VBR 12.1 – Incident API & Gestion des malwares

VBR 12.1 – Incident API & Gestion des malwares

Commentaires 1 commentaire

Bonjour à tous,

4ème et dernier article pour vous guider dans la détection des logiciels malveillants dans Veeam Backup & Replication 12.1. Si vous ne les avez pas encore lu, je vous invite à en prend connaissance ici.

Dans celui-ci, nous allons parler de nouvelle API ainsi que le status malware dans l’interface VBR. C’est parti !

Incident API, Qu’est-ce que c’est ?

C’est une nouvelle catégorie de RestAPI permettant une interaction extérieur, par un tier, comme un Antivirus, pour notifier le serveur VBR d’une attaque.

Votre EDR, XDR et autre outil de sécurité peuvent interagir avec votre serveur Veeam Backup & Replication et marquer des machines et leurs points de restauration comme infecté.

Vous pouvez également configurer qu’un « quick backup » se lance automatiquement lors de cette notification :

Comment ça marche ?

Avec l’aide de 2 paramètres minimum, VBR va pouvoir identifier le workload et le marquer comme infecté.

Il y a 4 paramètres possibles : FQDN, IPv4, IPv6, UUID. Plus vous fournissez de paramètre, plus la concordance sera correctement effectuée.

Si besoin, il existe un exemple de script sous PowerShell.

Gestion des status de malware

Le status « infected » ou « suspicious » est déclenché par de nombreux évènements que l’on a pu voir tout au long des 4 dernier articles, à savoir :

Vous pouvez recevoir ces notifications via :

  • Windows event log (activé obligatoirement)
  • Email, Syslog, SNMP (optionnel)

Et impossible de les manquer dans l’interface :

Que faire de ces malwares ? Investiguez !

VBR 12.1 vous aide à investiguer avec vos équipes de sécurité avec de nombreuses fonctionnalités. Lorsque vous interagissez avec une machine infecté, sur l’interface VBR, vous aurez la possibilité de :

  • Mark as Clean : lever l’alerte
  • Restore Guest files
  • Scan backup : YARA & Antivirus
  • Publish disk : Monter le disk sur une machine dédié à l’analyse forensic

Merci à tous pour votre soutien 😉

Une réaction au sujet de « VBR 12.1 – Incident API & Gestion des malwares »

  1. Ping : Guide de détection des logiciels malveillants dans Veeam Backup & Replication 12.1 - Baptiste Tellier

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.