N4. Otros

Actualización automática de la clave de licencia

Se llama al finalizar el período de vigencia de la clave de licencia.

Base de datos

Parámetros

Valor devuelto

disponible

•event — tipo de evento:

▫expire — expira el período de vigencia de la clave de licencia, la actualización automática no está disponible

▫diff — se ha descargado una nueva clave de licencia, pero los componentes de la licencia actual y de la nueva son distintos. La clave de licencia deberá ser sustituida manualmente

▫renew — la clave de licencia ha sido automáticamente actualizada

•old_key — contenido de la vieja clave de licencia

•new_key — contenido de la nueva clave de licencia. Disponible si el tipo de evento es diff o renew

se ignora

Texto del hook:

--[[

Called:

when license key expire or have been renewed

Database:

available

Parameters:

event event type: "expire" - license key expires or have done it

"diff" - received new key, but components differs from current one

"renew" - current key have been renewed, old one was deleted

old_key content of old license key

new_key content of renew license key, available at event type "diff" or "renew"

Returned value:

ignored

]]

local args = ... -- args.event, args.old_key, args.new_key

Se ha detectado una epidemia

Se llama cuando se detecta una epidemia de virus en la red.

Base de datos

Parámetros

Valor devuelto

disponible

•virus — amenaza más extendida,

•total — número total de amenazas detectadas

se ignora

Texto del hook:

--[[

Called:

when virus epidemic has been detected by the server

Database:

available

Parameters:

total total count of viruses

virus most frequently detected virus name

Returned value:

ignored

]]

local args = ... -- args.total, args.virus

Informe del Control de aplicaciones

Se llama al recibir el informe del Control de aplicaciones desde una estación.

Base de datos

Parámetros

Valor devuelto

disponible

•id — ID de la estación,

•address — dirección de red del cliente,

•station — nombre de la estación,

•time — hora en que ocurrió el evento (hora de la estación),

•sid — SID de la estación,

•user — usuario que ejecutó el proceso con actividad sospechosa,

•type — tipo de evento,

•action — acción aplicada,

•policy_type — tipo de política activada,

•policy_mask — máscara de política activada,

•test_mode — evento ocurrido en modo de prueba,

•profile_id — UUID del perfil para el que se realizó el bloqueo,

•profile_name — nombre del perfil para el que se realizó el bloqueo,

•rule_id — UUID de la regla para el que se realizó el bloqueo (si existe),

•rule_name — nombre de la regla para el que se realizó el bloqueo (si existe),

•process_path — ruta al proceso bloqueado,

•process_file_sha256 — SHA-256 del archivo de proceso,

•process_file_version — versión del archivo de proceso,

•process_file_description — descripción del archivo de proceso,

•process_file_origname — nombre inicial del archivo de proceso,

•process_file_prodname — nombre del producto del archivo de proceso,

•process_file_prodver — versión del producto del archivo de proceso,

•process_file_company — nombre de la companía del archivo de proceso,

•process_cert_thumbprint — huella digital del certificado (SHA-1) que firmó el proceso (si existe),

•process_cert_serial — el número de serie del certificado que firmó el proceso (si existe)

•process_cert_issuer — emisor del certificado que firmó el proceso (si existe),

•process_cert_subject — el sujeto del certificado que firmó el proceso (si existe),

•process_cert_timestamp — hora de emisión del certificado que firmó el proceso (si existe),

•process_cert_not_before — hora de inicio del certificado, que firmó el proceso (si existe),

•process_cert_not_after — hora de finalización del certificado que firmó el proceso (si existe),

•process_hashdb — boletín que contiene hash del archivo de proceso,

•object_path — ruta al proceso bloqueado o valor vacío

•object_file_sha256 — SHA-256 del archivo del script (si existe),

•object_file_version — versión del archivo de script (si existe),

•object_file_description — descripción del archivo de script (si existe),

•object_file_origname — nombre inicial del archivo del script (si existe),

•object_file_prodname — nombre del producto del archivo de script (si existe),

•object_file_prodver — versión del producto del archivo del script (si existe),

•object_file_company — nombre de la companía de archivo del script (si existe),

•object_cert_thumbprint — huella digital del certificado (SHA-1) que firmó el script (si existe),

•object_cert_serial — número de serie del certificado que firmó el script (si existe),

•object_cert_issuer — emisor del certificado que firmó el script (si existe),

•object_cert_subject — sujeto del certificado que firmó el script (si existe),

•object_cert_timestamp — hora de emisión del certificado que firmó el script (si existe),

•object_cert_not_before — hora de inicio del certificado que firmó el script (si existe),

•object_cert_not_after — hora de finalización del certificado que firmó el script (si existe),

•object_hashdb — boletín que contiene hash del archivo de script

se ignora

Texto del hook:

--[[

Called:

when application control event received from Agent

Database:

available

Parameters:

id station ID

address station address

station station name

time station time

sid SID of user initiated activity

user name of user initiated activity

type event type

action applied action

policy_type matched policy type

policy_mask matched policy mask

test_mode event occured in test mode

profile_id profile UUID used for activity blocking

profile_name profile name used for activity blocking

rule_id rule UUID used for activity blocking (if exist)

rule_name rule name used for activity blocking (if exist)

process_path path to affected process file

process_file_sha256 process file SHA-256

process_file_version process file version

process_file_description process file description

process_file_origname process file original name

process_file_prodname process file product name

process_file_prodver process file product version

process_file_company process file company name

process_cert_thumbprint process file signing certificate thumbprint (SHA-1) (if exist)

process_cert_serial process file signing certificate serial number (if exist)

process_cert_issuer process file signing certificate issuer (if exist)

process_cert_subject process file signing certificate subject (if exist)

process_cert_timestamp process file signing certificate sign issuance timestamp (if exist)

process_cert_not_before process file signing certificate NotBefore timestamp (if exist)

process_cert_not_after process file signing certificate NotAfter timestamp (if exist)

process_hashdb hash database containing process file

object_path path to affected object file (script, etc) or empty

object_file_sha256 object file SHA-256 (if exist)

object_file_version object file version (if exist)

object_file_description object file description (if exist)

object_file_origname object file original name (if exist)

object_file_prodname object file product name (if exist)

object_file_prodver object file product version (if exist)

object_file_company object file company name (if exist)

object_cert_thumbprint object file signing certificate thumbprint (SHA-1) (if exist)

object_cert_serial object file signing certificate serial number (if exist)

object_cert_issuer object file signing certificate issuer (if exist)

object_cert_subject object file signing certificate subject (if exist)

object_cert_timestamp object file signing certificate sign issuance timestamp (if exist)

object_cert_not_before object file signing certificate NotBefore timestamp (if exist)

object_cert_not_after object file signing certificate NotAfter timestamp (if exist)

object_hashdb hash database containing object file

Returned value:

ignored

]]

local args = ...

Informe del Control de aplicaciones desde el Servidor vecino

Se llama al recibir el informe del Control de aplicaciones para una estación desde un Servidor Dr.Web vecino.

Base de datos

Parámetros

Valor devuelto

disponible

•neighborid — ID del Servidor Dr.Web vecino del que se recibe el evento,

•neighborname — nombre del Servidor Dr.Web vecino,

•originatorid — ID del Servidor Dr.Web que ha originado el evento,

•originatorname — nombre del Servidor Dr.Web que ha originado el evento,

•stationid — ID de la estación,

•stationname — nombre de la estación,

•eventid — ID del evento,

•event_time — hora de aparición del evento en la estación,

•sid — SID de la estación,

•user — usuario que ejecutó el proceso con actividad sospechosa,

•type — tipo de evento,

•action — acción aplicada,

•policy_type — tipo de política activada,

•policy_mask — máscara de política activada,

•test_mode — evento ocurrido en modo de prueba,

•profile_id — UUID del perfil para el que se realizó el bloqueo,

•profile_name — nombre del perfil para el que se realizó el bloqueo,

•rule_id — UUID de la regla para el que se realizó el bloqueo (si existe),

•rule_name — nombre de la regla para el que se realizó el bloqueo (si existe),

•process_path — ruta al proceso bloqueado,

•process_file_sha256 — SHA-256 del archivo de proceso,

•process_file_version — versión del archivo de proceso,

•process_file_description — descripción del archivo de proceso,

•process_file_origname — nombre inicial del archivo de proceso,

•process_file_prodname — nombre del producto del archivo de proceso,

•process_file_prodver — versión del producto del archivo de proceso,

•process_file_company — nombre de la companía del archivo de proceso,

•process_cert_thumbprint — huella digital del certificado (SHA-1) que firmó el proceso (si existe),

•process_cert_serial — el número de serie del certificado que firmó el proceso (si existe),

•process_cert_issuer — emisor del certificado que firmó el proceso (si existe),

•process_cert_subject — el sujeto del certificado que firmó el proceso (si existe),

•process_cert_timestamp — hora de emisión del certificado que firmó el proceso (si existe),

•process_cert_not_before — hora de inicio del certificado, que firmó el proceso (si existe),

•process_cert_not_after — hora de finalización del certificado que firmó el proceso (si existe),

