API Zugriff

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
maltekiefer
Beiträge: 12
Registriert: Fr 07.05.2021, 13:16

API Zugriff

Beitrag von maltekiefer »

Guten Tag,

gibt es für Securepoint AV eine API?
Wir würden gerne in unserer Monitoringsystem das AV einbinden, um zum Beispiel Scans zu starten, Funde zu erkennen und zu löschen, sowas halt.
Gibt es da eine Möglichkeit?

sebastian.kastilahn
Beiträge: 2
Registriert: Di 02.11.2021, 08:42

Beitrag von sebastian.kastilahn »

Moin,
diese Anfrage habe ich bereits einmal an den Support gestellt. Mir ging es nur darum, die aktuelle Version des AV Pro abzufragen. Mangels einer nativen Überprüfung in der N-Able RMM (früher Solarwinds), die es für fast alle anderen Anbieter gibt, haben wir bei Kunden mit Securepoint AV ein eigenes Skript eingesetzt. Dieses hat eine mit den Einträgen des Windows Security Centers gearbeitet, war also Clientseitig her brauchbar. Seit der 3.3er Version funktioniert dies aber nicht mehr zuverlässig, entgegen der Aussage vom Support meldet sich der AV nicht mehr korrekt vom WSC ab. Die genannte Alternativ-API sind lediglich C-Header Dateien, für die man Abfragen hart coden muss. Keine Ahnung wie ich das mit unserem Monitoring zusammenbringen soll...
Hier die Antwort vom Securepoint Support auf meine Frage (Der Link zu MS konnte hier nicht komplett gepostet werden, daher abgeändert):

Hallo,
soweit wir das beurteilen können, ist das beobachtete Verhalten kein Fehler des Securepoint Antivirus Pro, sondern eine Eigenschaft der WMI Abfrage. Der Securepoint Antivirus Pro meldet sich korrekt am WSC ab, daher können wir Softwareseitig auch nichts tun um dem entgegen zu wirken. Auch viele andere gängige AV-Anbieter beobachten diese windowsseitige Problematik.

Die Abfrage vom WMI Namespace "SecurityCenter2" scheint zwar weit verbreitet zu sein, aber sie ist keine offiziell von Microsoft unterstützte Schnittstelle. Auf Servern dürfte dieser Namespace ebenfalls nicht vorhanden sein.

Als offiziell unterstützte Schnittstelle bietet sich das hier an:
https://docs.microsoftPunktcom/en-us/wi ... iderhealth

pascal

Beitrag von pascal »

Moin,

zur Vollständigkeit einmal die genauen Informationen dazu.

Die Abfrage vom WMI Namespace "SecurityCenter2" scheint zwar weit verbreitet zu sein, aber keine offiziell von Microsoft unterstützte Schnittstelle. Auf Servern dürfte dieser Namespace ebenfalls nicht vorhanden sein.

Als offiziell unterstützte Schnittstelle bietet sich das hier an:
https://docs.microsoft.com/en-us/window ... iderhealth

Eine Empfehlung, sich zur AV Detektion nicht auf WMI zu verlassen:
https://opswat2.rssing.com/chan-12171322/all_p1.html

Man müsste den ProductState richtig parsen, der allerdings undokumentiert ist. Dann erkennt man, dass auch inaktive bzw ehemalige AVs dort gelistet werden. Bspw ist auch Defender gelistet, selbst wenn ein anders Produkt aktiv ist.

Details siehe hier:
https://stackoverflow.com/questions/470 ... rification
"From MS support we received confirmation that the productState bitmask flag is 0x0000F000 and the value for Enable should be 0x1000."
https://mcpforlife.com/2020/04/14/how-t ... providers/

Das Vorhandensein mehrere Produkte in root/SecurityCenter2 von WMI ist nicht Securepoint / IKARUS spezifisch.
AVAST, trotz Remover:
https://forum.avast.com/index.php?topic=263107.0
https://forum.acronis.com/forum/acronis ... s-security

Allgemein:
https://www.warrenheld.com/windows-repo ... -products/
https://community.absolute.com/s/articl ... -installed

ZoneAlarm:
https://forum.acronis.com/forum/acronis ... s-security

TrustWave:
https://serverfault.com/questions/78799 ... -installed

BitDefender:
https://stackoverflow.com/questions/691 ... istrations

Wir im Support haben vor kurzem beim testen folgendes herausgefunden:

Je nach RMM werden hier nur die neuesten Einträge genommen, bei anderen muss in einem Fehlerfall folgender Befehl ausgeführt werden um alle Einträge zu entfernen
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | ForEach-Object{$_.Delete()}

Nach einem Neustart wäre wieder alle "aktiven" vorhanden die alten welche nach einem Treiber oder Zertifikatswechsel anscheinend überbleiben tauchen damit nicht mehr auf.

Wenn dies jemand bestätigen könnte, können wir das im Wiki mit aufnehmen

Antworten