PHƯƠNG PHÁP SCAN INLINE TRONG VEEAM BACKUP & REPLICATION

1.Scan Inline 

Để quét các khối trong luồng dữ liệu (data stream), Veeam Backup & Replication sử dụng phân tích entropy trực tuyến. Trong quá trình backup job, hoạt động phần mềm độc hại sau có thể được phát hiện:

  • Các tệp tin bị mã hóa bởi phần mềm độc hại: Một sự kiện phát hiện phần mềm độc hại sẽ được tạo ra nếu lượng dữ liệu bị mã hóa vượt quá giới hạn nhạy cảm của quá trình quét.
  • Các dấu hiệu văn bản được tạo ra bởi phần mềm độc hại:
  • Địa chỉ V3 onion bao gồm 56 ký tự theo định dạng [a-z2-7]{56}.onion. Ví dụ: vykenniek4sagugiayj3z32rpyrinoadduprjtdy4wharue6cz7zudid.onion.
  • Các ghi chú ransomware được tạo ra bởi Medusa và Clop.

Một sự kiện phát hiện phần mềm độc hại sẽ được tạo ra nếu một điểm khôi phục (restore point) mới chứa nhiều địa chỉ onion hoặc ghi chú ransomware hơn so với điểm khôi phục trước đó được chọn để so sánh. Nếu cả hai điểm khôi phục chứa cùng số lượng địa chỉ onion hoặc ghi chú ransomware, một sự kiện phát hiện phần mềm độc hại sẽ không được tạo ra. 

Lưu ý: Scan Inline bị tắt theo mặc định khi bạn cài đặt hoặc nâng cấp lên Veeam Backup & Replication 12.1 (build 12.1.0.2131). Nếu bạn muốn sử dụng chức năng này, hãy lưu ý rằng nó có thể tăng mức sử dụng CPU (trung bình 10-15%) trên backup proxy hoặc Veeam agent tùy thuộc vào loại khối lượng công việc và lượng dữ liệu.

2.Các tình huống được hỗ trợ

Bạn có thể quét các khối trong luồng dữ liệu khi sao lưu các máy sau:

  • Các máy ảo VMware bao gồm các máy ảo VMware Cloud Director
  • Các máy ảo Hyper-V
  • Các máy sử dụng Veeam Agent for Microsoft Windows hoạt động trong chế độ được quản lý bởi backup server (volume-level backup only)

3.Yêu cầu và hạn chế

Scan inline có các yêu cầu và hạn chế sau:

  • Tính năng quét chỉ được hỗ trợ cho các ổ đĩa đơn giản và cho các hệ thống tệp sau: NTFS, ext4, ext3, ext2.
  • Quét ổ đĩa động và ổ đĩa được mã hóa bởi BitLocker không được hỗ trợ.
  • Để lưu trữ dữ liệu ransomware, bạn cần có đủ dung lượng ổ đĩa trên máy chủ dự phòng. Việc tính toán dung lượng ổ đĩa dựa trên dữ liệu sau:
    • Số lượng máy.
    • Dung lượng đĩa đã sử dụng trên mỗi máy.
    • Số điểm khôi phục trên mỗi máy.

Việc lưu trữ dữ liệu ransomware trên mỗi máy cần khoảng 270 KB dung lượng ổ đĩa trên backup server cho mỗi 10 GB dung lượng ổ đĩa đã sử dụng nhân với số điểm khôi phục.

Ví dụ: một máy có 200 GB dung lượng đã sử dụng và 10 điểm khôi phục. Việc lưu trữ dữ liệu ransomware cho máy này cần 54 MB (270 KB * 20 * 10 điểm khôi phục).

  • Các dấu hiệu văn bản sẽ chỉ được phát hiện nếu các điều kiện sau được đáp ứng:
    • Kích thước khối của hệ thống tệp là 4 KB.
    • Tệp văn bản có mã hóa UTF-8.
    • Tệp văn bản không được lưu trữ trong Master File Table (MFT).
  • Việc phát hiện phần mềm độc hại ở trạng thái “sleeping” không được hỗ trợ.
  • Một số loại tệp có thể bị đánh dấu nhầm là đáng ngờ trong quá trình quét trực tuyến scan inline, ví dụ như các gói Linux nén bằng LZMA, các tệp được mã hóa bằng Windows EFS, các tệp ISO cụ thể,.. Nếu bạn có những tệp như vậy, bạn có thể đánh dấu các sự kiện phát hiện phần mềm độc hại liên quan là dương tính giả (false-positive).

