Content-Scanning

Mit den Content-Scanning-Funktionen von MOVEit Transfer können Sie Content skaliert mit Virensuchprogrammen oder Engines mit DLP-Mustern und -Ausdrücken (zur Verhinderung von Datenverlusten) von Drittanbietern passiv prüfen. Das Content-Scanning kann als zusätzliche Kontrollebene verwendet werden, mit der ein- und ausgehende Dateiübertragungen inspiziert, analysiert, verfolgt und blockiert werden können.

Sie können Daten, die von MOVEit Transfer freigegeben oder zum System hinzugefügt werden, anhand von Benutzern bzw. Benutzergruppen kontrollieren. Außerdem können folgende Informationen berücksichtigt werden:

• Ergebnisse von Suchläufen der Virenschutz-Engine.
• DLP-Indikatoren in Form von Textmustern (z. B. Marker für die Beeinträchtigung des Geschäftsbetriebs oder für Klassifizierungen zur Informationssicherheit), Signaturen (z. B. vollständige MD5-Summe) und andere Regeln, die Sie zur Kategorisierung von Daten und Bestimmung der Relevanz für bestimmte Benutzer oder Benutzergruppen festlegen.
• Maximale Datengröße (für Leistung und wenn nachgeschaltete Anwendungen Dateien verarbeiten, die größer als dieser Schwellenwert sind).

Content-Scanning ist in der Regel besonders dann notwendig, wenn MOVEit Transfer-Datenübertragungen eine Firewall passieren. Vor dem Abschluss der Datentransaktion leitet MOVEit Transfer die Daten mittels Internet Content Adaptation Protocol (ICAP) an den entsprechenden Scanner (AV oder DLP) weiter. MOVEit lässt die Übertragung anhand der Scan-Ergebnisse zu oder blockiert sie.

AV- bzw. DLP-Instanzen von Drittanbietern werden getrennt von MOVEit Transfer verwaltet und bereitgestellt. Beachten Sie, dass unterschiedliche Scan-Server möglicherweise über unterschiedliche Funktionen und Leistungsfähigkeiten verfügen. Ein Server kann so konfiguriert werden, dass er als AV-Server oder DLP-Server agiert oder er kann beide Aufgaben übernehmen. Sie können MOVEit so konfigurieren, dass es mit mehreren verschiedenen AV- und DLP-Servern kommuniziert. Sie können das Scannen auf Systemebene aktivieren, aber Sie können jeweils nur einen AV- und einen DLP-Server gleichzeitig aktiviert haben. Sie haben dann die Möglichkeit, einen bestimmten AV- oder DLP-Prozess auf Organisationsebene zu deaktivieren.

Unterstützte Scan-Engines

In diesem Abschnitt werden Virenschutz-Scan-Engines aufgeführt, die Daten-Uploads/Downloads über einen dedizierten Virenschutz-Host per ICAP-Verbindung auf Viren durchsuchen. Folgende führenden AV- und DLP-Engines werden von MOVEit Transfer unterstützt.

Hinweis: Details zum Einsatz einer lokalen Virenschutzanwendung, die das MOVEit Transfer-Server-Host-System selbst schützt, finden Sie im Thema zur Systemintegration im Abschnitt Dienstintegration – Virenschutz und im Progress-Wissensdatenbankartikel Best Practices for Local AV Setup (Best Practices für die Einrichtung eines lokalen Virenschutzsystems).

Folgende führenden Engines zum Virenschutz (AV) und zur Verhinderung von Datenverlusten (DLP) werden auf Kompatibilität mit MOVEit Transfer geprüft.

AV-Engines (einige mit AV/DLP)

DLP-Engines

*Bei bestimmten Scanning-Engines (z. B. McAfee, Symantec) sind für die Antwort „DLP blockiert“ zusätzliche Konfigurationsschritte notwendig.

Hinweis: In den Versionshinweisen von MOVEit Transfer finden Sie neue Programme, die zu den Listen hinzugefügt wurden, sowie Hinweise, wenn bestimmte Versionen verwendet werden müssen.

