VBR 12.1 – Incident API & Gestion des malwares
Bonjour à tous,
4ème et dernier article pour vous guider dans la détection des logiciels malveillants dans Veeam Backup & Replication 12.1. Si vous ne les avez pas encore lu, je vous invite à en prend connaissance ici.
Dans celui-ci, nous allons parler de nouvelle API ainsi que le status malware dans l’interface VBR. C’est parti !
Incident API, Qu’est-ce que c’est ?
C’est une nouvelle catégorie de RestAPI permettant une interaction extérieur, par un tier, comme un Antivirus, pour notifier le serveur VBR d’une attaque.
Votre EDR, XDR et autre outil de sécurité peuvent interagir avec votre serveur Veeam Backup & Replication et marquer des machines et leurs points de restauration comme infecté.
Vous pouvez également configurer qu’un « quick backup » se lance automatiquement lors de cette notification :
Comment ça marche ?
Avec l’aide de 2 paramètres minimum, VBR va pouvoir identifier le workload et le marquer comme infecté.
Il y a 4 paramètres possibles : FQDN, IPv4, IPv6, UUID. Plus vous fournissez de paramètre, plus la concordance sera correctement effectuée.
Si besoin, il existe un exemple de script sous PowerShell.
Gestion des status de malware
Le status « infected » ou « suspicious » est déclenché par de nombreux évènements que l’on a pu voir tout au long des 4 dernier articles, à savoir :
- Inline scan
- Guest-index scan
- SureBackup: scheduled jobs
- SureBackup: scan now
- Secure Restore
- Incident API
Vous pouvez recevoir ces notifications via :
- Windows event log (activé obligatoirement)
- Email, Syslog, SNMP (optionnel)
Et impossible de les manquer dans l’interface :
Que faire de ces malwares ? Investiguez !
VBR 12.1 vous aide à investiguer avec vos équipes de sécurité avec de nombreuses fonctionnalités. Lorsque vous interagissez avec une machine infecté, sur l’interface VBR, vous aurez la possibilité de :
- Mark as Clean : lever l’alerte
- Restore Guest files
- Scan backup : YARA & Antivirus
- Publish disk : Monter le disk sur une machine dédié à l’analyse forensic
Merci à tous pour votre soutien 😉
Une réaction au sujet de « VBR 12.1 – Incident API & Gestion des malwares »