M4. Altro

Aggiornamento automatico della chiave di licenza

Viene invocata quando scade la chiave di licenza.

Database

Parametri

Valore restituito

è disponibile

event — tipo di evento:

expire — la chiave di licenza sta per scadere, l'aggiornamento automatico non è disponibile

diff — è stata caricata una nuova chiave di licenza, ma la lista dei componenti concessi in licenza della chiave corrente è diversa da quella della chiave nuova. La chiave di licenza deve essere sostituita manualmente

renew — la chiave di licenza è stata aggiornata automaticamente

old_key — il contenuto della vecchia chiave di licenza

new_key — il contenuto della nuova chiave di licenza. È disponibile se il tipo di evento è diff o renew

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when license key expire or have been renewed

 

Database:

 available

 

Parameters:

 event       event type: "expire" - license key expires or have done it

                         "diff"   - received new key, but components differs from current one

                         "renew"  - current key have been renewed, old one was deleted

 

 old_key     content of old license key    

 new_key     content of renew license key, available at event type "diff" or "renew"

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.event, args.old_key, args.new_key

Rilevata un'epidemia

Viene invocata al rilevamento di un'epidemia di virus nella rete.

Database

Parametri

Valore restituito

è disponibile

virus — la minaccia più diffusa,

total — numero totale di minacce rilevate

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when virus epidemic has been detected by the server

 

Database:

 available

 

Parameters:

 total            total count of viruses

 virus            most frequently detected virus name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.total, args.virus

Report di Controllo delle applicazioni

Viene invocata quando viene ricevuto un report di Controllo delle applicazioni dalla postazione.

Database

Parametri

Valore restituito

è disponibile

id — ID della postazione,

address — indirizzo di rete della postazione,

station — nome della postazione,

time — ora del verificarsi dell'evento (ora della postazione),

sid — SID della postazione,

user — utente che ha avviato il processo con un'attività sospetta,

type — tipo di evento,

action — azione applicata,

policy_type — tipo di criterio scattato,

policy_mask — maschera di criterio scattato,

test_mode — l'evento si è verificato in modalità test,

profile_id — UUID del profilo in base a cui è stato effettuato il blocco,

profile_name — nome del profilo in base a cui è stato effettuato il blocco,

rule_id — UUID della regola in base a cui è stato effettuato il blocco (se disponibile),

rule_name — nome della regola in base a cui è stato effettuato il blocco (se disponibile),

process_path — percorso del processo bloccato,

process_file_sha256 — SHA-256 del file del processo,

process_file_version — versione del file del processo,

process_file_description — descrizione del file del processo,

process_file_origname — nome originale del file del processo,

process_file_prodname — nome del prodotto del file del processo,

process_file_prodver — versione del prodotto del file del processo,

process_file_company — nome dell'azienda del file del processo,

process_cert_thumbprint — impronta del certificato (SHA-1) con cui è firmato il processo (se disponibile),

process_cert_serial — numero di serie del certificato con cui è firmato il processo (se disponibile),

process_cert_issuer — emittente del certificato con cui è firmato il processo (se disponibile),

process_cert_subject — soggetto del certificato con cui è firmato il processo (se disponibile),

process_cert_timestamp — data di rilascio del certificato con cui è firmato il processo (se disponibile),

process_cert_not_before — data di entrata in vigore del certificato con cui è firmato il processo (se disponibile),

process_cert_not_after — data di scadenza del certificato con cui è firmato il processo (se disponibile),

process_hashdb — bollettino contenente l'hash del file del processo,

object_path — percorso dello script bloccato o un valore vuoto,

object_file_sha256 — SHA-256 del file dello script (se disponibile),

object_file_version — versione del file dello script (se disponibile),

object_file_description — descrizione del file dello script (se disponibile),

object_file_origname — nome originale del file dello script (se disponibile),

object_file_prodname — nome del prodotto del file dello script (se disponibile),

object_file_prodver — versione del prodotto del file dello script (se disponibile),

object_file_company — nome dell'azienda del file dello script (se disponibile),

object_cert_thumbprint — impronta del certificato (SHA-1) con cui è firmato lo script (se disponibile),

object_cert_serial — numero di serie del certificato con cui è firmato lo script (se disponibile),

object_cert_issuer — emittente del certificato con cui è firmato lo script (se disponibile),

object_cert_subject — soggetto del certificato con cui è firmato lo script (se disponibile),

object_cert_timestamp — data di rilascio del certificato con cui è firmato lo script (se disponibile),

object_cert_not_before — data di entrata in vigore del certificato con cui è firmato lo script (se disponibile),

object_cert_not_after — data di scadenza del certificato con cui è firmato lo script (se disponibile),

object_hashdb — bollettino contenente l'hash del file dello script

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when application control event received from Agent

 

Database:

 available

 

Parameters:

 id                 station ID

 address            station address

 station            station name

 time               station time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

 process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Report di Controllo delle applicazioni dal Server adiacente

Viene invocata quando viene ricevuto un report di Controllo delle applicazioni per la postazione dal Server Dr.Web adiacente.