Virenschutz

Der Virenschutzscan (SETTINGS > System > Content Scanning > Anti-Virus [EINSTELLUNGEN > System > Content-Scanning > Virenschutz]) ermöglicht das Scannen von eingehenden Dateien mit einem Virenschutz-Remoteserver. MOVEit Transfer sendet eingehende Dateien über das ICAP-Protokoll an den Virenschutz-Server. Bereinigte Dateien werden dann an das MOVEit Transfer-Dateisystem weitergeleitet.

Was passiert, wenn das AV-Content-Scanning aktiviert ist?

MOVEit Transfer scannt hochgeladene Dateien folgendermaßen:

• Dateien werden beim Hochladen gescannt und gelangen erst dann in das MOVEit Transfer-Dateisystem, wenn der Content-Scanner bestätigt, dass die Datei nicht infiziert ist.
• Wenn die Datei mit einem Virus infiziert ist, wird sie abgelehnt, und der Benutzer erhält eine Fehlermeldung.
• Wenn die Verbindung mit dem ICAP-Server fehlschlägt, das Verbindungslimit überschritten wird oder die Datei aus irgendeinem Grund nicht überprüft werden kann, wird das Hochladen abgelehnt und der Benutzer erhält eine Fehlermeldung.
• Wenn eine maximale Dateigröße konfiguriert wurde, werden Dateien bis zu dieser konfigurierten Größe gescannt. Sie können auch festlegen, dass es keine Größenbeschränkung gibt.

Vorbereitung

Vor der Aktivierung des Virenscans benötigen Sie folgende Voraussetzungen:

• Eine funktionierende Virus-Scan-Engine von Drittanbietern auf einem Host, auf den MOVEit Transfer über ICAP zugreifen kann.
• Scan-Engines müssen das ICAP-Protokoll unterstützen (weitere Informationen siehe RFC 3507), das mit MOVEit Transfer über eine Schnittstelle verbunden sein muss. (Normale „Computer“-Virenscanner vom gleichen Anbieter unterstützen den für MOVEit Transfer erforderlichen Umfang in der Regel nicht).

Hinweis: Wenn Sie das AS2-Modul für die Dateiübertragung verwenden, beachten Sie, dass das Content-Scanning nicht für eine AS2-Übertragung gilt. Verwenden Sie MOVEit Automation zum Scannen von AS2-Übertragungen auf Viren.

Konfigurieren von Virenschutz-Scanning für MOVEit Transfer-Hosts

Nach der Konfiguration des Virenschutz-Servers richten Sie Content-Scanning für Ihre MOVEit Transfer-Organisationen ein. Die Virenschutz-Einstellungen gelten für alle MOVEit Transfer-Organisationen im System.

Hinweis: Weitere Informationen finden Sie im Abschnitt Content-Scanning.

Verhinderung von Datenverlusten (DLP)

Bei der Verhinderung von Datenverlusten (DLP) (SETTINGS > System > Content Scanning > DLP [EINSTELLUNGEN > System > Content-Scanning > DLP]) werden eingehende Daten von Dateiübertragungen und Ad-hoc-Übertragungen (z. B. Betreff, Kommentar/Textkörper und Anlangen) an einen externen DLP-Server gesendet, damit MOVEit Transfer:

• den DLP-Regelsatz verwenden kann, um vertrauliche oder wertvolle Inhalte und die dazugehörige Zugriffsstufe des Benutzers/der Benutzerrolle zu identifizieren (für eingehende Pakete).
• festlegen kann, ob ein Paket freigegeben werden kann (abhängig von der aktuellen Benutzerrolle und den Anforderungen an die DLP-Richtlinie) (für ausgehende Pakete).

MOVEit Transfer verwendet das ICAP-Protokoll zur Übertragung eingehender Daten an den DLP-Server. Der DLP-Server wendet konfigurierte Datenschutzrichtlinien während des Scans der Daten an. Wenn der DLP-Server seine Antwort zurückgibt, wird von den MOVEit-Konfigurationen bestimmt, ob die Übertragung blockiert, unter Quarantäne gestellt oder zugelassen wird. MOVEit protokolliert alle DLP-Richtlinienverletzungen, die vom DLP-Server zurückgegeben werden.