4.Cách scan inline hoạt động

Để scan inline, tính năng phát hiện phần mềm độc hại hoạt động theo cách sau:

  • Trong quá trình sao lưu, Veeam Backup & Replication phân tích siêu dữ liệu của các khối dữ liệu và lưu trữ dữ liệu ransomware trong thư mục tạm thời trên backup proxy. Một tệp tin ở định dạng RIDX được tạo cho mỗi đĩa và chứa các thông tin sau:
    • Siêu dữ liệu của đĩa (tên đĩa, thời gian tạo, dung lượng đĩa, dung lượng đã sử dụng, kích thước sector, bảng phân vùng)
    • Dữ liệu ransomware cho mỗi khối dữ liệu (dữ liệu mã hóa, loại tệp tin, địa chỉ onion, ghi chú ransomware)

Lưu ý: Nếu các tiêu đề LZMA được tìm thấy, chúng sẽ bị loại trừ khỏi tính toán dữ liệu mã hóa để giảm thiểu số lượng các sự kiện dương tính giả.

  • Khi backup job hoàn tất, dữ liệu ransomware được lưu trong thư mục VBRCatalog trên backup server. Theo mặc định, đường dẫn là %volume%:\VBRCatalog\Index\Machines%machine_name%%date%%guid%\ransomwareidx. Veeam Guest Catalog Service sẽ thông báo cho Veeam Data Analyzer Service về dữ liệu mới cần được quét.
  • Veeam Data Analyzer Service kiểm tra kết quả quét gần nhất trong tệp tin RansomwareIndexAnalyzeState.xml nằm trong thư mục VBRCatalog và khởi tạo một quá trình quét trực tuyến mới. Quá trình quét cũng được khởi tạo nếu Veeam Data Analyzer Service nhận được dữ liệu lập chỉ mục mới sau khi dịch vụ bắt đầu.
  • Trong quá trình quét, Veeam Data Analyzer Service so sánh điểm khôi phục mới với điểm khôi phục sớm nhất được tạo trong 25 giờ qua. Ví dụ, hai điểm khôi phục được tạo ra 10 và 5 giờ trước. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo ra 10 giờ trước.
  • Nếu điểm khôi phục trước đó không được tạo trong 25 giờ qua, dịch vụ sẽ cố gắng tìm điểm khôi phục gần nhất được tạo ra trong 30 ngày qua. Ví dụ, hai điểm khôi phục được tạo ra cách đây 2 ngày và 10 ngày. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo ra cách đây 2 ngày.
  • Veeam Data Analyzer Service so sánh các tệp RIDX cuối cùng và trước đó, đồng thời cập nhật tệp RansomwareIndexAnalyzeState.xml. Nếu phát hiện hoạt động của phần mềm độc hại, dịch vụ sẽ tạo sự kiện phát hiện phần mềm độc hại và đánh dấu các đối tượng là đáng ngờ.
  • Nếu không tìm thấy tệp RIDX trước đó, Veeam Data Analyzer Service sẽ thực hiện thao tác đọc toàn bộ đĩa để tạo tệp RIDX. Trong trường hợp này, phiên công việc sẽ kéo dài hơn bình thường nhưng kích thước của tệp sao lưu gia tăng sẽ không bị ảnh hưởng. Trong quá trình hoạt động này, tùy chọn Theo dõi khối đã thay đổi (CBT) sẽ không được sử dụng.
  • Thao tác đọc toàn bộ đĩa cũng sẽ được thực hiện nếu bạn thêm đĩa mới vào VM.

