13.5. Configuración de Malware
La opción Malware Settings nos muestra una interfaz cuya edición va a ser determinante para la configuración y la detección de Malware en redborder.
General
En este apartado el usuario puede modificar la variable Global Malware score threshold que, como su nombre indica, ejerce de score global aplicado mientras no se indique en el dominio del usuario ningún score a aplicar.
Cargadores (Loaders)
En este apartado el usuario tiene acceso a los parámetros de configuración de malware. Se encuentra dividido en 3 secciones:
La primera sección es la que permite ponderar los pesos de los distintos procesos de detección de malware para formar un score final. Las ponderaciones se encuentran agrupadas tanto en fila como en columna, de forma que la suma final de la fila o columna debe de ser la unidad. Así mismo, dependiendo del objeto que se analice en los sistemas de reputación, tenemos 3 pestañas:
HASH: ponderaciones de los cargadores para ficheros.
URL: ponderaciones de los cargadores para direcciones URL.
IP: ponderaciones de los cargadores para direcciones IP.
API Keys and Licenses: en esta sección se deberán introducir las licencias pertenecientes a la API de Viruscan, Metascan y Kapersky.
BrightCloud: en esta sección se deberán introducir los parámetros de la licencia de BrightCloud.
Cuckoo: este apartado permite marcar tipos de ficheros que no deseamos se envién a Cuckoo Sandbox para su análisis.
En caso de no tener licencia, el cargador no funcionará y la plataforma de redborder malware verá mermada su capacidad de análisis. No obstante, al cargador que no tenga licencia se recomienda asignarle una ponderación de cero.
Se recomienda encarecidamente el uso de todas las licencias para un funcionamiento pleno de la plataforma Malware.
Mail Gateway
En este apartado el usuario puede modificar distintos parámetros asociados a la pasarela de correo. A continuación se describen los parámetros existentes:
Default Relay Domain: dominio que va a manejar la pasarela de correo.
Relay Host: direcciín IP del servidor de correo final.
Message Size Limit: tamaño máximo de mensaje. Los mensajes que superen este umbral serán descartados.
Max Parallel Process: máximo número de procesos en paralelo.
API timeout (seconds): tiempo máximo por consulta a la API.
Email detained timeout (seconds): tiempo máximo de obtención de score a la API.
Quarantine timeout (days): tiempo de almacenamiento de un objeto en cuarentena.
Cache sync (hours): hora de la frecuencia de sincronización con la caché remota (formato CRON: hora)
Cache sync (minutes): minutos de la frecuencia de sincronización con la caché remota (formato CRON: minutos)
Maximum number of stored log files: número máximo de ficheros almacenados tipo log.
GRR Server
En este apartado el usuario puede modificar distintos parámetros asociados a la pasarela de correo. Así mismo podemos arrancar o parar los servicios asociados a GRR. También tenemos la posibilidad de acceder al panel de administración de GRR y de actualizar la contraseña de SSH mediante sendos botones. A continuación se describen los parámetros existentes:
Dirección IP del Servidor GRR (GRR IP Server)
Usuario de la API de GRR (GRR API Username)
Contraseña de la API de GRR (GRR API Password)
Servicios GRR (GRR Services): listado de los servicios asociados a GRR junto con su estado y PID.
EndPoints
ICAP
En este apartado podemos configurar el tamaño máximo del fichero que se puede subir.
Blacklist
En este apartado se pueden añadir a la lista negra objetos de tipo HAST, URL, IP e EMAIL. A constinuación se muestran las distintas opciones:
HASH
Direcciones URL
Direcciones IP
Direcciones de correo
Whitelist
En este apartado se pueden añadir a la lista blanca objetos de tipo HAST, URL, IP e EMAIL. A constinuación se muestran las distintas opciones:
HASH
Direcciones URL
Direcciones IP
Direcciones de correo