Hinweis: Wenn Sie das AS2-Modul für die Dateiübertragung verwenden, beachten Sie, dass das Content-Scanning nicht für eine AS2-Übertragung gilt.

Konfigurieren von DLP-Scanning für MOVEit Transfer-Hosts

Zur Implementierung von DLP-Scanning in MOVEit Transfer müssen folgende Aufgaben ausgeführt werden:

• Installation und Konfiguration des externen und typischerweise Remote-DLP-Servers
• Konfiguration von DLP-Servern für ein MOVEit-System. Es kann nur jeweils ein DLP-Server aktiviert werden.
• Konfiguration von DLP-Regelsätzen für Benutzerklassen oder Benutzer für jede MOVEit-Organisation.

Was passiert, wenn das DLP-Content-Scanning aktiviert ist?

MOVEit Transfer scannt heruntergeladene Dateien folgendermaßen:

• Dateien werden anhand der festgelegten maximalen Dateigröße gescannt. Weitere Informationen finden Sie unter Content-Scanning.
• Dateien werden beim Hochladen gescannt und gelangen erst dann in das MOVEit Transfer-Dateisystem, wenn der Content-Scanner bestätigt, dass die Datei nicht für den Benutzer, der die Datei hochlädt, blockiert ist.
• Wenn die Datei gegen eine DLP-Richtlinie verstößt, wird sie entsprechend der MOVEit-Richtlinie und -Regelsätze verarbeitet und der Benutzer, der die Datei hochzuladen versucht, erhält eine Fehlermeldung. Beachten Sie, dass, wenn ein Virus bei einem parallelen Virenschutz-Scan gefunden wird, das Hochladen der Datei automatisch blockiert wird.
• Wenn die Verbindung mit dem ICAP-Server fehlschlägt oder das Verbindungslimit überschritten wird oder die Datei aus irgendeinem Grund nicht gescannt werden kann, wird das Hochladen abgelehnt und der Benutzer erhält eine Fehlermeldung.
• Ein erneutes Scannen von Dateien oder ein Scannen bei Downloads werden nicht unterstützt. Die Möglichkeit zum Download von Dateien basiert auf den Ergebnissen des Scans zum Zeitpunkt des Hochladens der Datei sowie auf den Berechtigungen des Benutzers, der den Downloadversuch unternimmt. Unter Quarantäne gestellte Dateien können unter bestimmten Umständen für den Download freigegeben werden.

Wichtig: Es kann zu einem gegebenen Zeitpunkt nur jeweils ein DLP-Scanner auf dem System aktiviert sein.

Scanner-Verfügbarkeit

Wenn Content-Scanning aktiviert ist, wird alle paar Minuten von MOVEit Transfer geprüft, ob der aktivierte AV- bzw. DLP-Scanner verfügbar ist. Dies ist Teil der SysCheck-Routine (siehe Weiterführende Themen – Systeminternes – Geplante Aufgaben), die eine integrierte Benachrichtigung erzeugen kann. Zuerst wird der AV-Scanner und dann der DLP-Scanner geprüft. Wenn einer der Scanner nicht verfügbar ist, sendet SysCheck eine E-Mail-Nachricht an die E-Mail-Adresse Send Errors To (Fehler senden an) mit einer Warnung, dass der MOVEit Transfer-Server erst wieder Dateien übertragen kann, wenn dieses Problem behoben wurde. Wenn der Scanner wieder verfügbar ist, sendet SysCheck eine E-Mail mit der Nachricht, dass das Scannen wieder verfügbar ist.

Hinweis: Der Systemadministrator sollte immer die Verbindung testen, wenn ein neuer Content-Scanner konfiguriert wird. Das Programm MOVEit Transfer Check kann auch bei Bedarf ausgeführt werden.

Protokollierung

Wenn eine Datei gescannt wurde, werden auf den Seiten mit den Dateidetails die Virenschutz- und DLP-Serverinformationen angezeigt.

