Н4. Другое

Автоматическое обновление лицензионного ключа

Вызывается при окончании срока действия лицензионного ключа.

База данных

Параметры

Возвращаемое значение

доступна

event — тип события:

expire — истекает срок действия лицензионного ключа, автоматическое обновление недоступно

diff — загружен новый лицензионный ключ, но состав лицензируемых компонентов у текущего и нового ключей отличается. Лицензионный ключ должен быть заменен вручную

renew — лицензионный ключ был автоматически обновлен

old_key — содержимое старого лицензионного ключа

new_key — содержимое нового лицензионного ключа. Доступно, если тип события diff или renew

игнорируется

Текст процедуры:

--[[

Called:

 when license key expire or have been renewed

 

Database:

 available

 

Parameters:

 event       event type: "expire" - license key expires or have done it

                         "diff"   - received new key, but components differs from current one

                         "renew"  - current key have been renewed, old one was deleted

 

 old_key     content of old license key    

 new_key     content of renew license key, available at event type "diff" or "renew"

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.event, args.old_key, args.new_key

Обнаружена эпидемия

Вызывается при обнаружении вирусной эпидемии в сети.

База данных

Параметры

Возвращаемое значение

доступна

virus — наиболее распространенная угроза,

total — общее количество обнаруженных угроз

игнорируется

Текст процедуры:

--[[

Called:

 when virus epidemic has been detected by the server

 

Database:

 available

 

Parameters:

 total            total count of viruses

 virus            most frequently detected virus name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.total, args.virus

Отчет Контроля приложений

Вызывается при получении отчета Контроля приложений со станции.

База данных

Параметры

Возвращаемое значение

доступна

id — ID станции,

address — сетевой адрес станции,

station — название станции,

time — время наступления события (время станции),

sid — SID станции,

user — пользователь, который запустил процесс с подозрительной активностью,

type — тип события,

action — примененное действие,

policy_type — тип сработавшей политики,

policy_mask — маска сработавшей политики,

test_mode — событие произошло в тестовом режиме,

profile_id — UUID профиля, по которому произведена блокировка,

profile_name — название профиля, по которому произведена блокировка,

rule_id — UUID правила, по которому произведена блокировка (если существует),

rule_name — название правила, по которому произведена блокировка (если существует),

process_path — путь к заблокированному процессу,

process_file_sha256 — SHA-256 файла процесса,

process_file_version — версия файла процесса,

process_file_description — описание файла процесса,

process_file_origname — исходное имя файла процесса,

process_file_prodname — название продукта файла процесса,

process_file_prodver — версия продукта файла процесса,

process_file_company — название компании файла процесса,

process_cert_thumbprint — отпечаток сертификата (SHA-1), которым подписан процесс (если существует),

process_cert_serial — серийный номер сертификата, которым подписан процесс (если существует)

process_cert_issuer — издатель сертификата, которым подписан процесс (если существует),

process_cert_subject — субъект сертификата, которым подписан процесс (если существует),

process_cert_timestamp — время выдачи сертификата, которым подписан процесс (если существует),

process_cert_not_before — время начала действия сертификата, которым подписан процесс (если существует),

process_cert_not_after — время окончания действия сертификата, которым подписан процесс (если существует),

process_hashdb — бюллетень, содержащий хеш файла процесса,

object_path — путь к заблокированному скрипту или пустое значение,

object_file_sha256 — SHA-256 файла скрипта (если существует),

object_file_version — версия файла скрипта (если существует),

object_file_description — описание файла скрипта (если существует),

object_file_origname — исходное имя файла скрипта (если существует),

object_file_prodname — название продукта файла скрипта (если существует),

object_file_prodver — версия продукта файла скрипта (если существует),

object_file_company — название компании файла скрипта (если существует),

object_cert_thumbprint — отпечаток сертификата (SHA-1), которым подписан скрипт (если существует),