Database

Parametri

Valore restituito

è disponibile

neighborid — ID del Server Dr.Web adiacente da cui è stato ricevuto l'evento,

neighborname — nome del Server Dr.Web adiacente,

originatorid — ID del Server Dr.Web che è la fonte dell'evento,

originatorname — nome del Server Dr.Web che è la fonte dell'evento,

stationid — ID della postazione,

stationname — nome della postazione,

eventid — ID dell'evento,

event_time — ora di comparsa dell'evento sulla postazione,

sid — SID della postazione,

user — utente che ha avviato il processo con un'attività sospetta,

type — tipo di evento,

action — azione applicata,

policy_type — tipo di criterio scattato,

policy_mask — maschera di criterio scattato,

test_mode — l'evento si è verificato in modalità test,

profile_id — UUID del profilo in base a cui è stato effettuato il blocco,

profile_name — nome del profilo in base a cui è stato effettuato il blocco,

rule_id — UUID della regola in base a cui è stato effettuato il blocco (se disponibile),

rule_name — nome della regola in base a cui è stato effettuato il blocco (se disponibile),

process_path — percorso del processo bloccato,

process_file_sha256 — SHA-256 del file del processo,

process_file_version — versione del file del processo,

process_file_description — descrizione del file del processo,

process_file_origname — nome originale del file del processo,

process_file_prodname — nome del prodotto del file del processo,

process_file_prodver — versione del prodotto del file del processo,

process_file_company — nome dell'azienda del file del processo,

process_cert_thumbprint — impronta del certificato (SHA-1) con cui è firmato il processo (se disponibile),

process_cert_serial — numero di serie del certificato con cui è firmato il processo (se disponibile),

process_cert_issuer — emittente del certificato con cui è firmato il processo (se disponibile),

process_cert_subject — soggetto del certificato con cui è firmato il processo (se disponibile),

process_cert_timestamp — data di rilascio del certificato con cui è firmato il processo (se disponibile),

process_cert_not_before — data di entrata in vigore del certificato con cui è firmato il processo (se disponibile),

process_cert_not_after — data di scadenza del certificato con cui è firmato il processo (se disponibile),

process_hashdb — bollettino contenente l'hash del file del processo,

object_path — percorso dello script bloccato o un valore vuoto,

object_file_sha256 — SHA-256 del file dello script (se disponibile),

object_file_version — versione del file dello script (se disponibile),

object_file_description — descrizione del file dello script (se disponibile),

object_file_origname — nome originale del file dello script (se disponibile),

object_file_prodname — nome del prodotto del file dello script (se disponibile),

object_file_prodver — versione del prodotto del file dello script (se disponibile),

object_file_company — nome dell'azienda del file dello script (se disponibile),

object_cert_thumbprint— impronta del certificato (SHA-1) con cui è firmato lo script (se disponibile),

object_cert_serial — numero di serie del certificato con cui è firmato lo script (se disponibile),

object_cert_issuer — emittente del certificato con cui è firmato lo script (se disponibile),

object_cert_subject — soggetto del certificato con cui è firmato lo script (se disponibile),

object_cert_timestamp — data di rilascio del certificato con cui è firmato lo script (se disponibile),

object_cert_not_before — data di entrata in vigore del certificato con cui è firmato lo script (se disponibile),

object_cert_not_after — data di scadenza del certificato con cui è firmato lo script (se disponibile),

object_hashdb — bollettino contenente l'hash del file dello script

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when application control event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 event_time         station time

 recv_time          server originator time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Il Server proxy Dr.Web è stato creato

Viene invocata quando è stata completata la creazione di Server proxy Dr.Web.

Database

Parametri

Valore restituito

è disponibile

login — nome utente dell'amministratore,

id — ID del Server proxy Dr.Web,

name — nome del Server proxy Dr.Web,

state — stato di completamento dell'operazione:

0 — creato con successo,

1 — errore durante l'esecuzione dell'operazione (errore di database),

2 — il timeout dell'operazione è scaduto (il database è sovraccaricato),

4 — Server proxy Dr.Web esiste già

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when proxy create completed

 

Database:

 available

 

Parameters:

 login         administrator`s login name

 id            proxy ID

 name          proxy name

 state         operation completion state:

                 0  created successfully

                 1  operation failed (database error)

                 2  operation timed out (database overloaded)

                 4  already exists

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name, args.state

Il Server proxy Dr.Web è stato rimosso

Viene invocata quando viene rimosso il Server proxy Dr.Web.

Database

Parametri

Valore restituito

è disponibile

login — nome utente dell'amministratore,

id — ID del Server proxy Dr.Web,

name — nome del Server proxy Dr.Web,

viene ignorato

Testo della procedura personalizzata:

--[[

Called:

 when proxy deleted

 

Database:

 available

 

Parameters:

 login     administrator`s login name

 id        proxy id

 name      proxy name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name