News & Blog

Veeam VBR v12.3: Scan Backup & Threat Hunter

Mehr Sicherheit

Veeam VBR v12.3 Scan Backup und Treat Hunter

Weil es um Sicherheit geht
Da im Altagsgeschehen neue Features bei VBR Updates oft ein bisschen unbemerkt bleiben, sollen hier und heute zumindest zwei wichtige vorgestellt werden, die in die v12 von Veeam Backup & Replication Einzug gehalten haben:



Scan Backup

Scan Backup nutzt im Grunde die Funktion Secure Restore ⧉ (Voraussetzungen und Einschränkungen hier ⧉ ), mit Hilfe welcher die aus dem Backup heraus am Mountserver virtuell verbundenen Laufwerke gesicherter Windows Systeme (siehe unten (2) auf das Vorhandensein von Malware geprüft werden können.

Secure Restore - Bildquelle: helpcenter.veeam.com
Darstellung: Secure Restore
(Quelle: helpcenter.veeam.com)

    Dabei musste vor der v12.3 eine
  • X64 Windows kompatible,
  • per Powershell Commandline ansprechbare,
  • einen im Statistic Window eines Scan Jobs wiedergegebenen Exit Code rückliefernde und Job Statistic Window - Exit Codes - Bildquelle: helpcenter.veeam.com
    Darstellung: Job Statistic Window - Exit Codes
    (Quelle: helpcenter.veeam.com)

  • entweder out-of-the-box von VBR ⧉ oder über Anpassung der den Anti-X Einsatz konfigurierenden Antivirusinfos.xml ⧉ (siehe oben (1) unterstützte
    • Anti-X Lösung eingesetzt werden.
Ein "positives" Scan-Ergebnis bot die Möglichkeit, den Restorepunkt trotzdem fertig zu scannen oder aber eine weitere Prüfung sofort abzubrechen.
Sehr häufig gab es hier dann den Wunsch, dass Veeam dann doch den nächstälteren Restorepoint scannen sollte um einen nicht kontaminierten Backup-Stand zu finden.
Dafür hat es aber früher YARA Regeln ⧉ (mehr zur praktischen Nutzung von YARA gibt es hier ⧉) benötigt.

Aber jetzt nicht mehr
Wie man zu Scan Backup kommt hat sich nicht verändert -
    in der VBR Navigation
  • Home auswählen
  • gefolgt von Backups
  • dann je nachdem Auswahl von Disk oder eine der anderen Backup Datentypen (Copy/Orphaned/Imported/Exported/Object Storage)
  • gefolgt von der Job- und Systemauswahl
  • und Rechtsklick auf Scan Backup...
Scan Backup Settings - Bildquelle: helpcenter.veeam.com
Darstellung: Scan Backup Settings
(Quelle: helpcenter.veeam.com)

  • Die erste Option Find the last clean restore point setzt nun genau die gewünschte Vorgangsweise um - ein Scan vom jüngsten Backupstand weg, um eben das erste nicht kontaminierte Backup zu finden (im Idealfall eben das aktuellste und als erste geprüfte Backup).

  • Bei der zweiten Option Find the last clean restore point in range kann die Prüfung der die vorhandenen Backups zusätzlich einen bestimmten Zeitraum beschränkt werden, um das in eben diesem Zeitraum aktuellste, potentiell nicht verseuchte Backup zu finden.

  • Die dritte Option Scan content of all restore points in range prüft schliesslich ALLE Backups im definierten Zeitraum durch.

Scan Backup - Find the last clean restore point - Bildquelle: helpcenter.veeam.com
Darstellung: Scan Backup - Find the last clean restore point
(Quelle: helpcenter.veeam.com)

Im oben verwendeten Screenshot ist am betreffenden Mountserver nur der Veeam Threat Hunter vorhanden. Sollte am Mountserver aber schon eine Anti-X Engine eines Dritt-Herstellers vorhanden sein, kann diese statt dem Threat Hunter in der Signature Detection Einstellung der Malware Detection Settings (über das Hauptmenü oder aber hier über Hauptmenü zugänglich) ausgewählt werden:

Signature Detection: Auswahl des AV Scanners - Bildquelle: helpcenter.veeam.com
Darstellung: Signature Detection: Auswahl des AV-Scanners in den Malware Detection Settings
(Quelle: helpcenter.veeam.com)

Statt Scan restore points with Veeam Threat Hunter lautet die Option von Scan Backup dann:
Scan restore points with your existing antivirus software Change..., wobei Change... dann eben die Signature detection Einstellung aufruft.

Threat Hunter

Alternativ
Mit Threat Hunter bietet Veeam eine Alternative bzw. Ergäzung zu Anti-X Lösungen von Dritt-Herstellern, wobei beide am Mountserver (Infos zu dieser Veeam VBR Rolle gibt es hier ⧉ ) installiert sein und jeweils alternativ ausgewählt werden können.

Threat Hunter wird entweder bei einer neuen Installation von VBR v12.3 auf dem/den Mountserver/n installiert bzw. wird/werden diese/r beim Update des VBR auf v12.3 damit ausgestattet. Es handelt sich dabei um eine Scan-Engine, die in der Lage ist, signaturbasiert alle Laufwerke eines gesicherten (Windows) Systems über virtuelle Anbindung an den Mountserver parallel auf das Vorhandensein von Viren und Malware zu prüfen.

Für die Aktualisierung der Signaturen müssen sowohl der VBR- als auch der Mountserver über den Port 443 Internetzugang haben - dies kann ggfs. auf die Server vbr.butler.veeam.com und autolk.veeam.com beschränkt werden (die Verbindung nur über einen https Proxy sollte zwar möglich sein, dies wurde aber nicht überprüft - bei Problemen siehe dazu vllt. hier ⧉ ).

    Das Scan-Ergebnis kann über
  • die Home Ansicht,
  • Inventory und
  • Last 24 hours
  • und Doppelklick auf die gewünschte Scan Backup Session
    • oder
  • Statistics im Ribbon oben


    • oder
  • mit Rechtsklick auf die betreffende Session und
  • Statistics


    • sowie
  • über die History und
  • nachfolgend Inventory und
  • Jobs
  • mit Doppelklick auf die gewünschte Scan Backup Session aufgerufen werden.


Die Backup Scanning Tools Web Console

One more thing!
Hierbei handelt es sich um ein Community Projekt von Steve Heart ⧉ , mit Hilfe dessen diverse manuelle Scans möglich sind. Backup Scanning Tools Web Console - Bildquelle: via community.veeam.com
Darstellung: Backup Scanning Tools Web Console
(Quelle: community.veeam.com)

Ein Versuch könnte sich lohnen! (:

Verfasst am 20250303 von C. Pfleger