Rubriques Connexes
Dépanner Gateway AntiVirus
Si un client de votre réseau est infecté par un virus, il est important de découvrir la raison de cette infection :
- Gateway AntiVirus ne dispose pas de signature permettant de détecter ce virus
- Le fichier infecté n'a pas été analysé par Gateway AntiVirus
- Le périphérique Firebox n'a pas téléchargé l'ensemble de signatures le plus récent
Tester Gateway AntiVirus
Vous pouvez utiliser l'outil de test EICAR pour vérifier que Gateway AV est activé pour la bonne stratégie et qu'il peut détecter des virus. Pour obtenir cet outil, consultez Eicar.org. Pour obtenir des informations à ce sujet, consultez la rubrique Utiliser le Fichier de Test EICAR pour tester Gateway AV de la Base de Connaissances WatchGuard.
Signatures de Virus
Gateway AntiVirus utilise un ensemble de signatures de Bitdefender pour détecter les fichiers infectés. Si un virus n'est pas détecté ou s'il est détecté dans un fichier que vous n'estimez pas infecté, vous pouvez signaler le faux négatif ou le faux positif en soumettant le fichier à Bitdefender à des fins d'analyse.
Dans certains cas, un virus figurant dans la base de données Bitdefender ne figure pas dans l'ensemble de signatures utilisé par votre Firebox. Certains modèles de Firebox emploient un jeu restreint englobant uniquement les virus les plus courants, qui ne peut pas détecter tous les virus. Pour en savoir plus, consultez la rubrique Tailles des ensembles de signatures Gateway AntiVirus de la Base de Connaissances WatchGuard.
Consulter les Messages du Journal concernant les Analyses de Gateway AntiVirus
Si votre périphérique Firebox est configuré de sorte à envoyer des données de journal à un système Dimension ou à un serveur WatchGuard Log Server, vous pouvez rechercher le nom de fichier dans les données de votre journal pour déterminer si votre Firebox a analysé ce fichier et afficher les résultats d'analyse.
Par défaut, vos stratégies de proxy enregistrent tous les événements lors desquels un virus a été détecté ou un erreur d'analyse est survenue. Pour s'assurer qu'une stratégie de proxy enregistre tous les événements de proxy, y compris les fichiers dans lesquels aucune infection n'a été détectée, cochez la case Activer la journalisation des rapports dans l'action de proxy.
Pour de plus amples informations concernant la procédure de recherche des messages du journal dans Dimension, consultez Rechercher les messages de journal d'un périphérique.
Exemples de Messages du journal
Dans ce message du journal, le Proxy HTTP a analysé un fichier dénommé eicar.com et a détecté un virus.
Deny 2-Internal-traffic 4-External-traffic tcp 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP Virus found" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)
Ce message de journal indique une défaillance du service Gateway AntiVirus sur votre périphérique Firebox. L'obsolescence ou l'invalidité de l'ensemble de signatures est une cause courante de ce problème. Consultez l'onglet Tableau de bord des Services d'Abonnement de Fireware Web UI ou l'onglet Services d'Abonnement de Firebox System Manager pour vérifier si Gateway AV peut mettre à jour les signatures et la date de la dernière mise à jour des signatures.
Allow 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV scanning error" proxy_act="HTTP-Client.3" error="avg scanner is not created" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)
Pour plus de détails concernant les services d'abonnement dans Firebox System Manager, consultez Statistiques des Services d'Abonnement (Services d'Abonnement).
Ce message du journal indique un échec d'analyse. Ceci peut se produire avec des fichiers .zip ou d'autres fichiers compressés qui ont trop de niveaux de compression, ou des fichiers chiffrés ou qui ne peuvent être ouverts pour une autre raison.
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP Cannot perform Gateway AV scan" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="scan request failed" filename="message.scr" (SMTP-proxy-00)
Consulter les en-têtes d'e-mails pour Gateway AntiVirus
Si un utilisateur a reçu un virus par e-mail, vous pouvez vérifier si le fichier concerné a été analysé et quel a été le résultat. Recherchez une en-tête similaire à X-WatchGuard-AntiVirus: scanned 'file.pdf'. clean action=allow pour indiquer si un virus a été détecté.
Pour obtenir les instructions permettant de préserver les en-têtes des messages, consultez la rubrique Lorsque je soumets des messages au support technique pour analyse, comment puis-je préserver l'en-tête du message d'origine ? de la Base de Connaissances WatchGuard.