VBR 12.1 – Démystifier l’analyse des données d’indexation des invités

VBR 12.1 – Démystifier l’analyse des données d’indexation des invités

Commentaires 1 commentaire

Bonjour à tous !

Avec un titre comme celui-ci, bien francisé comme on aime, vous ne savez pas à quoi vous attendre hein ? Nous allons simplement continuer le guide de détection des logiciels malveillants de la V12.1 avec un deep dive sur le « Guest Indexing Data Scan » 😁

Introduction

Veeam Backup & Replication 12.1 introduit un outil puissant : l’analyse des données d’indexation des invités. Examinons ses subtilités:

Comprendre l’approche basée sur les signatures

Lors d’une tâche de sauvegarde, Veeam utilise une approche basée sur les signatures pour analyser les données d’indexation des invités à la recherche d’activités malveillantes potentielles. La détection s’étend au-delà des méthodes conventionnelles, englobant :

Signatures de logiciels malveillants

– La détection implique l’examen du fichier SuspiciousFiles.xml, résidant dans le chemin par défaut : C:\Program Files\Veeam\Backup and Replication\Backup\SuspiciousFiles.xml.

Fichiers renommés

– Un événement de détection de malware se déclenche s’il y a au moins 200 fichiers renommés avec des extensions non spécifiées dans le fichier SuspiciousFiles.xml.

Fichiers supprimés

– De même, un événement de détection se produit lorsqu’un malware supprime au moins 25 fichiers avec des extensions spécifiques ou 50 % des fichiers avec des extensions particulières.

*Remarque : les logiciels malveillants « en veille » ne relèvent pas de cette méthode.*

Scénarios pris en charge

L’analyse des données d’indexation des invités étend sa portée de protection à divers scénarios, notamment :

– Machines virtuelles VMware, y compris les machines virtuelles VMware Cloud Director
– Machines virtuelles Hyper-V
– Machines avec Veeam Agent pour Microsoft Windows en modes géré et autonome
– Machines sauvegardées sur des périphériques de bande

Fonctionnement

Le processus de détection des logiciels malveillants se déroule comme suit :

1. Mécanisme de notification :
– Une fois une tâche de sauvegarde avec indexation du système de fichiers invité terminée, les données sont stockées dans le dossier VBRCatalog.
– Le service Veeam Guest Catalog Service informe le service Veeam Data Analyser des nouvelles données à analyser.

2. Lancement de la session d’analyse :
– Le service Data Analyzer vérifie les résultats de l’analyse précédente dans GuestIndexAnalyzeState.xml, lançant ainsi une nouvelle session d’analyse.

3. Détection des logiciels malveillants :
– Les résultats de l’analyse sont comparés aux signatures de logiciels malveillants, mettant à jour le fichier GuestIndexAnalyzeState.xml.
– Si une activité de logiciel malveillant est détectée, un événement de détection est créé, marquant les objets comme suspects.

Configuration de l’analyse des données d’indexation des invités

Pour activer cette analyse :

1. Accédez à Détection des logiciels malveillants > Général dans le menu principal.
2. Cochez la case « Activer l’analyse de l’activité du système de fichiers« .

> Remarque : cette fonctionnalité est activée par défaut dans Veeam Backup & Replication 12.1 (build 12.1.0.2131). Assurez-vous que l’indexation du système de fichiers invité est activée pour la tâche de sauvegarde.

Mises à jour et personnalisation de la base de données

1. Mises à jour automatiques :
– Gardez la base de données de signatures de logiciels malveillants à jour en sélectionnant « Mettre à jour automatiquement les définitions de logiciels malveillants ».
– Veeam communique quotidiennement avec le serveur de mise à jour (vbr.butler.veeam.com), garantissant que la dernière base de données au format XML est téléchargée.

2. Personnalisation :
– Adaptez votre stratégie de sécurité en ajoutant des signatures de fichiers suspects ou fiables.
– Les masques de fichiers peuvent être ajustés avec * et ? caractères génériques. (lien vers la doc)

Remarque : des mises à jour manuelles de la base de données sont disponibles pour les serveurs disposant d’un accès Internet limité via une demande au support.*

Conclusion

Dans un paysage de menaces en constante évolution, Guest Indexing Data Scan de Veeam est votre allié. Renforcez votre environnement avec des mesures de sécurité proactives, garantissant ainsi la résilience contre les menaces émergentes.

à bientôt !

Une réaction au sujet de « VBR 12.1 – Démystifier l’analyse des données d’indexation des invités »

  1. Ping : Guide de détection des logiciels malveillants dans Veeam Backup & Replication 12.1 - Baptiste Tellier

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.