•process_hashdb — boletín que contiene hash del archivo de proceso,

•object_path — ruta al proceso bloqueado o valor vacío

•object_file_sha256 — SHA-256 del archivo del script (si existe),

•object_file_version — versión del archivo de script (si existe),

•object_file_description — descripción del archivo de script (si existe),

•object_file_origname — nombre inicial del archivo del script (si existe),

•object_file_prodname — nombre del producto del archivo de script (si existe),

•object_file_prodver — versión del producto del archivo del script (si existe),

•object_file_company — nombre de la companía de archivo del script (si existe),

•object_cert_thumbprint— huella digital del certificado (SHA-1) que firmó el script (si existe),

•object_cert_serial — número de serie del certificado que firmó el script (si existe),

•object_cert_issuer — emisor del certificado que firmó el script (si existe),

•object_cert_subject — sujeto del certificado que firmó el script (si existe),

•object_cert_timestamp — hora de emisión del certificado que firmó el script (si existe),

•object_cert_not_before — hora de inicio del certificado que firmó el script (si existe),

•object_cert_not_after — hora de finalización del certificado que firmó el script (si existe),

•object_hashdb — boletín que contiene hash del archivo de script

se ignora

Texto del hook:

--[[

Called:

when application control event received from neighbor server

Database:

available

Parameters:

neighborid neighbor server ID which the event received from

neighborname neighbor server name

originatorid ID of the event server originator

originatorname name of the event server originator

stationid station ID

stationname station name

eventid event ID

event_time station time

recv_time server originator time

sid SID of user initiated activity

user name of user initiated activity

type event type

action applied action

policy_type matched policy type

policy_mask matched policy mask

test_mode event occured in test mode

profile_id profile UUID used for activity blocking

profile_name profile name used for activity blocking

rule_id rule UUID used for activity blocking (if exist)

rule_name rule name used for activity blocking (if exist)

process_path path to affected process file

process_file_sha256 process file SHA-256

process_file_version process file version

process_file_description process file description

process_file_origname process file original name

process_file_prodname process file product name

process_file_prodver process file product version

process_file_company process file company name

process_cert_thumbprint process file signing certificate thumbprint (SHA-1) (if exist)

process_cert_serial process file signing certificate serial number (if exist)

process_cert_issuer process file signing certificate issuer (if exist)

process_cert_subject process file signing certificate subject (if exist)

process_cert_timestamp process file signing certificate sign issuance timestamp (if exist)

process_cert_not_before process file signing certificate NotBefore timestamp (if exist)

process_cert_not_after process file signing certificate NotAfter timestamp (if exist)

process_hashdb hash database containing process file

object_path path to affected object file (script, etc) or empty

object_file_sha256 object file SHA-256 (if exist)

object_file_version object file version (if exist)

object_file_description object file description (if exist)

object_file_origname object file original name (if exist)

object_file_prodname object file product name (if exist)

object_file_prodver object file product version (if exist)

object_file_company object file company name (if exist)

object_cert_thumbprint object file signing certificate thumbprint (SHA-1) (if exist)

object_cert_serial object file signing certificate serial number (if exist)

object_cert_issuer object file signing certificate issuer (if exist)

object_cert_subject object file signing certificate subject (if exist)

object_cert_timestamp object file signing certificate sign issuance timestamp (if exist)

object_cert_not_before object file signing certificate NotBefore timestamp (if exist)

object_cert_not_after object file signing certificate NotAfter timestamp (if exist)

object_hashdb hash database containing object file

Returned value:

ignored

]]

local args = ...

Servidor proxy Dr.Web creado

Se llama cuando se ha completado la creación de un Servidor proxy Dr.Web.

Base de datos

Parámetros

Valor devuelto

disponible

•login — nombre de registro del administrador,

•id — ID del Servidor proxy Dr.Web,

•name — nombre del Servidor proxy Dr.Web,

•state — estado de finalización de la operación:

▫0 — creado exitosamente,

▫1 — error en la operación (error de la base de datos),

▫2 — el tiempo de espera ha caducado (base de datos sobrecargada),

▫4 — El Servidor proxy Dr.Web ya existe

se ignora

Texto del hook:

--[[

Called:

when proxy create completed

Database:

available

Parameters:

id proxy ID

name proxy name

state operation completion state:

0 created successfully

1 operation failed (database error)

2 operation timed out (database overloaded)

4 already exists

Returned value:

ignored

]]

local args = ... -- args.login, args.id, args.name, args.state

El Servidor proxy Dr.Web ha sido eliminado

Se llama al eliminar el Servidor proxy Dr.Web.

Base de datos

Parámetros

Valor devuelto

disponible

•login — nombre de registro del administrador,

•id — ID del Servidor proxy Dr.Web,

•name — nombre del Servidor proxy Dr.Web,

se ignora

Texto del hook:

--[[

Called:

when proxy deleted

Database:

available

Parameters:

id proxy id

name proxy name

Returned value:

ignored

]]

local args = ... -- args.login, args.id, args.name