Ansichten:

Trend Vision One Dateisicherheit mit der CLI bereitstellen

In eine CI/CD-Pipeline integrieren Übergeordnetes Thema

Integrieren Sie Dateisicherheit in Ihre CI/CD-Pipeline, um Malware zu erkennen, bevor Dateien in die Produktionspipeline oder -speicherung verteilt werden. Integrieren Sie die Dateisicherheits-CLI einfach in Ihre Continuous Integration (CI) oder Continuous Delivery (CD) Pipeline. Zum Beispiel können Jenkins®-Projekte automatisch Dateien und Anwendungen erstellen, testen und in die Produktionsumgebung übertragen. Wenn in diesen Dateien Malware vorhanden ist, stellen sie ein Risiko dar, wenn die Datei ausgeführt oder an andere Teile der Produktionspipeline verteilt wird.
Die File Security CLI ist vielseitig einsetzbar und kann in Produktionsumgebungen verwendet werden, in denen Dateien von Drittanbietern oder Lieferkettenpartnern hochgeladen oder verteilt werden. Sie durchsucht alle empfangenen Dateien, um sicherzustellen, dass es keine bösartige seitliche Bewegung innerhalb der Unternehmensgrenze gibt, bevor sie in andere Teile der Unternehmensumgebung weitergeleitet werden.
Beispiele für Dateien, die mit der File Security CLI DURCHSUCHT werden können, umfassen:
  • Binärdateien
  • Verzeichnisse mit verschiedenen Dateitypen
  • Große Mediendateien
  • Von Dritten oder Lieferkettenpartnern empfangene Dateien

File Security CLI installieren Übergeordnetes Thema

Um eine optimale Leistung und den Zugriff auf die neuesten Funktionen zu gewährleisten, empfehlen wir, die neueste Version von File Security CLI zu installieren. Um die neueste Version zu überprüfen, gehen Sie zu metadata.json.
Hinweis
Hinweis
Wenn Sie auf eine neue Version der File Security CLI aktualisieren, müssen Sie die Binärpfadeinstellungen Ihres Systems anpassen, indem Sie eine der folgenden Maßnahmen ergreifen:
  • Ersetzen der vorhandenen File Security CLI-Binärdatei durch die aktualisierte Binärdatei
  • Ändern Sie Ihren PATH, um auf den neuen Speicherort der File Security CLI-Binärdatei zu verweisen
Architektur
Darwin_arm64 (macOS - Apple Silicon-Chipsatz)
Darwin_x86_64 (macOS - Intel-Chipsatz)
Linux_arm64
Linux_i386
Linux_x86_64
Windows_arm64
Windows_i386
Windows_x86_64

Abrufen eines API-Schlüssels Übergeordnetes Thema

File Security CLI erfordert einen gültigen API-Schlüssel, der in der Umgebungsvariable gespeichert ist. Es können Trend Vision One API-Schlüssel akzeptiert werden. Bitte fügen Sie den API-Schlüssel hinzu, der mit der Trend Vision One-Region verknüpft ist, die Sie aufrufen möchten, als Umgebungsvariable.
macOS und Linux
export TMFS_API_KEY=<your_vision_one_api_key>
Windows-Eingabeaufforderung (cmd)
set TMFS_API_KEY=<your_vision_one_api_key>
Windows PowerShell
$env:TMFS_API_KEY="<your_vision_one_api_key>"
Hinweis
Hinweis
Beim Abrufen des API-Schlüssels, verknüpfen Sie ihn mit Ihrer Trend Vision One-Region. Verwenden Sie das -- region-Flag, wenn Sie die File Security CLI ausführen, um die Region dieses API-Schlüssels anzugeben und sicherzustellen, dass Sie die richtige Autorisierung haben. Die Liste der unterstützten Trend Vision One-Regionen finden Sie unter dem Regions-Flag.

Prozedur

  1. Erstellen Sie einen neuen Trend Vision One API-Schlüssel:
    1. Navigieren Sie zur Seite Trend Vision One-Benutzerrollen.
    2. Überprüfen Sie, ob eine Rolle mit der Berechtigung "Datei-Durchsuchung über SDK ausführen" aktiviert ist. Falls nicht, erstellen Sie eine Rolle, indem Sie auf Rolle hinzufügen klicken und dann auf Speichern klicken, wenn Sie fertig sind.
    3. Konfigurieren Sie direkt einen neuen Schlüssel auf der Trend Vision One API-Schlüssel-Seite, indem Sie die Rolle mit der Berechtigung "Datei-Durchsuchung über SDK ausführen" verwenden. Wir empfehlen, eine Ablaufzeit für den API-Schlüssel festzulegen und ihn für zukünftige Referenzen zu dokumentieren. Sie können diese Schlüssel auf der Trend Vision One API-Schlüssel-Seite verwalten.
  2. Fügen Sie die File Security CLI zu Ihrem PATH hinzu:
    • macOS und Linux:exportPATH="/path/to/tmfs/binary/directory:$PATH"
    • Windows-Eingabeaufforderung (cmd):setx PATH "%PATH%;C:\path\to\tmfs\binary\directory"
      Hinweis
      Hinweis
      Schließen und öffnen Sie die Eingabeaufforderung erneut, damit die Änderungen wirksam werden.
    • Windows PowerShell:
      $pathToAdd = "C:\path\to\tmfs\binary\directory"
[System.Environment]::SetEnvironmentVariable("Path", "$($env:Path);$pathToAdd", [System.EnvironmentVariableTarget]::User)
      Hinweis
      Hinweis
      Schließen und öffnen Sie PowerShell erneut, damit die Änderungen wirksam werden.

