La sección Hashes de amenazas conocidos te permite ejecutar búsqueda por boletín con hash de amenazas conocidas, que se proporciona por el centro FinCERT e incluido en el producto 15-drwhashdb.
La casilla está disponible solo si el uso de boletines de hashes conocidos de amenazas tiene licencia. La disponibilidad de una licencia se proporciona en la información de la clave de licencia, que se puede ver en la sección Administrador de licencias, parámetro Listas de boletines de hashes permitidas (es suficiente la licencia al menos en una de las claves de licencia utilizadas por el Servidor Dr.Web).
|
La falta de una licencia para los boletines hash no disminuye el nivel de protección antivirus. Esta licencia le permite agregar una notificación al administrador de que una amenaza detectada está presente en boletines especializados de caché de amenazas conocidas. |
|
El producto 15-drwhashdb se gestiona en la sección Administración > Configuración detallada del repositorio > Hashes de amenazas conocidos. |
La tabla del contiene los siguientes datos:
•Hash de amenaza — hash de amenaza conocido.
•Nombre de boletín — FinCERT_IOC.
Para buscar por los campos de la tabla de hashes, haga clic en el botón 
.
Cuando se detecta una amenaza en una estación (mediante control de aplicaciones, protección preventiva o durante el escaneo) y la información sobre ella se envía al Servidor Dr.Web, el servidor verifica su hash con el hash en la lista FinCERT y, si hay una coincidencia, lo marca como presente en el boletín FinCERT. Esta información está disponible en tablas de estadísticas con amenazas detectadas con la visualización habilitada de la columna Boletín en la sección Red antivirus > Estadísticas.
La base de datos con hashes se almacena en un único archivo hash-db en el siguiente directorio:
•para SO Windows: C:\Program Files\DrWeb Server\var\hash-db\<número revisión>\hash.db,
•para SO Linux: /var/opt/drwcs/hash-db/<número revisión>/hash.db,
•para SO FreeBSD: /var/drwcs/hash-db/<número revisión>/hash.db.
Notificaciones sobre detección de amenazas basadas en hashes conocidos
Puede configurar el envío de notificaciones sobre coincidencias encontradas con hash de amenazas conocidas en la sección Configuración de notificaciones.
Las siguientes opciones están disponibles:
•Control de aplicaciones ha bloqueado el proceso de la lista de los hashes de amenazas conocidos,
•Una amenaza de seguridad detectada por hashes de amenazas conocidos,
•Error de escaneo al detectar una amenaza por hashes de amenaza conocidos,
•Informe de la Protección preventiva sobre la detección de amenazas por hashes de amenazas conocidos.
Cuando se trabaja con varios Servidores Dr.Web, active la casilla Enviar notificaciones sobre eventos de un Servidor Dr.Web vecino cuando se detectan amenazas usando hashes conocidos, para enviar al administrador notificaciones sobre eventos recibidos de un Servidor Dr.Web esclavo personalizado cuando se Las amenazas se detectan mediante hashes conocidos. Si se borra la bandera, el administrador recibirá notificaciones sobre eventos solo en su Servidor Dr.Web.
La casilla está disponible, sólo si se licencia el uso de boletines de hashes de amenazas conocidas.
También es posible configurar notificaciones usando los procedimientos personalizados.
|
Si no tiene una licencia del producto, las notificaciones correspondientes se desactivan automáticamente. |