M4. Autre

Mise à jour automatique de la clé de licence

Appelé à l’expiration de la clé de licence.

Base de données

Paramètres

Valeur retournée

disponible

event : type de l’événement:

expire : la clé de licence va expirer, la mise à jour automatique n’est pas disponible

diff : une nouvelle clé de licence est téléchargée mais le contenu des composants soumis à la licence de la clé actuelle est différent de celui de la nouvelle clé. La clé de licence doit être remplacée manuellement

renew : la clé de licence a été mise à jour automatiquement

old_key : contenu de l’ancienne clé de licence

new_key : contenu de la nouvelle clé de licence. Disponible si le type d’événement est diff ou renew

ignoré

Texte de la procédure :

--[[

Called:

 when license key expire or have been renewed

 

Database:

 available

 

Parameters:

 event       event type: "expire" - license key expires or have done it

                         "diff"   - received new key, but components differs from current one

                         "renew"  - current key have been renewed, old one was deleted

 

 old_key     content of old license key    

 new_key     content of renew license key, available at event type "diff" or "renew"

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.event, args.old_key, args.new_key

Une épidémie est détectée

Appelé en cas de détection de l’épidémie sur le réseau.

Base de données

Paramètres

Valeur retournée

disponible

virus : la menace la plus répandue,

total : nombre total de menaces détectées

ignoré

Texte de la procédure :

--[[

Called:

 when virus epidemic has been detected by the server

 

Database:

 available

 

Parameters:

 total            total count of viruses

 virus            most frequently detected virus name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.total, args.virus

Rapport du Contrôle des applications

Appelé lors de la réception du rapport du Contrôle des applications depuis le poste.

Base de données

Paramètres

Valeur retournée

disponible

id : ID du poste,

address : adresse réseau du poste,

station : nom du poste,

time : heure de l’événement (heure du poste),

sid : SID du poste,

user : l’utilisateur qui a lancé un processus ayant une activité suspecte,

type : type de l’événement,

action : action appliquée,

policy_type : type de la politique qui a fonctionné,

policy_mask : masque de la politique qui a fonctionné,

test_mode : l’événement s’est produit en mode test,

profile_id : UUID du profil par lequel le blocage a été fait,

profile_name : nom du profil par lequel le blocage a été fait,

rule_id : UUID de la règle par laquelle le blocage a été fait (si existe),

rule_name : nom de la règle par laquelle le blocage a été fait (si existe),

process_path : chemin d’accès au processus bloqué,

process_file_sha256 : SHA-256 du ficher de processus,

process_file_version : version du fichier de processus,

process_file_description : description du fichier de processus,

process_file_origname : nom d’origine du fichier de processus,

process_file_prodname : nom du produit du fichier de processus,

process_file_prodver : version du produit du fichier de processus,

process_file_company : nom de l’entreprise du fichier de processus,

process_cert_thumbprint : empreinte du certificat (SHA-1) avec lequel le processus est signé (si existe),

process_cert_serial : numéro de série du certificat avec lequel le processus est signé (si existe)

process_cert_issuer : éditeur du certificat avec lequel le processus est signé (si existe),

process_cert_subject : sujet du certificat avec lequel le processus est signé (si existe),

process_cert_timestamp  : heure de délivrance du certificat avec lequel le processus est signé (si existe),

process_cert_not_before : heure de la mise en place du certificat avec lequel le processus est signé (si existe),

process_cert_not_after : heure d’expiration du certificat avec lequel le processus est signé (si existe),

process_hashdb : bulletin contenant le hash du fichier de processus,

object_path : chemin ver le script bloqué ou valeur vide,

object_file_sha256 : SHA-256 du ficher de script (si existe),

object_file_version : version du fichier de script (si existe),

object_file_description : description du fichier de script (si existe),

object_file_origname : nom d’origine du ficher de script (si existe),

object_file_prodname : nom du produit du ficher de script (si existe),

object_file_prodver : version du produit du fichier de script (si existe),

object_file_company : nom d’entreprise du ficher de script (si existe),

object_cert_thumbprint : empreinte du certificat (SHA-1) avec lequel le script est signé (si existe),

object_cert_serial : numéro de série du certificat avec lequel le script est signé (si existe),

object_cert_issuer : éditeur du certificat avec lequel le script est signé (s’il existe)

object_cert_subject : sujet du certificat avec lequel le script est signé (si existe),

object_cert_timestamp : heure de délivrance du certificat avec lequel le script est signé (si existe),

object_cert_not_before : heure de la mise en place du certificat avec lequel le script est signé (si existe),

object_cert_not_after : heure d’expiration du certificat avec lequel le script est signé (si existe),

object_hashdb : bulletin contenant le hash du fichier de script

ignoré

Texte de la procédure :

--[[

Called:

 when application control event received from Agent

 

Database:

 available

 

Parameters:

 id                 station ID

 address            station address

 station            station name

 time               station time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

 process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Rapport du Contrôle des applications du Serveur voisin

Appelé lors de la réception par le poste du rapport du Contrôle des applications depuis le Serveur Dr.Web voisin.