Allgemeine Nutzung Übergeordnetes Thema

Beispiele für Befehle mit der File Security CLI finden Sie im Abschnitt Beispiele. 
tmfs scan [target] [flags]

Verfügbare Befehle Übergeordnetes Thema

Befehl
Beschreibung
scan
ein Ziel (Datei oder Verzeichnis) DURCHSUCHEN
version
aktuelle CLI-Version abrufen (lang)
help
Hilfe

Befehlsbeispiele Übergeordnetes Thema

// use region flag and file target
tmfs scan --region us-east-1 file:/Users/XXX/Downloads/eicar.tar.gz --tag "owner=johndoe" --tag "stack=prod"
 
// use endpoint flag and directory target
tmfs scan --endpoint antimalware.us-1.cloudone.trendmicro.com:443 dir:/Users/XXX/Uploads --tag "owner=janedoe" --tag "stack=dev"

Verwenden Sie Befehlsflags Übergeordnetes Thema

Befehlsflags

Bereich
Kennzeichen
Beschreibung
Beispiele
Suchbefehl
-r, -- region
(string) Vision One Region Optionen=[us-east-1, eu-central-1, ap-northeast-1, ap-southeast-2, ap-southeast-1]
  • V1-Regionen
    • ap-nordost-1
    • ap-south-1
    • ap-southeast-1
    • ap-southeast-2
    • eu-central-1
    • us-east-1
Suchbefehl
-- timeoutInSecs
Zeitüberschreitung in Sekunden für das DURCHSUCHEN einer einzelnen Datei
180
Suchbefehl
-t, -- tag
Tag, das für die DURCHSUCHEN verwendet werden soll
  • Maximal zulässige Anzahl von Tags: 8
  • Die Länge jedes Tags darf 63 nicht überschreiten
--tag "stack=produktion"
--tag "owner=johndoe"
--tag "type=OCR"
--tag "purpose=customer_upload"
Suchbefehl
--pml
Angeben, um Vorausschauendes Maschinenlernen (PML) zu aktivieren.
--pml true
Suchbefehl
--activeContent
 Geben Sie an, die Überprüfung auf aktiven Inhalt zu aktivieren.
Aktive Inhalte sind dynamische Elemente in einer Datei, die Code ausführen oder Aktionen automatisch durchführen können und ausgenutzt werden können, um Malware oder Phishing-Angriffe zu liefern.
==activeContent true
Suchbefehl
--feedback
Geben Sie an, ob das Feedback zur Trend Smart Protection Network (SPN) aktiviert werden soll.
--feedback true
Suchbefehl
--allResults
  • nur für Verzeichnisscans
  • zeigt alle Scan-Ergebnisse, einschließlich derer ohne Malware-Suche
--allResults
global
--verbose
Verbosity erhöhen (-v = Info, -vv = Debug)
  
global
-h, --help
Hilfe
  

Unterstützte Ziele Übergeordnetes Thema

Die File Security CLI unterstützt sowohl Verzeichnis- als auch Dateiziele.

Unterstützte Ziele

Ziele
Beschreibung
Hinweise
dir:path/to/yourproject
Liest direkt von einem Pfad auf der Festplatte (beliebiges Verzeichnis)
  • Die Dateisicherheits-CLI wird die Dateien in diesem Verzeichnis parallel durchsuchen. Die standardmäßige Anzahl der gleichzeitigen Vorgänge beträgt 10.
  • Durchsucht nur die erste Ebene der Verzeichnisse.
  • Nur reguläre Dateien werden durchsucht, symbolische Links, Gerätedateien und Unterverzeichnisse werden ausgeschlossen.
  • Der Standard-Timeout für den gesamten Prozess beträgt 15 Minuten.
file:path/to/yourproject/file
Liest direkt von einem Pfad auf einer Festplatte (beliebige Datei)
  

Dateisicherheits-CLI-Antwort-Payload Übergeordnetes Thema

Die Antwortnutzlast der File Security CLI enthält Parameter für sowohl Dateien als auch Verzeichnisse.

