CSSCurrent de:Vorverarbeitung

Aus Cryptshare Documentation
Version vom 26. November 2021, 08:45 Uhr von imported>Birkenmeierm (→‎Filterung der Ausgabe)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu:Navigation, Suche



Über die Vorverarbeitung

Jede Datei, die per Cryptshare übertragen wird, kann mittels eines Vorverarbeitungs-Kommandos überprüft werden. Dies ermöglicht es z.B. Dateien auf Viren zu überprüfen, bevor diese verschlüsselt abgelegt werden. Wenn die Prüfung 'positiv' verläuft (in dem Sinne, dass ein Virusbefall festgestellt wird), wird die Datei aus dem Transferpaket entfernt. Die Einstellungen für die Vorverarbeitung sind Teil der Policy Einstellungen. Das bedeutet, dass es für jede Policy möglich ist, eine andere Vorverarbeitungs-Konfiguration zu haben.  Die in diesem Menü gemachten Einstellungen sind die Standardwerte für die Erstellung neuer Policies.

Virenscan

Verwendung von ClamAV

Unsere Systeme vom Typ Virtual Appliance und Hardware Appliance werden mit einem vorinstallierten ClamAV Virenscanner ausgeliefert.

Bitte beachten Sie, dass der ClamAV Virenscanner keine Dateien prüfen kann, die größer sind als 2 GB. Diese technische Limitierung bezieht sich nur auf einzelne Dateien, nicht auf die Gesamtgröße des Transfers. Es könnten also bspw. 10 Dateien à 300 MB geprüft werden, jedoch nicht eine einzelne Datei à 3 GB. Aus Performance-Gründen sieht die Standardkonfiguration von ClamAV lediglich vor, bis zu 25M große Dateien zu scannen.

74383434.png

Wenn Sie auch größere Dateien (bis zu 2GB) überprüfen möchten, ändern Sie die Parameter `MaxScanSize` und `MaxFileSize` in der Datei `/etc/clamd.conf` und starten Sie den ClamAV Dienst mit dem Befehl `rcclamd restart` neu.

74383435.png

Bitte beachten Sie den Abschnitt Vorverarbeitungsbeschränkung, um zu definieren, wie Cryptshare Dateien Verfahren soll, die größer sind als das Verarbeitungslimit Ihres Virenscanners.

Verwendung anderer Virenscanner

Bei selbst installierten Systemen ist es erforderlich, einen eigenen Virenscanner in die Vorverarbeitung einzubauen. Bitte verwenden Sie das dafür erforderliche Kommando für die Vorverarbeitung, welches Sie über den Hersteller Ihres Virenscanners in Erfahrung bringen können. Bitte prüfen Sie in den Unterlagen des Herstellers, bis zu welchem Größenlimit eine Verarbeitung von Dateien möglich ist. Die meisten Virenscanner haben ein technisches Limit bei einer Dateigröße von 2 GB. Diese Limitierung bezieht sich nur auf einzelne Dateien, nicht auf die Gesamtgröße des Transfers. Es könnten also bspw. 10 Dateien à 300 MB geprüft werden, jedoch nicht eine einzelne Datei à 3 GB. Bitte beachten Sie den Abschnitt Vorverarbeitungsbeschränkung, um zu definieren, wie mit größeren Dateien verfahren werden soll.

Data Leakage Protection Integration

Data Leakage Protection (DLP) Tools können über die Vorverarbeitung in Cryptshare integriert werden. So kann beispielsweise ein Tool, das die Erkennung von Datenlecks ermöglicht, als Vorverarbeitungsbefehl ausgeführt und zum Scannen der hochgeladenen Transferdateien verwendet werden, um Dateien zu entfernen, die aufgrund des Exit-Codes des Tools zur Erkennung von Datenlecks nicht an andere weitergegeben werden dürfen.

Vorverarbeitungskommando

Kommando und zusätzliche Argumente

Dies ist die Kommandozeile, mit der ein externes Programm für die Vorverarbeitung aufgerufen wird, um die Datei zu überprüfen. Geben Sie hier einen Kommandozeilenaufruf ein, wie Sie ihn in der Windows oder Linux Konsole eingeben würden. Sie können dem Argument zusätzliche Argumente hinzufügen, indem Sie das Listenelement unter dem Eingabefeld für das Kommando verwenden. Zusätzlich zu festen Argumenten ist es möglich, dynamische Argumente anzugeben, die bei der Analyse der jeweiligen Dateien durch den passenden Wert ersetzt werden. Aktuell stehen die folgenden dynamischen Argumente zur Verfügung.

