ClamAV 简介：

ClamAV（Clam AntiVirus）是一款开源防病毒软件，主要用于检测和阻止恶意软件。它的优点包跨平台支持（Windows、Linux、macOS）、用于邮件服务器、实时扫描，以及相对轻量级，不占用过多系统资源。

然而，与很多商业防病毒软件相比，ClamAV 的检测率还是低一些，实时保护功能不如商业软件全面高效。

ClamAV 事实上更适用于企业级邮件服务器、Linux 系统用户和一些需要开源解决方案（白嫖，例如等保 2.0 用它勉强够用）的场景，而且 ClamAV 的 Linux 版本还挺好用，思科的 Immunet 本地引擎就有用到 ClamAV，它实际上也不算是很差的杀毒软件啦。

项目链接：

https://github.com/Cisco-Talos/clamav

本文以它为例，讲一下集成 ClamAV 进 SIEM 的思路。

ClamAV的病毒库如何更新

ClamAV 的病毒库有自动更新，它使用 freshclam 工具来自动更新病毒定义数据库。

freshclam的配置文件在 /etc/clamav/freshclam.conf，添加如下配置：

DatabaseDirectory /var/lib/clamav  # ClamAV病毒库的存储目录。
UpdateLogFile /var/log/clamav/freshclam.log  # 指定freshclam更新过程的日志文件路径
LogFileMaxSize 2M  # 设置日志文件的最大大小
LogTime yes  #  启用日志记录时间戳

还可以配置自动更新时间间隔：

Checks 24  # 每小时检查一次更新

守护进程：

sudo systemctl start clamav-freshclam
sudo systemctl enable clamav-freshclam

手动更新 freshclam，更新时候界面差不多是这样：

更新完之后看一眼日志，看是不是更新成功了：

sudo tail -f /var/log/clamav/freshclam.log

OK，配置好了之后如何设置开始一次全新的扫描呢？命令如下：

clamscan -r / # 扫描整个系统，-r表示递归扫描子目录
clamscan -r /path/to/directory # 扫描特定目录：
clamscan -r --remove /path/to/directory # 扫描并删除感染文件
clamscan -r /path/to/directory --log=/path/to/logfile.log 
# 上面是扫描并输出报告

定时扫描就是写个脚本，然后 crontab 定时任务咯。

ClamAV 有哪些 GUI？

ClamTk（不维护了）、ClamAV Desktop、KlamAV（KDE 环境下的ClamAV 前端）。

ClamAV 能当成 EDR 来用吗

ClamAV 只是一个防病毒软件，它的功能集中在恶意软件检测和清除方面，从合规角度看，EDR 需要有持续的端点监控、威胁检测、响应和调查能力等，但 ClamAV 做 EDR 肯定是不靠谱的（白嫖 EDR 可以用Comodo 的 openedr、BLUESPAWN、Wazuh也算是），但它在合规过程中常用做 Linux 下的杀毒软件。

集成 ClamAV 到 SIEM 系统

虽然 ClamAV 不具备完整的 EDR 功能，但它还是可以通过集成到 SIEM 系统中，成为整体安全监控和响应策略的一部分，Windows下用 ClamAV 的不多，下文说的都是 Linux 下：

日志收集：

在 clamd.conf 和 freshclam.conf 中配置日志选项，例如：

# clamd.conf
LogFile /var/log/clamav/clamd.log
LogTime yes

# freshclam.conf
UpdateLogFile /var/log/clamav/freshclam.log

假设我想手动测试一下：

sudo clamscan -r /path/to/scan --log=/var/log/clamav/scan.log

日志转发：

如 rsyslog、syslog-ng 或 Filebeat之类将 ClamAV 的日志发送到 SIEM 系统。例如，配置 Filebeat 收集 ClamAV 日志：

filebeat.inputs:
- type: log
  paths:
    - /var/log/clamav/*.log

output.elasticsearch:
  hosts: ["http://localhost:9200"]

在 SIEM 中创建规则和仪表板：

根据 ClamAV 日志格式和内容，在 SIEM 中创建相应的解析规则、警报规则和仪表板，以便实时监控和分析 ClamAV 检测到的安全事件。例如，在 ELK Stack 中，可以创建 Kibana 仪表板展示 ClamAV 的扫描结果和威胁检测情况。

总结

综上所述，ClamAV作为一款开源防病毒软件，尽管其检测率和实时保护功能可能不及一些商业解决方案，但在特定场景下仍然具有重要的应用价值。通过合理配置和与SIEM系统的集成，ClamAV 可以成为企业整体安全监控和响应策略的一部分，尤其是在 Linux 环境和需要开源解决方案的场景下，ClamAV 的使用可以有效提升系统的安全性和合规性。