Datei

Parameter
Typ
Beschreibung
scannerVersion
Zeichenkette
Die Scanner-Version
schemaVersion
Zeichenkette
Die Schema-Version
Scanergebnis
int
Anzahl der gefundenen Malware-Dateien
scanID
Zeichenkette
Ein eindeutiger Bezeichner für das DURCHSUCHEN
scanTimestamp
Zeichenkette
 Der Zeitstempel, der angibt, wann das DURCHSUCHEN stattgefunden hat
FileName
Zeichenkette
Name der gescannten Datei
gefundeneMalware
Objekt
Ein Array mit Details über die identifizierte Malware (falls vorhanden)
FileSHA1
Zeichenkette
Der SHA-1-Hash der gescannten Datei
fileSHA256
Zeichenkette
Der SHA-256-Hash der gescannten Datei
foundMalware[].FileName
Zeichenkette
Der Name der Datei, in der Malware erkannt wurde
foundMalware[]malwareName
Zeichenkette
Der Name oder die Kennung der erkannten Malware
Beispiel 
{
    "scannerVersion": "1.0.0-9271111",
    "schemaVersion": "1.0.0",
    "scanResult": 1,
    "scanId": "6a018277-f969-403d-aa63-eba1223337e1",
    "scanTimestamp": "2023-11-20T18:50:43.663Z",
    "fileName": "./test/eicar-alpine.tar",
    "foundMalwares": [
        {
            "fileName": "malware/eicar.com",
            "malwareName": "Eicar_test_file"
        }
    ],
    "fileSHA1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
    "fileSHA256": "e5f24b4ac134a7d923ae0f9689b86f015f86edbc3cc95e4c9f9406412914de05"
}

Verzeichnis

Parameter
Typ
Beschreibung
Hinweise
startTime
Zeichenkette
Der Zeitstempel, der angibt, wann der Suchvorgang gestartet wurde
endTime
Zeichenkette
Der Zeitstempel, der angibt, wann der Suchvorgang abgeschlossen wurde
GesamtanzahlSchadsoftware
int
Gesamtanzahl der Malware in allen Scan-Ergebnissen
Scanergebnisse
Objekt
Ein Array, das alle DURCHSUCHEN-Ergebnisse enthält
Sammelt nur Dateien, die Malware enthalten
scanResults[].scannerVersion
Zeichenkette
Die Scanner-Version
scanResults[].schemaVersion
Zeichenkette
Die Schema-Version
scanResults[].scanResults
int
Anzahl der gefundenen Malware
scanResults[].scanId
Zeichenkette
Ein eindeutiger Bezeichner für das DURCHSUCHEN
scanResults[].scanZeitstempel
Zeichenkette
Der Zeitstempel, der angibt, wann die Durchsuchung durchgeführt wurde
scanResults[].FileName
Zeichenkette
Name der gescannten Datei
scanResults[].gefundeneMalware
Objekt
Ein Array, das die Details über die identifizierte Malware (falls vorhanden) enthält
scanResults[].SHA1
Zeichenkette
Der SHA-1-Hash der gescannten Datei
scanResults[].SHA256
Zeichenkette
Der SHA-256-Hash der gescannten Datei
scanResults[].foundMalwares[].FileName
Zeichenkette
Der Name der Datei, in der Malware gefunden wurde
scanResults[].foundMalwares[].malwareName
Zeichenkette
Der Name oder die Kennung der erkannten Malware
Beispiel 
{
    "startTime": "2023-11-20T18:36:05.926Z",
    "endTime": "2023-11-20T18:36:06.316Z",
    "totalMalwareCount": 1,
    "scanResults": [
        {
            "scannerVersion": "1.0.0-9271111",
            "schemaVersion": "1.0.0",
            "scanResult": 1,
            "scanId": "c104229a-247c-4d0d-8fca-c27c33824ef5",
            "scanTimestamp": "2023-11-20T18:36:06.373Z",
            "fileName": "./test/eicar-alpine.tar",
            "foundMalwares": [
                {
                    "fileName": "malware/eicar.com",
                    "malwareName": "Eicar_test_file"
                }
            ],
            "fileSHA1": "da39a3ee5e6b4b0d3255bfef95601890afd80709",
            "fileSHA256": "e5f24b4ac134a7d923ae0f9689b86f015f86edbc3cc95e4c9f9406412914de05"
        }
    ]
}

Proxy-Konfiguration Übergeordnetes Thema

Die File Security CLI lädt die Proxy-Konfiguration aus einer Reihe optionaler Umgebungsvariablen.

Umgebungsvariablen

Umgebungsvariable
Erforderlich/Optional
Beschreibung
NO_PROXY
Optional
Fügt die Endpunkte der Malware-Suche für Dateisicherheit als Dienst zur kommagetrennten Liste der Host-Namen hinzu. Verwenden Sie dies, wenn Sie die Proxy-Einstellungen für die Dateisicherheits-CLI überspringen möchten.
Hinweis
Hinweis
Verwenden Sie ein Sternchen *, um alle Hosts zu erfassen.
HTTP_PROXY
Optional
http://proxy.example.com
HTTPS_PROXY
Optional
https://proxy.example.com
Hinweis
Hinweis
Wenn der Proxy-Server ein SOCKS5-Proxy ist, müssen Sie das SOCKS5-Protokoll in der URL angeben. Zum Beispiel: socks5://socks.proxy.com
PROXY_USER
Optional
Benutzername für Authentifizierungs-Header, der in Proxy-Authorization verwendet wird
PROXY_PASS
Optional
Passwort für den Authentifizierungs-Header, der in Proxy-Authorization verwendet wird. Wird nur verwendet, wenn PROXY_USER konfiguriert ist.