5.Kích hoạt scan inline 

Để bật scan inline, hãy làm như sau:

  • Từ menu chính, chọn Malware Detection > General.
  • Encryption detection > Enable inline entropy analysis.
  • Chỉ định độ nhạy quét tùy thuộc vào dữ liệu sao lưu và khả năng cơ sở hạ tầng sao lưu của bạn. Giá trị mặc định là Normal.

x

1.Scan Inline 

Để quét các khối trong luồng dữ liệu (data stream), Veeam Backup & Replication sử dụng phân tích entropy trực tuyến. Trong quá trình backup job, hoạt động phần mềm độc hại sau có thể được phát hiện:

  • Các tệp tin bị mã hóa bởi phần mềm độc hại: Một sự kiện phát hiện phần mềm độc hại sẽ được tạo ra nếu lượng dữ liệu bị mã hóa vượt quá giới hạn nhạy cảm của quá trình quét.
  • Các dấu hiệu văn bản được tạo ra bởi phần mềm độc hại:
  • Địa chỉ V3 onion bao gồm 56 ký tự theo định dạng [a-z2-7]{56}.onion. Ví dụ: vykenniek4sagugiayj3z32rpyrinoadduprjtdy4wharue6cz7zudid.onion.
  • Các ghi chú ransomware được tạo ra bởi Medusa và Clop.

Một sự kiện phát hiện phần mềm độc hại sẽ được tạo ra nếu một điểm khôi phục (restore point) mới chứa nhiều địa chỉ onion hoặc ghi chú ransomware hơn so với điểm khôi phục trước đó được chọn để so sánh. Nếu cả hai điểm khôi phục chứa cùng số lượng địa chỉ onion hoặc ghi chú ransomware, một sự kiện phát hiện phần mềm độc hại sẽ không được tạo ra. 

Lưu ý: Scan Inline bị tắt theo mặc định khi bạn cài đặt hoặc nâng cấp lên Veeam Backup & Replication 12.1 (build 12.1.0.2131). Nếu bạn muốn sử dụng chức năng này, hãy lưu ý rằng nó có thể tăng mức sử dụng CPU (trung bình 10-15%) trên backup proxy hoặc Veeam agent tùy thuộc vào loại khối lượng công việc và lượng dữ liệu.

2.Các tình huống được hỗ trợ

Bạn có thể quét các khối trong luồng dữ liệu khi sao lưu các máy sau:

  • Các máy ảo VMware bao gồm các máy ảo VMware Cloud Director
  • Các máy ảo Hyper-V
  • Các máy sử dụng Veeam Agent for Microsoft Windows hoạt động trong chế độ được quản lý bởi backup server (volume-level backup only)

3.Yêu cầu và hạn chế

Scan inline có các yêu cầu và hạn chế sau:

  • Tính năng quét chỉ được hỗ trợ cho các ổ đĩa đơn giản và cho các hệ thống tệp sau: NTFS, ext4, ext3, ext2.
  • Quét ổ đĩa động và ổ đĩa được mã hóa bởi BitLocker không được hỗ trợ.
  • Để lưu trữ dữ liệu ransomware, bạn cần có đủ dung lượng ổ đĩa trên máy chủ dự phòng. Việc tính toán dung lượng ổ đĩa dựa trên dữ liệu sau:
    • Số lượng máy.
    • Dung lượng đĩa đã sử dụng trên mỗi máy.
    • Số điểm khôi phục trên mỗi máy.

Việc lưu trữ dữ liệu ransomware trên mỗi máy cần khoảng 270 KB dung lượng ổ đĩa trên backup server cho mỗi 10 GB dung lượng ổ đĩa đã sử dụng nhân với số điểm khôi phục.

Ví dụ: một máy có 200 GB dung lượng đã sử dụng và 10 điểm khôi phục. Việc lưu trữ dữ liệu ransomware cho máy này cần 54 MB (270 KB * 20 * 10 điểm khôi phục).

  • Các dấu hiệu văn bản sẽ chỉ được phát hiện nếu các điều kiện sau được đáp ứng:
    • Kích thước khối của hệ thống tệp là 4 KB.
    • Tệp văn bản có mã hóa UTF-8.
    • Tệp văn bản không được lưu trữ trong Master File Table (MFT).
  • Việc phát hiện phần mềm độc hại ở trạng thái “sleeping” không được hỗ trợ.
  • Một số loại tệp có thể bị đánh dấu nhầm là đáng ngờ trong quá trình quét trực tuyến scan inline, ví dụ như các gói Linux nén bằng LZMA, các tệp được mã hóa bằng Windows EFS, các tệp ISO cụ thể,.. Nếu bạn có những tệp như vậy, bạn có thể đánh dấu các sự kiện phát hiện phần mềm độc hại liên quan là dương tính giả (false-positive).