Base de données

Paramètres

Valeur retournée

disponible

 neighborid : ID du Serveur Dr.Web voisin depuis lequel l’événement est reçu,

neighborname : nom du Serveur Dr.Web voisin,

originatorid : ID du Serveur Dr.Web source de l’événement,

originatorname : nom du Serveur Dr.Web source de l’événement,

stationid : ID du poste,

stationname : nom du poste,

eventid : ID de l’événement,

event_time : l’heure de l’apparition de l’événement sur le poste,

sid : SID du poste,

user : l’utilisateur qui a lancé un processus ayant une activité suspecte,

type : type de l’événement,

action : action appliquée,

policy_type : type de la politique qui a fonctionné,

policy_mask : masque de la politique qui a fonctionné,

test_mode : l’événement s’est produit en mode test,

profile_id : UUID du profil par lequel le blocage a été fait,

profile_name : nom du profil par lequel le blocage a été fait,

rule_id : UUID de la règle par laquelle le blocage a été fait (si existe),

rule_name : nom de la règle par laquelle le blocage a été fait (si existe),

process_path : chemin d’accès au processus bloqué,

process_file_sha256 : SHA-256 du ficher de processus,

process_file_version : version du fichier de processus,

process_file_description : description du fichier de processus,

process_file_origname : nom d’origine du fichier de processus,

process_file_prodname : nom du produit du fichier de processus,

process_file_prodver : version du produit du fichier de processus,

process_file_company : nom de l’entreprise du fichier de processus,

process_cert_thumbprint : empreinte du certificat (SHA-1) avec lequel le processus est signé (si existe),

process_cert_serial : numéro de série du certificat avec lequel le processus est signé (si existe),

process_cert_issuer : éditeur du certificat avec lequel le processus est signé (si existe),

process_cert_subject : sujet du certificat avec lequel le processus est signé (si existe),

process_cert_timestamp  : heure de délivrance du certificat avec lequel le processus est signé (si existe),

process_cert_not_before : heure de la mise en place du certificat avec lequel le processus est signé (si existe),

process_cert_not_after : heure d’expiration du certificat avec lequel le processus est signé (si existe),

process_hashdb : bulletin contenant le hash du fichier de processus,

object_path : chemin ver le script bloqué ou valeur vide,

object_file_sha256 : SHA-256 du ficher de script (si existe),

object_file_version : version du fichier de script (si existe),

object_file_description : description du fichier de script (si existe),

object_file_origname : nom d’origine du ficher de script (si existe),

object_file_prodname : nom du produit du ficher de script (si existe),

object_file_prodver : version du produit du fichier de script (si existe),

object_file_company : nom d’entreprise du ficher de script (si existe),

object_cert_thumbprint : empreinte du certificat (SHA-1) avec lequel le script est signé (si existe),

object_cert_serial : numéro de série du certificat avec lequel le script est signé (si existe),

object_cert_issuer : éditeur du certificat avec lequel le script est signé (s’il existe)

object_cert_subject : sujet du certificat avec lequel le script est signé (si existe),

object_cert_timestamp : heure de délivrance du certificat avec lequel le script est signé (si existe),

object_cert_not_before : heure de la mise en place du certificat avec lequel le script est signé (si existe),

object_cert_not_after : heure d’expiration du certificat avec lequel le script est signé (si existe),

object_hashdb : bulletin contenant le hash du fichier de script

ignoré

Texte de la procédure :

--[[

Called:

 when application control event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 event_time         station time

 recv_time          server originator time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Le Serveur proxy Dr.Web est créé

Appelé à la fin de la création du Serveur proxy Dr.Web.

Base de données

Paramètres

Valeur retournée

disponible

login : login de l’administrateur,

id : ID du Serveur proxy Dr.Web,

name : nom du Serveur proxy Dr.Web,

state : statut de la fin de l’opération:

0 :créé avec succès,

1 : erreur lors de l’exécution de l’opération (erreur de la base de données),

2 : le délai d’attente de l’opération s’est écoulé (la base de données est surchargée),

4 : Le Serveur proxy Dr.Web existe déjà

ignoré

Texte de la procédure :

--[[

Called:

 when proxy create completed

 

Database:

 available

 

Parameters:

 login         administrator`s login name

 id            proxy ID

 name          proxy name

 state         operation completion state:

                 0  created successfully

                 1  operation failed (database error)

                 2  operation timed out (database overloaded)

                 4  already exists

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name, args.state

Le Serveur proxy Dr.Web est supprimé

Appelé lors de la suppression du Serveur proxy Dr.Web.

Base de données

Paramètres

Valeur retournée

disponible

login : login de l’administrateur,

id : ID du Serveur proxy Dr.Web,

name : nom du Serveur proxy Dr.Web,

ignoré

Texte de la procédure :

--[[

Called:

 when proxy deleted

 

Database:

 available

 

Parameters:

 login     administrator`s login name

 id        proxy id

 name      proxy name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name