PHƯƠNG PHÁP SCAN GUEST INDEXING DATA TRONG VEEAM BACKUP & REPLICATION

1.Scan Guest Indexing Data: 

Veeam Backup & Replication sử dụng phân tích hoạt động hệ thống file. Trong quá trình backup job, hoạt động phần mềm độc hại sau có thể phát hiện:

  • Các file và tiện ích mở rộng đáng ngờ đã biết được chỉ định trong file SuspiciousFiles.xml. File này nằm trên backup server trong thư mục sản phẩm Veeam Backup & Replication. Đường dẫn mặc định: C:\Program Files\Veeam\Backup and Replication\Backup\SuspiciousFiles.xml. Lưu ý không chỉnh sửa trực tiếp SuspiciousFiles.xml. Nếu bạn muốn tùy chỉnh danh sách các tệp và tiện ích mở rộng đáng ngờ, bạn có thể thực hiện việc đó trong cài đặt phát hiện phần mềm độc hại.
  • Nhiều file được đổi tên bởi phần mềm độc hại. Sự kiện phát hiện phần mềm độc hại sẽ được tạo nếu đáp ứng các điều kiện sau:
    • Phải có ít nhất 200 file được đổi tên có phần mở rộng giống nhau hoặc khác nhau.
    • Các tiện ích mở rộng này không được chỉ định trong file SuspiciousFiles.xml.
  • Nhiều file bị phần mềm độc hại xóa. Sự kiện phát hiện phần mềm độc hại sẽ được tạo nếu ít nhất 25 file có phần mở rộng cụ thể hoặc 50% file có phần mở rộng cụ thể bị xóa. 

2.Các tình huống được hỗ trợ

Bạn chỉ có thể Scan Guest Indexing Data khi sao lưu các máy sau:

  • Các máy ảo VMware bao gồm các máy ảo VMware Cloud Director.
  • Các máy ảo Hyper-V.
  • Các máy với Veeam Agent for Microsoft Windows hoạt động trong chế độ được quản lý bởi backup server (image-level và volume-level backup).

Phương pháp này không hỗ trợ việc phát hiện phần mềm độc hại “Sleeping”.

3.Cách thức hoạt động Scan Guest Indexing Data

Đối với Guest Indexing Data, tính năng phát hiện phần mềm độc hại hoạt động theo cách sau:

  • Khi backup job với tính năng guest file system indexing được bật hoàn tất và indexing data được lưu trong thư mục VBRCatalog trên Backup Server, Veeam Guest Catalog Service sẽ thông báo cho Veeam Data Analyzer Service về dữ liệu mới cần được quét.
  • Veeam Data Analyzer Service kiểm tra kết quả quét lần cuối trong tệp GuestIndexAnalyzeState.xml nằm trong thư mục VBRCatalog và bắt đầu scan guest indexing data mới.

Quá trình scan guest indexing data cũng được bắt đầu trong các trường hợp sau:

  • Nếu Veeam Data Analyzer Service nhận được indexing data mới sau khi dịch vụ bắt đầu.
  • Nếu bạn tắt tính năng scan guest indexing data trong một khoảng thời gian và bật lại. Indexing data được tạo trong thời gian này sẽ được quét khi backup job tiếp theo với tính năng guest file system indexing được bật hoàn tất hoặc khi Veeam Data Analyzer Service khởi động lại. Lưu ý rằng trong trường hợp này, Veeam Guest Catalog Service có thể tăng tải trên backup server tùy thuộc vào kích thước indexing data.
  • Nếu bạn import các bản sao có bật với bật Import guest file system index data to the catalog. Nếu bạn nâng cấp lên Veeam Backup & Replication 12.1 (build 12.1.0.2131) indexing data cũ sẽ không được quét.
  • Để phát hiện các file và tiện ích mở rộng đáng ngờ đã biết, Veeam Data Analyzer Service so sánh guest indexing data với tệp SuspiciousFiles.xml. Nếu bạn đã thêm cấu hình tùy chỉnh thì cấu hình đó chủ yếu được sử dụng để so sánh.
  • Để phát hiện nhiều file bị phần mềm độc hại đổi tên hoặc xóa, Veeam Data Analyzer Service so sánh điểm khôi phục (restore point) mới với điểm sớm nhất được tạo trong 25 giờ qua. Ví dụ: hai điểm khôi phục đã được tạo cách đây 10 và 5 giờ. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo 10 giờ trước
  • Nếu điểm khôi phục trước đó không được tạo trong 25 giờ qua, dịch vụ sẽ cố gắng tìm điểm khôi phục gần nhất được tạo trong 30 ngày qua. Ví dụ: hai điểm khôi phục đã được tạo cách đây 2 ngày và 10 ngày. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo 2 ngày trước.
  • Veeam Data Analyzer Service ghi kết quả quét vào tệp GuestIndexAnalyzeState.xml. Nếu phát hiện hoạt động của phần mềm độc hại, dịch vụ sẽ tạo sự kiện phát hiện phần mềm độc hại và đánh dấu các đối tượng là đáng ngờ.