Aus technischen Gründen können hierbei einzelne Sonderzeichen aus den übergebenen Werten entfernt werden:     " \* / : < > ? \\ |

Platzhalter Beispiel Erklärung / Anmerkungen
${file.name} Bericht.docx Aus technischen Gründen werden Dateien der Vorverarbeitung mit einem sicheren Dateinamen übergeben, der keine Informationen darüber enthält, wie die Datei ursprünglich hieß oder welche Dateiendung diese besitzt.

Dieser Platzhalter dient dazu, dem externen Programm für die Vorverarbeitung den ursprünglichen Dateinamen der zu prüfenden Datei zu übergeben.

${file.encryptedName} TibavAT0qp Der verschlüsselte Name der Datei.
${file.size} 1184 Die Größe der Datei in Bytes.
${sender.email} john.doe@domain.com Die E-Mail-Adresse des Absenders.
${sender.name} John Doe Der Name des Absenders.
${sender.phone} 01234 56789 Die Telefonnummer des Absenders.
${trackingId} 20211119-162926-AQgB58nh Eine Cryptshare Tracking-ID ist eine eindeutige ID für einen Cryptshare Transfer.

Exit-Code bei erfolgreicher Verarbeitung

Üblicherweise nutzen die meisten Virenscanner den Exit Code '0' um einen negativen Befund (im dem Sinne, dass die untersuchte Datei virenfrei ist) zu signalisieren. Dennoch gibt es auch einige Virenscanner, die andere Exit Codes verwenden. In diesem Fall können Sie den gewünschten Exit Code einstellen, bei dem eine Weiterverarbeitung stattfinden soll.

Ausgabe des Vorverarbeitungsergebnisses

Anzeige der Ausgabe

Ausgabe der Vorverarbeitung
Beispiel für eine Vorverarbeitungsausgabe

Das Aktivieren der Fehlerausgabe zeigt die Ausgaben des Vorverarbeitungskommandos im Zusammenfassungsbildschirm am Ende eines Transfers an, falls durch die Vorverarbeitung eine oder mehrere Dateien dadurch aus dem Transfer entfernt werden.

Es kann dabei zwischen den folgenden Modi gewählt werden:

  • Keine Ausgabe: Es wird keine Ausgabe angezeigt. Die Liste der Dateien auf dem Zusammenfassungsbildschirm enthalten keine weiteren Details.
  • Zeige Ausgabe von STDOUT: Die Ausgabe des Vorverarbeitungskommandos aus dem Standard-Ausgabekanal wird angezeigt.
  • Zeige Ausgabe von STDERR: Die Ausgabe des Vorverarbeitungskommandos aus dem Fehler-Ausgabekanal wird angezeigt.
  • Zeige Ausgaben von STDOUT und STDERR: Die Ausgabe des Vorverarbeitungskommandos aus beiden Ausgabekanälen werden kombiniert angezeigt.

Bitte beachten Sie, dass die Kontrolle darüber, welche Ausgaben in welchem Ausgabestrom ausgegeben werden, vom Vorverarbeitungskommando selbst abhängt. Sollten Sie mehr Kontrolle über die Ausgaben benötigen, können Sie die statt dem direkten Aufruf des Vorverarbeitungskommandos den Aufruf eines Shell-Skriptes in Betracht ziehen, welches den eigentlichen Aufruf vornimmt und die Ausgabeströme ggf. manipuliert.

