System – Content-Scanning

Überblick

In diesem Abschnitt können Systemadministratoren das Scannen von eingehenden Dateien mit einem Virenschutz-Remoteserver aktivieren. MOVEit Transfer sendet eingehende Dateien über das ICAP-Protokoll an den Virenschutz-Server (AV-Server) und/oder den Server zur Verhinderung von Datenverlusten (DLP-Server). Bereinigte Dateien werden dann an das MOVEit Transfer-Dateisystem weitergeleitet.

Hinweis: Wenn Sie das AS2-Modul für die Dateiübertragung verwenden, beachten Sie, dass das Content-Scanning nicht für eine AS2-Übertragung gilt. Verwenden Sie MOVEit Automation zum Scannen von AS2-Übertragungen auf Viren.

Weitere Informationen zur Funktion Content-Scanning und zu den zugehörigen Protokollen und Berichten finden Sie unter dem Thema Funktionsumfang – Content-Scanning.

Content-Scanning für MOVEit Transfer-Hosts einstellen

Ein Name für den Content-Scanner und der Speicherort (Server-URL) des Content-Scanners sind erforderliche Einstellungen. Alle Einstellungen für Content-Scanning gelten für alle MOVEit Transfer-Hosts im System. Die Einstellungen werden im Folgenden beschrieben:

Hinweis: Sie können Content-Scanning für jede Organisation unter Settings – Security Policies – Content Scanning (Einstellungen – Sicherheitsrichtlinien – Content-Scanning) aktivieren oder deaktivieren. Sie müssen als Organisationsadministrator angemeldet sein.

• Scan uploads (Uploads scannen): Yes (Ja) bedeutet, dass Content-Scanning für das MOVEit Transfer-System für alle Organisationen aktiviert ist. No (Nein) bedeutet, dass Content-Scanning für alle Organisationen im System deaktiviert ist.
• Name: Dies ist ein benutzerdefinierter Name für die Content-Scanning-Aktivität, wie z. B. AV-Scan.
• Server URL (Server-URL): Dies ist die Adresse des Virenschutz- (ICAP-)Servers. Diese Adresse erfordert das Präfix icap:// (z. B. icap://scansrv:1344)
• Server Type (Servertyp): Verwenden Sie die Standardeinstellung – Auto Detect – (Automatische Erkennung) oder wählen Sie den Virenschutz-Servertyp aus der Liste mit unterstützten Typen aus.
• Server allows „204“ responses (Server lässt „204“-Antworten zu): Die Standardeinstellung Yes (Ja) ermöglicht ein schnelleres Scannen, da die Antwort 204 dem Server gestattet, einen aktualisierten Header ohne Textdaten auszugeben.
• Maximum file size to scan (Maximale zu scannende Dateigröße): Die Standardeinstellung von 15 MB (empfohlen) bedeutet, dass hochgeladene Dateien, deren Größe 15 MB überschreitet, nicht vollständig gescannt werden. MOVEit Transfer schließt Dateien, deren Größe die ausgewählte Größe überschreitet, nicht aus. Es scannt tatsächlich alle Dateien bis zur ausgewählten Größe. Wird im Teilscan kein Problem gefunden, wird die Datei im MOVEit Transfer-Dateisystem zugelassen. Um die maximale Dateigröße aus der Scan-Richtlinie auszuschließen, geben Sie „0“ (Null) ein – es wird kein Maximum festgelegt und alle Dateien, unabhängig von ihrer Größe, werden gescannt.

  Hinweis: Wenn der Höchstwert sehr hoch oder gar nicht festgelegt ist, kann die Leistung beeinträchtigt werden; sie hängt von der Leistung und den Funktionen der AV-Scanengine des Drittanbieters ab.

• Server connection timeout (Serververbindungstimeout): Die Standardeinstellung von 5 Sekunden bedeutet, dass ein Verbindungsfehler auftritt, wenn MOVEit Transfer innerhalb von 5 Sekunden keine Verbindung zum Scan-Server herstellen kann. MOVEit Transfer unternimmt einen erneuten Verbindungsversuch, bis die maximale Anzahl von Serververbindungsversuchen erreicht ist.
• Server send timeout (Serversendetimeout): Die Standardeinstellung von 30 Sekunden bedeutet, dass ein Verbindungsfehler auftritt, wenn MOVEit Transfer innerhalb von 30 Sekunden nicht an den Virenschutz-Server senden kann. MOVEit Transfer unternimmt einen erneuten Verbindungsversuch, bis die maximale Anzahl von Serververbindungsversuchen erreicht ist.
• Server receive timeout (Serverempfangstimeout): Die Standardeinstellung von 30 Sekunden bedeutet, dass ein Verbindungsfehler auftritt, wenn der Virenschutz-Server innerhalb von 30 Sekunden nicht von MOVEit Transfer empfangen kann. MOVEit Transfer unternimmt einen erneuten Verbindungsversuch, bis die maximale Anzahl von Serververbindungsversuchen erreicht ist.
• Server connection tries (Serververbindungsversuche): Die Standardeinstellung 3 bedeutet, dass MOVEit Transfer bis zu 3 Versuche unternimmt, um eine erste Verbindung zum Virenschutz-Server herzustellen.
• Change Content Scanning (Content-Scanning ändern): Klicken Sie nach der Eingabe von Einträgen oder Änderungen auf diese Schaltfläche, um die Änderungen zu übernehmen.
• Test Content Scanning (Content-Scanning testen): Testet die AV- oder DLP-Funktion, indem eine bekannte infizierte falsche Datei (EICAR.COM) an den ICAP-Server gesendet wird. Anschließend wird sichergestellt, dass die Datei als infiziert gekennzeichnet wird oder dass eine erfolgreiche Verbindung zum DLP-Server hergestellt wurde. (Zur Vermeidung von Problemen mit anderen AV-Paketen, die möglicherweise auf dem System ausgeführt werden, wird die EICAR-Datei verschlüsselt gespeichert.) Stellen Sie sicher, dass Sie vor dem Test Änderungen an den Einstellungen speichern, indem Sie auf die Schaltfläche „Change Content Scanning“ (Content-Scanning ändern) klicken.

