cas, le rapport indique le nom de l'analyseur, le nom du fichier et le nom du virus détecté (si connu) ou de la politique concernée. Si vous êtes connecté en tant qu'administrateur d'organisation, le rapport vous montre les violations survenues dans votre organisation. Si vous êtes connecté en tant qu'administrateur système, le rapport peut couvrir plusieurs organisations.
