VBR 12.1 – Fonctionnement de l’Inline Malware Detection

VBR 12.1 – Fonctionnement de l’Inline Malware Detection

Commentaires 2 commentaires

Bonjour à tous, j’éspère que vous êtes motivé avec l’arrivée de la 12.1 !

1. Maximiser la sécurité avec Veeam Backup & Replication : une plongée approfondie dans l’analyse en ligne pour vos VMs

Veeam Backup & Replication 12.1, introduit une fonctionnalité d’analyse en ligne dans son arsenal, spécialement conçue pour vos VMs. Cet article de blog explore les subtilités de la fonctionnalité Inline Scan, en explorant ses méthodes, les scénarios pris en charge et l’architecture sous-jacente qui renforce vos données contre les menaces de logiciels malveillants.

2. Comprendre l’analyse en ligne

Pour comprendre l’essence de l’analyse en ligne, voyons d’abord comment Veeam Backup & Replication utilise l’analyse d’entropie des fichiers pendant la tâche de sauvegarde. Ce processus, développé par Veeam avec du machine learning et de l’intelligence artificielle, consiste à analyser les blocs de données dans un flux, en recherchant activement les activités potentielles de logiciels malveillants. Les capacités de détection des logiciels malveillants incluent l’identification des fichiers cryptés par des logiciels malveillants, la détection d’artefacts de texte tels que les adresses d’oignon V3 et les notes de ransomware créées par des souches notoires comme Medusa et Clop.

3. Événements de détection de logiciels malveillants

1. Fichiers cryptés par un logiciel malveillant : L’analyse en ligne déclenche un événement de détection de logiciel malveillant si les données cryptées dépassent les limites de sensibilité d’analyse prédéfinies.

2. Artéfacts de texte : La détection des adresses d’oignon V3 et des notes de ransomware déclenche un événement de détection de malware, offrant un mécanisme de défense proactif contre les menaces potentielles.

> Remarque : Par défaut, l’analyse en ligne est désactivée dans Veeam Backup & Replication 12.1, compte tenu de sa consommation potentielle de ressources. Les utilisateurs souhaitant tirer parti de cette fonctionnalité doivent évaluer leurs ressources système en conséquence.

Scénarios pris en charge

La polyvalence d’Inline Scan s’étend à divers scénarios, ce qui en fait une solution complète pour protéger vos données. Vous pouvez analyser des blocs dans un flux de données lors de la sauvegarde :

– Machines virtuelles VMware, y compris les machines virtuelles VMware Cloud Director
– Machines virtuelles Hyper-V
– Machines avec Veeam Agent pour Microsoft Windows (en mode géré)
– Machines sauvegardées sur des périphériques de bande

Les systèmes de fichiers pris en charge incluent NTFS, ext4, ext3 et ext2.

4. Comment ça fonctionne

Comprendre les mécanismes derrière Inline Scan donne un aperçu de son efficacité. Voici une description étape par étape :

1. Analyse des données pendant la sauvegarde : Veeam Backup & Replication analyse les métadonnées des blocs de données pendant la tâche de sauvegarde, enregistrant les données du ransomware dans un dossier temporaire sur le proxy de sauvegarde.

2. Stockage des données de ransomware : Les informations sur chaque disque, y compris les métadonnées et les données de ransomware, sont stockées dans des fichiers au format RIDX sur le proxy de sauvegarde.

3. Achèvement de la sauvegarde : Après la tâche de sauvegarde, les données du ransomware sont transférées vers le dossier VBRCatalog sur le serveur de sauvegarde. Le service Veeam Guest Catalog Service informe ensuite le service Veeam Data Analyser des nouvelles données nécessitant une analyse.

4. Initiation de l’analyse : Le service Veeam Data Analyser vérifie les derniers résultats de l’analyse, lance une nouvelle session d’analyse et compare le dernier et le précédent fichier RIDX. Si une activité de logiciel malveillant est détectée, un événement de détection de logiciel malveillant est créé.

Exigences et limites

Comme toute fonctionnalité avancée, Inline Scan s’accompagne d’exigences et de limitations spécifiques :

– L’analyse des disques dynamiques et des disques chiffrés par BitLocker n’est pas prise en charge.
– La détection des artefacts de texte comporte des conditions spécifiques, notamment la taille du bloc, la taille du fichier et l’encodage UTF-8.
– La détection des logiciels malveillants « en veille » n’est pas prise en charge.

5. Configuration de l’analyse en ligne

L’activation de l’analyse en ligne est un processus simple. Suivez ces étapes:

1. Dans le menu principal, sélectionnez Détection de logiciels malveillants > Général.
2. Dans le champ Détection de cryptage, cochez la case Activer l’analyse d’entropie en ligne.
3. Spécifiez la sensibilité de l’analyse en fonction de vos données de sauvegarde et des capacités de votre infrastructure. La valeur par défaut est Normal.

Impact sur les performances

Les derniers chiffres estimes une surconsommation du processeur des proxy de 30%

Conclusion

En intégrant Inline Scan dans votre configuration Veeam Backup & Replication, vous améliorez votre niveau de sécurité des données, en ajoutant une couche de défense supplémentaire contre l’évolution des menaces de logiciels malveillants.

2 réactions au sujet de « VBR 12.1 – Fonctionnement de l’Inline Malware Detection »

  1. Ping : Guide de détection des logiciels malveillants dans Veeam Backup & Replication 12.1 - Baptiste Tellier
  2. Ping : VBR 12.1 - Incident API & Gestion des malwares - Baptiste Tellier

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.