Introduzione
Datto RMM, attraverso il motore di monitoraggio integrato, che gestisce compilazione di informazioni su dashboard e pagina di resoconto, controlla direttamente gli stati dei seguenti sistemi antivirali:
- Avast Antivirus (from Windows 7 onward)
- Avast Business Antivirus (from Windows Server 2012 onward)
- Bitdefender GravityZone
- ESET Endpoint Antivirus
- Kaspersky Endpoint Security
- Kaspersky Security for Windows Server (from Windows Server 2012 onward)
- McAfee Endpoint Security
- McAfee VirusScan Enterprise
- Panda Endpoint Protection
- Sophos Antivirus
- Symantec Endpoint Protection
- System Center Endpoint Protection (On Windows 7 and Windows Server 2012. On Windows Server 2016, it is detected as Windows Defender Antivirus.)
- Trend Micro Worry-Free Business Security
- Webroot SecureAnywhere
- Windows Defender Antivirus (from Windows 8 onward)
(per ulteriori dettagli vedi link in sezione “riferimenti”)
Vediamo come risulta possibile sopperire a tale limite attraverso una apposita funzionalità presente in Datto RMM
Antivirus Status OverRide
Quanto non ufficialmente supportato può essere monitorato sfruttando modalità differenti di analisi (es: Event Log Monitor e/o Monitoring Component ufficiali/personalizzati).
Tali strumenti in ogni caso, per loro limite/natura, non faranno comparire automaticamente né su dashboard, né su relativa pagina di resoconto protezione antivirale, le informazioni che i sistemi antivirali supportati sono soliti rilasciare.
Per sopperire a tali limiti Datto mette a disposizione la possibilità di in indicare all’Agent di Datto RMM quali informazioni passare effettivamente a Dashboard e a pagina di resoconto.
Lo strumento da utilizzare è di fatto un semplice file opportunamente nominato, formattato e posizionato.
Tale file, da nominare “antivirus.json”, deve essere quindi posizionato in particolari zone del filesystem, le quali vengono costantemente controllate dall’Agent.
Qui i dettagli riferiti ai differenti sistemi operativi supportati:
- Windows: %ProgramData%\CentraStage\AEMAgent\antivirus.json
- macOS: /usr/local/share/CentraStage/AEMAgent/antivirus.json
- Linux: /usr/local/share/CentraStage/AEMAgent/antivirus.json
Il suddetto file JSON dovrà inoltre contenere informazioni formattate seguendo il seguente schema:
{"product":"[INSERIRE_NOME_ANTIVIRUS]","running":[INSERIRE_TRUE_O_FALSE],"upToDate":[INSERIRE_TRUE_O_FALSE]}
Visto quanto sopra riportato ecco un paio di esempi di OverRide:
Esempio 1:
Per dichiarare a Datto RMM che il sistema antivirale “Poldo Protection” è attivo ed aggiornato occorrerà compilare il file con questi dati:
{"product":"Poldo Protection","running":True,"upToDate":True}
Esempio 2:
Qualora il sistema antivirale “Poldo Protection” fosse spento e non aggiornato invece occorrerà compilare il contenuto del file in questo modo:
{"product":"Poldo Protection","running":False,"upToDate":False}
OverRide via Monitoring Component
La cosa ideale da fare non risulta ovviamente quella di eseguire una compilazione manuale dello stesso ma, avendo noi a disposizione un sistema RMM in grado di ricercare autonomamente informazioni e di eseguire attività di pura automazione, potremo compilare un nostro Monitoring Component in grado di aiutarci nell’impresa.
A titolo di esempio ecco il link ad un Monitoring Component DIDATTICO dedicato agli OS Microsoft Windows:
Achab – Unsupported Antivirus Override – WMI Monitor WIN
Tale Monitoring Component, creato partendo da una base di uno script powershell sviluppato da CyberDrain (vedi link in riferimenti), esegue un Check WMI relativo allo stato dell’Antivirus e va a scrivere le relative informazioni nel file JSON di OverRide, garantendo una immediata visibilità in DashBoard e pagina di resoconto.
Oltre a ciò inserisce in un Custom Field a scelta le informazioni quali nome antivirus, stato di aggiornamento e stato di funzionamento.
ATTENZIONE:
Il suddetto Monitoring Component risulta ideato unicamente a scopo didattico.
Per tale motivo Achab S.p.A. non può garantire né la corretta funzionalità né la corretta interazione con i servizi presenti su di un qualsiasi sistema di produzione.
Riferimenti
Link a pagina di manuale Datto RMM che parla di OverRide: Datto RMM – Antivirus e OverRide
Link a script presente su portale CyberDrain: Cyberdrain – Antivirus info WMI