Filterung der Ausgabe

Die Ausgabe, welche bei nicht erfolgreicher Vorverarbeitung angezeigt werden kann, kann zusätzlich gefiltert und ersetzt werden, um die Ausgabe individuell anzupassen. Dazu kann zunächst ein Suchmuster angegeben werden, welches als regulärer Ausdruck (Regular Expression / "Regex") ausgewertet wird. Die komplette Ausgabe wird dann mit diesem Muster untersucht und nach Übereinstimmungen gefiltert. Die Übereinstimmungen können dann durch eine andere Ausgabe ersetzt werden. Dazu wird ein Ersetzungsmuster angeben, das die Übereinstimmungen ersetzt. Falls ein regulärer Ausdruck mit einer Gruppe verwendet wurde, kann diese beim Ersetzen wiederverwendet werden:

Beschreibung Originalausgabe Muster für Filterung Ersatzmuster Resultat
Ein Text wird 1:1 durch einen anderen Text ersetzt.
Ein anderer Text
Ein anderer Text
Noch ein Text
Noch ein Text
Ein Teil eines Textes wird durch einen anderen ersetzt, wobei aber ein bestimmter Teil übernommen wird.
Ein anderer Text. Virus gefunden in Datei:test.exe 
.*Virus gefunden in Datei:(?<fileName>.*)
Datei wurde entfernt aufgrund eines Virus: ${fileName}
Datei wurde entfernt aufgrund eines Virus: test.exe
Ein Teil eines Textes wird entfernt.
Ein anderer Text
Text
Ein anderer
Filtern einer mehrzeiligen Ausgabe nach einer bestimmten Zeile.
Ein anderer Text. 
Virus gefunden in Datei:test.exe
Noch mehr Text.
(?m-)^(?!Virus gefunden in Datei).*?\R
Virus gefunden in Datei:test.exe

Mehr Informationen zur Syntax regulärer Ausdrücke in der verwendeten Ausprägung finden Sie in der Dokumentation der Java Runtime.

Um das Erstellen eines passenden regulären Ausdrucks zu vereinfachen, empfehlen wir die Verwendung einer Testanwendung wie beispielsweise regex101.

Dateigrößenbeschränkung

Da Anti-Viren-Programm lediglich Dateien bis zu einem bestimmten Größenlimit verarbeiten können, kann eine Dateigrößenbeschränkung für die Vorverarbeitung konfiguriert werden. Abhängig von dieser Einstellung werden Dateien oberhalb eines bestimmten Limits, je nach gewählter Aktion , entweder aus dem Transfer entfernt oder während der Vorverarbeitung übersprungen. Das Limit für die Vorverarbeitungsbeschränkung sollte im Idealfall dem Größenlimit der Virenscanner-Konfiguration entsprechen. Beachten Sie bitte die entsprechenden Hilfeinhalte der Administrationsoberfläche für genauere Details.

Performance-Einfluss beim Scan großer Dateien.
Bitte beachten Sie, dass die Anhebung des Limits für die zu scannende Dateigröße in der Konfiguration Ihres Virenscanners abhängig von Ihrem Nutzungsverhalten erheblichen Einfluss auf die Performance des Systems haben kann. Eine eventuell vorhandene Größenbeschränkung MB wurde vom Hersteller des Anti-Virus-Systems gesetzt, da Viren in der Regel über kleine Dateien verbreitet werden, um diese weiter zu streuen, jedoch selten über sehr große Dateien.

E-Mail-Benachrichtigung

Der Administrator kann per E-Mail darüber informiert werden wenn die Vorverarbeitung eine oder mehrere Dateien aus einem Transfer entfernt hat. 13 Vorverarbeitung DE.png

Konfliktlösung

Für die Konfliktlösung von Vorverarbeitungs-Einstellungen sind die folgenden Regeln aktiv:

  • Exit-Code, Vorverarbeitungsbefehl oder Befehl Argumente

→ Wenn mindestens einer der drei Parameter einen Konflikt verursacht, werden alle drei in diesem Menü verfügbaren globalen Einstellungen verwendet.

  • Vorverarbeitungsbeschränkung

→ Wenn mindestens eine Richtlinie die Einstellung zum Entfernen der Datei aus der Übertragung hat, wenn die Vorverarbeitung fehlschlägt, wird diese Einstellung verwendet. Wenn im Konfliktlösungsmenü die Einstellung 'Für die Dateigrößenbeschränkung der Vorverarbeitung soll das Maximum verwendet werden.' ausgewählt ist, wird der Maximalwert verwendet, ansonsten der Minimalwert.

  • Benachrichtigung

→ Wenn die Benachrichtigung für mindestens eine Policy aktiviert ist, wird die Benachrichtigung gesendet.