object_cert_serial — серийный номер сертификата, которым подписан скрипт (если существует),

object_cert_issuer — издатель сертификата, которым подписан скрипт (если существует),

object_cert_subject — субъект сертификата, которым подписан скрипт (если существует),

object_cert_timestamp — время выдачи сертификата, которым подписан скрипт (если существует),

object_cert_not_before — время начала действия сертификата, которым подписан скрипт (если существует),

object_cert_not_after — время окончания действия сертификата, которым подписан скрипт (если существует),

object_hashdb — бюллетень, содержащий хеш файла скрипта

игнорируется

Текст процедуры:

--[[

Called:

 when application control event received from Agent

 

Database:

 available

 

Parameters:

 id                 station ID

 address            station address

 station            station name

 time               station time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

 process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Отчет Контроля приложений с соседнего Cервера

Вызывается при получении отчета Контроля приложений для станции от соседнего Сервера Dr.Web.

База данных

Параметры

Возвращаемое значение

доступна

neighborid — ID соседнего Сервера Dr.Web, от которого получено событие,

neighborname — название соседнего Сервера Dr.Web,

originatorid — ID Сервера Dr.Web, который является источником события,

originatorname — название Сервера Dr.Web, который является источником события,

stationid — ID станции,

stationname — название станции,

eventid — ID события,

event_time — время появления события на станции,

sid — SID станции,

user — пользователь, который запустил процесс с подозрительной активностью,

type — тип события,

action — примененное действие,

policy_type — тип сработавшей политики,

policy_mask — маска сработавшей политики,

test_mode — событие произошло в тестовом режиме,

profile_id — UUID профиля, по которому произведена блокировка,

profile_name — название профиля, по которому произведена блокировка,

rule_id — UUID правила, по которому произведена блокировка (если существует),

rule_name — название правила, по которому произведена блокировка (если существует),

process_path — путь к заблокированному процессу,

process_file_sha256 — SHA-256 файла процесса,

process_file_version — версия файла процесса,

process_file_description — описание файла процесса,

process_file_origname — исходное имя файла процесса,

process_file_prodname — название продукта файла процесса,

process_file_prodver — версия продукта файла процесса,

process_file_company — название компании файла процесса,

process_cert_thumbprint — отпечаток сертификата (SHA-1), которым подписан процесс (если существует),

process_cert_serial — серийный номер сертификата, которым подписан процесс (если существует),

process_cert_issuer — издатель сертификата, которым подписан процесс (если существует),

process_cert_subject — субъект сертификата, которым подписан процесс (если существует),

process_cert_timestamp — время выдачи сертификата, которым подписан процесс (если существует),

process_cert_not_before — время начала действия сертификата, которым подписан процесс (если существует),

process_cert_not_after — время окончания действия сертификата, которым подписан процесс (если существует),

process_hashdb — бюллетень, содержащий хеш файла процесса,

object_path — путь к заблокированному скрипту или пустое значение,

object_file_sha256 — SHA-256 файла скрипта (если существует),

object_file_version — версия файла скрипта (если существует),

object_file_description — описание файла скрипта (если существует),

object_file_origname — исходное имя файла скрипта (если существует),

object_file_prodname — название продукта файла скрипта (если существует),

object_file_prodver — версия продукта файла скрипта (если существует),

object_file_company — название компании файла скрипта (если существует),

object_cert_thumbprint— отпечаток сертификата (SHA-1), которым подписан скрипт (если существует),

object_cert_serial — серийный номер сертификата, которым подписан скрипт (если существует),

object_cert_issuer — издатель сертификата, которым подписан скрипт (если существует),

object_cert_subject — субъект сертификата, которым подписан скрипт (если существует),

object_cert_timestamp — время выдачи сертификата, которым подписан скрипт (если существует),

object_cert_not_before — время начала действия сертификата, которым подписан скрипт (если существует),

object_cert_not_after — время окончания действия сертификата, которым подписан скрипт (если существует),

object_hashdb — бюллетень, содержащий хеш файла скрипта

игнорируется

Текст процедуры:

--[[

Called:

 when application control event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 event_time         station time

 recv_time          server originator time

 sid                SID of user initiated activity

 user               name of user initiated activity

 type               event type

 action             applied action

 policy_type        matched policy type

 policy_mask        matched policy mask

 test_mode          event occured in test mode

 profile_id         profile UUID used for activity blocking

 profile_name       profile name used for activity blocking

 rule_id            rule UUID used for activity blocking (if exist)

 rule_name          rule name used for activity blocking (if exist)

 

 process_path               path to affected process file

 process_file_sha256        process file SHA-256

 process_file_version       process file version

 process_file_description   process file description

process_file_origname      process file original name

 process_file_prodname      process file product name

 process_file_prodver       process file product version

 process_file_company       process file company name

 process_cert_thumbprint    process file signing certificate thumbprint (SHA-1) (if exist)

 process_cert_serial        process file signing certificate serial number (if exist)

 process_cert_issuer        process file signing certificate issuer (if exist)

 process_cert_subject       process file signing certificate subject (if exist)

 process_cert_timestamp     process file signing certificate sign issuance timestamp (if exist)

 process_cert_not_before    process file signing certificate NotBefore timestamp (if exist)

 process_cert_not_after     process file signing certificate NotAfter timestamp (if exist)

 process_hashdb             hash database containing process file

 

 object_path                path to affected object file (script, etc) or empty

 object_file_sha256         object file SHA-256 (if exist)

 object_file_version        object file version (if exist)

 object_file_description    object file description (if exist)

 object_file_origname       object file original name (if exist)

 object_file_prodname       object file product name (if exist)

 object_file_prodver        object file product version (if exist)

 object_file_company        object file company name (if exist)

 object_cert_thumbprint     object file signing certificate thumbprint (SHA-1) (if exist)

 object_cert_serial         object file signing certificate serial number (if exist)

 object_cert_issuer         object file signing certificate issuer (if exist)

 object_cert_subject        object file signing certificate subject (if exist)

 object_cert_timestamp      object file signing certificate sign issuance timestamp (if exist)

 object_cert_not_before     object file signing certificate NotBefore timestamp (if exist)

 object_cert_not_after      object file signing certificate NotAfter timestamp (if exist)

 object_hashdb              hash database containing object file

 

Returned value:

 ignored

 

]]

 

local args = ...

Прокси-сервер Dr.Web создан

Вызывается при завершении создания Прокси-сервера Dr.Web.

База данных

Параметры

Возвращаемое значение

доступна

login — регистрационное имя администратора,

id — ID Прокси-сервера Dr.Web,

name — название Прокси-сервера Dr.Web,

state — статус завершения операции:

0 — успешно создан,

1 — ошибка при выполнении операции (ошибка базы данных),

2 — время ожидания операции истекло (база данных перегружена),

4 — Прокси-сервер Dr.Web уже существует

игнорируется

Текст процедуры:

--[[

Called:

 when proxy create completed

 

Database:

 available

 

Parameters:

 login         administrator`s login name

 id            proxy ID

 name          proxy name

 state         operation completion state:

                 0  created successfully

                 1  operation failed (database error)

                 2  operation timed out (database overloaded)

                 4  already exists

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name, args.state

Прокси-сервер Dr.Web удален

Вызывается при удалении Прокси-сервера Dr.Web.

База данных

Параметры

Возвращаемое значение

доступна

login — регистрационное имя администратора,

id — ID Прокси-сервера Dr.Web,

name — название Прокси-сервера Dr.Web,

игнорируется

Текст процедуры:

--[[

Called:

 when proxy deleted

 

Database:

 available

 

Parameters:

 login     administrator`s login name

 id        proxy id

 name      proxy name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.login, args.id, args.name