Overview

This section allows sysadmin-level users to enable scanning of incoming files using a remote anti-virus server. MOVEit Transfer will submit incoming files to the anti-virus (AV) and/or Data Loss Prevention (DLP) server using the ICAP protocol. Files that are clean are then passed into the MOVEit Transfer filesystem.

注: If you are using the AS2 Module to transfer files, be aware that content scanning does not apply to AS2 transfers. Use MOVEit Automation to scan AS2 transfers for viruses.

For more information on the Content Scanning feature and associated logs and reporting, see the MFT Features and Advantages - Content Scanning topic.

Set Content Scanning for MOVEit Transfer Hosts

A name for the content scanner and the location (Server URL) for the content scanner are required settings. All of the Content Scanning settings apply to all MOVEit Transfer hosts on the system. The settings are described below:

注: You can enable or disable Content Scanning for each organization in Settings - Security Policies - Content Scanning. You need to be signed on as an organization administrator (commonly referred to as "org admin").
  • Scan uploads: Yes means content scanning is enabled for the MOVEit Transfer system, for all organizations. No means content scanning is disabled for all organizations on the system.
  • Name: This is a user-defined name for the content scanning activity, such as AV scan.
  • Server URL: This is the address of the anti-virus (ICAP) server. This address requires the prefix icap:// (for example: icap://scansrv:1344)
  • Server Type: Scan engine type.
  • Do Preview: File or file(s) preview information gives the ICAP server clues that can make processing files more efficient.
  • Server allows "204" responses: The default setting Yes will allow faster scanning, as the 204 response allows the server to return an updated header without body data.
  • Chunk Size: ICAP payload size submitted to the scanner.
  • Maximum file size to scan: The default setting of 15 MB (recommended) means that uploaded files that exceed 15 MB in size will not be fully scanned. MOVEit Transfer does not exclude files larger than the size selected, it actually scans up to the size selected on all files. IF no problem is found in the partial scan, the file is allowed into the MOVEit Transfer filesystem. To eliminate maximum file size as part of your scan policy, enter 0 (zero) to denote "no maximum" and scanning all files (regardless of their size).
    注: Large maximum or no maximum policies can slow performance and can depend on the performance and capabilities of your third-party AV scan engine.
  • Server connection timeout: The default setting of 5 seconds means that if MOVEit Transfer cannot establish a connection with the scanning server within 5 seconds, a connection failure occurs. MOVEit Transfer will attempt to connect again until the maximum number of server connection tries is reached.
  • Server send timeout: The default setting of 30 seconds means that if MOVEit Transfer cannot send to the anti-virus server within 30 seconds, a connection failure occurs. MOVEit Transfer will attempt to connect again until the maximum number of server connection tries is reached.
  • Server receive timeout: The default setting of 30 seconds means that if the anti-virus server cannot receive from MOVEit Transfer within 30 seconds, a connection failure occurs. MOVEit Transfer will attempt to connect again until the maximum number of server connection tries is reached.
  • Server connection tries: The default setting of 3 means that MOVEit Transfer will try up to 3 times to create the initial connection to the anti-virus server.
  • Change Content Scanning: After making any entries or changes, click this button to apply the changes.
  • Test Content Scanning: Tests the AV or DLP capability by sending a known fake infected file (EICAR.COM) to the ICAP server and ensuring that the file is marked as infected or ensuring that the DLP server was contacted successfully. (To avoid problems with other AV packages that may be running on the system, the EICAR is stored encrypted.) Before testing, be sure to save any changes to the settings by clicking the Change Content Scanning button.
    注: The system determines the ICAP server type automatically.

The following screen shows an example of the configuration for a Sophos ICAP AV scanner.

Logging

If a file was scanned, file detail pages will display the ICAP server information.

If a file fails the scan, an error message appears on the browser page of the user who uploaded the file.

Also, log file entries report the user-configured name of the ICAP server used during the file upload. File records also report the self-identification, version, and virus definition or DLP policy tag from the server.

エラーコード番号 (6100 ~ 6103) は、AV エラーの報告に使用されます。これは、ログをフィルターする際に便利です。コンテンツスキャンが原因でアップロードに失敗した場合、対応するログテーブルレコードに AV サーバー名とウイルス名 (可能な場合) が含まれます。

エラーコード番号 0 と 6150 は、DLP ポリシー違反の報告に以下のように使用されます。

  • エラー番号 0 は、許可または検疫された違反を示します。
  • エラー番号 6150 は、ブロックされた違反を示します。

Notifications

コンテンツスキャンの通知マクロを有効にすると、ウイルス対策 (AV) と情報漏えい対策 (DLP) の両方のスキャン結果が報告されます。

以下の通知には、AV および DLP のいずれかまたは両方の情報が含まれる場合があります。

  • [New File Upload Notification (新着ファイルアップロード通知)]
  • [File Upload Confirmation (ファイルのアップロードの確認)]
  • [New Package (新着パッケージ)]
  • [New Package Secure Attach (新着パッケージの安全な添付ファイル)]
  • [New Temp User Package (with password) (新着一時ユーザーパッケージ (パスワード付き))]
  • [New Temp User Package (with password) Secure Attach (新着一時ユーザーパッケージ (パスワード付き) の安全な添付ファイル)]
  • [New Temp User Package (with password link) (新着一時ユーザーパッケージ (パスワードリンク付き))]
  • [New Temp User Package (with password link) Secure Attach (新着一時ユーザーパッケージ (パスワードリンク付き) の安全な添付ファイル)]
  • [New Guest Package (新着ゲストパッケージ)]
  • [New Guest Package Secure Attach (新着ゲストパッケージの安全な添付ファイル)]
  • [File Non-Delivery Receipt (ファイルの未配信確認メッセージ)]
  • [File Upload List Notification (ファイルアップロードリスト通知)]
  • [File Upload List Confirmation (ファイルアップロードリスト確認)]
  • [File Not Downloaded List (ダウンロードされていないファイルのリスト)]
  • [File Delivery Receipt (ファイルの配信確認メッセージ)]
  • [Package Delivery Receipt (パッケージ配信確認メッセージ)]
  • [Package Download Receipt (パッケージのダウンロード確認メッセージ)]
  • [Package Deleted By User (ユーザーによるパッケージの削除)]
  • [Package User Was Deleted (ユーザーが削除されたパッケージ)]

これらの通知の標準テンプレートには、コンテンツスキャンの結果は含まれません。カスタム通知テンプレートを作成して、スキャン結果を報告するマクロを追加できます。カスタム通知は、[Settings (設定)] | [Appearance (外観)] | [Notification (通知)] | [Custom (カスタム)] を使用して組織に設定できます。

Reporting

ブロックされたコンテンツスキャンの違反を示すコンテンツスキャンレポートを追加できます。違反の例として、ウイルス対策 (AV) チェックに失敗したファイルや、データ損失防止 (DLP) ポリシーに違反してブロックされたファイルがあります。この場合、レポートには、スキャナーの名前、ファイル名、ウイルス名 (既知の場合) またはポリシー名が示されます。組織の管理者としてログインしている場合、レポートには組織の違反が表示されます。システム管理者としてログインしている場合は、レポートに複数の組織が表示される場合があります。