4.Cách scan inline hoạt động

Để scan inline, tính năng phát hiện phần mềm độc hại hoạt động theo cách sau:

  • Trong quá trình sao lưu, Veeam Backup & Replication phân tích siêu dữ liệu của các khối dữ liệu và lưu trữ dữ liệu ransomware trong thư mục tạm thời trên backup proxy. Một tệp tin ở định dạng RIDX được tạo cho mỗi đĩa và chứa các thông tin sau:
    • Siêu dữ liệu của đĩa (tên đĩa, thời gian tạo, dung lượng đĩa, dung lượng đã sử dụng, kích thước sector, bảng phân vùng)
    • Dữ liệu ransomware cho mỗi khối dữ liệu (dữ liệu mã hóa, loại tệp tin, địa chỉ onion, ghi chú ransomware)

Lưu ý: Nếu các tiêu đề LZMA được tìm thấy, chúng sẽ bị loại trừ khỏi tính toán dữ liệu mã hóa để giảm thiểu số lượng các sự kiện dương tính giả.

  • Khi backup job hoàn tất, dữ liệu ransomware được lưu trong thư mục VBRCatalog trên backup server. Theo mặc định, đường dẫn là %volume%:\VBRCatalog\Index\Machines%machine_name%%date%%guid%\ransomwareidx. Veeam Guest Catalog Service sẽ thông báo cho Veeam Data Analyzer Service về dữ liệu mới cần được quét.
  • Veeam Data Analyzer Service kiểm tra kết quả quét gần nhất trong tệp tin RansomwareIndexAnalyzeState.xml nằm trong thư mục VBRCatalog và khởi tạo một quá trình quét trực tuyến mới. Quá trình quét cũng được khởi tạo nếu Veeam Data Analyzer Service nhận được dữ liệu lập chỉ mục mới sau khi dịch vụ bắt đầu.
  • Trong quá trình quét, Veeam Data Analyzer Service so sánh điểm khôi phục mới với điểm khôi phục sớm nhất được tạo trong 25 giờ qua. Ví dụ, hai điểm khôi phục được tạo ra 10 và 5 giờ trước. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo ra 10 giờ trước.
  • Nếu điểm khôi phục trước đó không được tạo trong 25 giờ qua, dịch vụ sẽ cố gắng tìm điểm khôi phục gần nhất được tạo ra trong 30 ngày qua. Ví dụ, hai điểm khôi phục được tạo ra cách đây 2 ngày và 10 ngày. Điểm khôi phục mới sẽ được so sánh với điểm khôi phục được tạo ra cách đây 2 ngày.
  • Veeam Data Analyzer Service so sánh các tệp RIDX cuối cùng và trước đó, đồng thời cập nhật tệp RansomwareIndexAnalyzeState.xml. Nếu phát hiện hoạt động của phần mềm độc hại, dịch vụ sẽ tạo sự kiện phát hiện phần mềm độc hại và đánh dấu các đối tượng là đáng ngờ.
  • Nếu không tìm thấy tệp RIDX trước đó, Veeam Data Analyzer Service sẽ thực hiện thao tác đọc toàn bộ đĩa để tạo tệp RIDX. Trong trường hợp này, phiên công việc sẽ kéo dài hơn bình thường nhưng kích thước của tệp sao lưu gia tăng sẽ không bị ảnh hưởng. Trong quá trình hoạt động này, tùy chọn Theo dõi khối đã thay đổi (CBT) sẽ không được sử dụng.
  • Thao tác đọc toàn bộ đĩa cũng sẽ được thực hiện nếu bạn thêm đĩa mới vào VM.

5.Kích hoạt scan inline 

Để bật scan inline, hãy làm như sau:

  • Từ menu chính, chọn Malware Detection > General.
  • Encryption detection > Enable inline entropy analysis.
  • Chỉ định độ nhạy quét tùy thuộc vào dữ liệu sao lưu và khả năng cơ sở hạ tầng sao lưu của bạn. Giá trị mặc định là Normal.
Tags: ,