Der folgende Bildschirm zeigt ein Beispiel einer Konfiguration für einen Sophos ICAP AV-Scanner an.

Protokollierung

Wenn eine Datei gescannt wurde, werden auf den Seiten mit den Dateidetails die ICAP-Serverinformationen angezeigt.

Wenn der Scan einer Datei fehlschlägt, wird dem Benutzer, der die Datei hochgeladen hat, eine Fehlermeldung auf der Browserseite angezeigt.

Zudem melden Protokolldateieinträge den benutzerdefinierten Namen des ICAP-Servers, der während des Hochladens der Datei verwendet wurde. Datensätze melden ebenfalls den Selbstidentifizierungs-, Versions- und Virusdefinitions- oder DLP-Richtlinientag des Servers.

AV-Fehler werden anhand von Fehlercodenummern (6100–6103) gemeldet. Dies erleichtert das Filtern von Protokollen. Wenn ein Upload infolge eines Content-Scannings nicht ausgeführt wird, sind in den entsprechenden Protokolltabellendatensätzen der AV-Servername und, sofern verfügbar, der Name des Virus angegeben.

Verstöße gegen DLP-Richtlinien werden anhand der Fehlercodenummern 0 und 6150 wie folgt gemeldet:

• Fehlercode 0 weist auf zulässige oder in Quarantäne gestellte Verstöße hin.
• Fehlercode 6150 weißt auf blockierte Verstöße hin.

Benachrichtigungen

Benachrichtigungsmakros zum Scannen von Inhalten (Content-Scanning) können, sofern aktiviert, die Scanergebnisse für Scans zum Virenschutz (Anti-Virus, AV) und zur Datenverlustvermeidung (Data Loss Prevention, DLP) melden.

AV- und/oder DLP-Informationen können in den folgenden Benachrichtigungen enthalten sein:

• Benachrichtigung über den Upload einer neuen Datei
• Datei-Upload-Bestätigung
• Neues Paket
• Neuer sicherer Paketanhang
• Neues Paket für temp. Benutzer (mit Kennwort)
• Neues Paket für temp. Benutzer (mit Kennwort) als sicherer Anhang
• Neues Paket für temp. Benutzer (mit Kennwort-Link)
• Neues Paket für temp. Benutzer (mit Kennwort-Link) als sicherer Anhang
• New Guest Package (Neues Gastpaket)
• Neues Gastpaket als sicherer Anhang
• File Non-Delivery Receipt (Benachrichtigung bezüglich nicht erfolgter Dateizustellung)
• Benachrichtigung zu Datei-Upload-Liste
• Bestätigung der Datei-Upload-Liste
• Liste nicht heruntergeladener Dateien
• Dateizustellungsbestätigung
• Paketempfangsbestätigung
• Paketherunterladebestätigung
• Paket von Benutzer gelöscht
• Paketbenutzer wurde gelöscht

Die Standardvorlagen für diese Benachrichtigungen umfassen keine Content-Scanning-Ergebnisse. Wenn Sie die Makros zur Meldung der Scanergebnisse hinzufügen möchten, erstellen Sie einfach benutzerdefinierte Benachrichtigungsvorlagen. Benutzerdefinierte Benachrichtigungen werden in einer Organisation unter Settings | Appearance | Notification | Custom (Einstellungen | Erscheinungsbild | Benachrichtigung | Benutzerdefiniert) festgelegt.

Reporting

Sie können einen Content-Scanning-Bericht hinzufügen, der Auskunft über blockierte Content-Scanning-Verstöße gibt. Ein Verstoß wäre beispielsweise eine Datei, die aufgrund einer Virenschutzprüfung als infiziert gilt oder gegen eine DLP-Richtlinie (Data Loss Protection, Datenverlustvermeidung) verstößt und blockiert wurde. In diesem Fall sind im Bericht der Name des Scanners, der Dateiname und der Name des Virus (sofern bekannt) oder der Richtlinie angegeben. Wenn Sie als Administrator einer Organisation angemeldet sind, werden im Bericht Verstöße in Ihrer Organisation angezeigt. Wenn Sie als Systemadministrator angemeldet sind, kann der Bericht Angaben zu mehreren Organisationen enthalten.