Im folgenden Beispiel betrifft die erste Zeile der Content-Scanning-Informationen den AV-Server und die zweite Zeile den DLP-Server.

Wenn der Scan einer Datei fehlschlägt, wird dem Benutzer, der die Datei hochgeladen hat, eine Fehlermeldung auf der Startseite angezeigt.

Die Protokolldatei-Einträge enthalten den Status, den Benutzer und Dateiattribute sowie ggf. Richtlinienverletzungen.

AV-Fehler werden anhand von Fehlercodenummern (6100–6103) gemeldet. Dies erleichtert das Filtern von Protokollen. Wenn ein Upload infolge eines Content-Scannings nicht ausgeführt wird, sind in den entsprechenden Protokolltabellendatensätzen der AV-Servername und, sofern verfügbar, der Name des Virus angegeben.

Verstöße gegen DLP-Richtlinien werden anhand der Fehlercodenummern 0 und 6150 wie folgt gemeldet:

• Fehlercode 0 weist auf zulässige oder in Quarantäne gestellte Verstöße hin.
• Fehlercode 6150 weißt auf blockierte Verstöße hin.

Benachrichtigungen

Benachrichtigungsmakros zum Scannen von Inhalten (Content-Scanning) können, sofern aktiviert, die Scanergebnisse für Scans zum Virenschutz (Anti-Virus, AV) und zur Datenverlustvermeidung (Data Loss Prevention, DLP) melden.

AV- und/oder DLP-Informationen können in den folgenden Benachrichtigungen enthalten sein:

• Benachrichtigung über den Upload einer neuen Datei
• Datei-Upload-Bestätigung
• Neues Paket
• Neuer sicherer Paketanhang
• Neues Paket für temp. Benutzer (mit Kennwort)
• Neues Paket für temp. Benutzer (mit Kennwort) als sicherer Anhang
• Neues Paket für temp. Benutzer (mit Kennwort-Link)
• Neues Paket für temp. Benutzer (mit Kennwort-Link) als sicherer Anhang
• New Guest Package (Neues Gastpaket)
• Neues Gastpaket als sicherer Anhang
• File Non-Delivery Receipt (Benachrichtigung bezüglich nicht erfolgter Dateizustellung)
• Benachrichtigung zu Datei-Upload-Liste
• Bestätigung der Datei-Upload-Liste
• Liste nicht heruntergeladener Dateien
• Dateizustellungsbestätigung
• Paketempfangsbestätigung
• Paketherunterladebestätigung
• Paket von Benutzer gelöscht
• Paketbenutzer wurde gelöscht

Die Standardvorlagen für diese Benachrichtigungen umfassen keine Content-Scanning-Ergebnisse. Wenn Sie die Makros zur Meldung der Scanergebnisse hinzufügen möchten, erstellen Sie einfach benutzerdefinierte Benachrichtigungsvorlagen. Benutzerdefinierte Benachrichtigungen werden in einer Organisation unter Settings | Appearance | Notification | Custom (Einstellungen | Erscheinungsbild | Benachrichtigung | Benutzerdefiniert) festgelegt.

Berichte

Diese Berichte enthalten unterschiedliche Arten von Content-Scanning-Aktivitäten. Zwei Berichte zeigen spezielle Informationen zu den Scanergebnissen: Violations Blocked (Blockierte Verstöße) und DLP Violations (Allowed and Blocked) (DLP-Verstöße (zugelassen und blockiert)). Die restlichen Berichte sind Wartungsberichte mit aggregierten Anzahlen.

Wenn Sie als Administrator einer Organisation angemeldet sind, werden im Bericht Scanergebnisse für Ihre Organisation angezeigt. Wenn Sie als Systemadministrator angemeldet sind, kann der Bericht Angaben zu mehreren Organisationen enthalten.

Hinweis: In der Regel können Berichte für bis zu 30 Tage Online-Prüfeinträge und für 30 Tage Online-Leistungsstatistiken enthalten, je nachdem, wie Sie die geplanten Bereinigungsaufgaben ausführen, mit denen die älteren Daten archiviert werden.