Thông tin về hoạt động của phần mềm độc hại được phát hiện sẽ được lưu trữ trong nhật ký phát hiện phần mềm độc hại. Đường dẫn mặc định:

C:\ProgramData\Veeam\Backup\Malware_Detection_Logs

4.Bật Scan Guest Indexing Data

Để bật tính năng Scan Guest Indexing Data, hãy làm như sau:

Từ menu chính  >  Malware Detection > General

Ở mục Suspicious activity detection > Enable file system activity analysis

Chức năng này được bật theo mặc định khi bạn cài đặt hoặc nâng cấp lên Veeam Backup & Replication 12.1 (build 12.1.0.2131).

Đảm bảo rằng bạn bật guest file system indexing cho backup job cần thiết.

5.Quản lý danh sách các file và tiện ích mở rộng đáng ngờ

Để luôn cập nhật danh sách các file và tiện ích mở rộng đáng ngờ, hãy chọn Update malware definitions automatically. Nếu tùy chọn được kích hoạt, Veeam Backup & Replication sẽ giao tiếp với Veeam Update Server (vbr.butler.veeam.com) hàng ngày và tải xuống phiên bản mới nhất của tệp SuspiciousFiles.xml. Veeam Data Analyzer Service kiểm tra file để cập nhật khi dịch vụ khởi động lại. Theo mặc định, điều này xảy ra mỗi ngày một lần vào lúc 12:00 sáng.

6.Thêm các file và tiện ích mở rộng đáng ngờ tùy chỉnh

Để thêm các tệp và tiện ích mở rộng tùy chỉnh cần được đánh dấu là đáng ngờ, hãy thực hiện các bước sau:

  • Từ menu chính, chọn Malware Detection > General > File masks to monitor.
  • Click vào Add bên cạnh Suspicious files .
  • Chỉ định phần mở rộng file hoặc tên file có hoặc không có phần mở rộng. Bạn cũng có thể sử dụng * và ? ký tự đại diện. Ví dụ:
    • bot.txt
    • bot
    • b?t
    • *.avi

Lưu ý: Quét phát hiện phần mềm độc hại không phân biệt chữ hoa chữ thường. Bạn không cần thêm phần mở rộng hoặc tên file với các trường hợp khác nhau, chẳng hạn như bot và Bot.

  • Click OK.

7.Loại trừ các file và tiện ích mở rộng đáng ngờ

Để loại trừ tên file hoặc phần mở rộng file được liệt kê trong file SuspiciousFiles.xml và bỏ qua nó trong quá trình quét, hãy làm như sau:

  • Từ menu chính, chọn Malware Detection > General File masks to monitor.
  • Click Add > Extension bên cạnh Trusted objects/Trusted files
  • Chỉ định tên file hoặc phần mở rộng file như được liệt kê trong file SuspiciousFiles.xml  (FileMask tag). Ví dụ:

*.cryptoboss

  • Click OK.

Lưu ý:  Bạn cũng có thể thêm file và tiện tích mở rộng vào danh sách đáng tin cậy từ cửa sổ Event Details.

8.Loại trừ file và folder

  • Để bỏ qua một file hoặc thư mục cụ thể trong quá trình quét, hãy làm như sau:
  • Từ menu chính, chọn Malware Detection > General > File masks to monitor.
  • Click Add > Path bên cạnh Trusted objects/Trusted files
  • Chỉ định đường dẫn đến file hoặc thư mục. Ví dụ:
    • C:\Users\user1\New Folder\
    • C:\Users\user1\file.txt
    • /home/user1/Folder/
    • /home/user1/file.md
  • Click OK.

Lưu ý: 

Đường dẫn đến thư mục phải bao gồm ký hiệu dấu gạch chéo cuối cùng (” /” hoặc “\” ).

Các ký tự đại diện không được hỗ trợ.

Việc loại trừ các file và thư mục chỉ được áp dụng cho các loại hoạt động phần mềm độc hại sau:

  • Các tệp và tiện ích mở rộng đáng ngờ đã biết
  • Các file đã đổi tên
  • Các file đã bị xóa

9.Export và Import danh sách tùy chỉnh

Bạn có thể xuất và nhập danh sách các file tùy chỉnh và phần mở rộng đến/từ một file ở định dạng XML.

Để xuất danh sách, hãy làm như sau:

  • Từ menu chính, chọn Malware Detection > General và click File masks to monitor.
  • Click Export these filters.
  • Click Browse và chọn thư mục để lưu danh sách
  • Chỉ định tên của file và nhấp vào Save.
  • Click OK.

Để nhập danh sách, hãy làm như sau:

  • Từ menu chính, chọn Malware Detection > General và click File masks to monitor.
  • Click Import existing list. Thao tác nhập sẽ ghi đè các tệp và tiện ích mở rộng mà bạn đã chỉ định trước đó. Bạn nên xuất danh sách hiện tại của mình trước khi nhập danh sách mới.
  • Click Browse và chọn thư mục chứ file
  • Chọn file và click Open.
  • Click OK.