Backup Exec 是如何進行異常檢測的？

出處：VERITAS 中文社區

從“鎖定備份——資料只能由平臺支援的進程修改、移動或刪除”、“強化系統安全性——只有獲得存取權限的人才能修改備份流程”到“異常檢測——監控作業中繼資料”，如今，Backup Exec 已是保護企業資料免受勒索軟體侵害的關鍵資源。

本文，我們將解析 Backup Exec 最新版本新增的勒索防禦增強功能 - 跨系統異常檢測，看 Backup  Exec 如何有效監控備份，幫助 IT 及時發現由於勒索軟體攻擊等任何事件而導致的異常備份模式。

跨系統異常檢測是 Backup Exec 22 最新引入的防勒索韌性功能，支援自動監控備份資料並對任何潛在風險發出警報，以幫助用戶有能力快速回應潛在威脅。

對於異常檢測，作業中繼資料涵蓋以下參數：

• 備份時間

• 備份組大小

• 備份項目計數

• 重復資料刪除率
• 通過網路傳輸資料
  

異常檢測根據以下作業配置將每個中繼資料集劃分到不同的集群中：

• 職位編號
• 工作類型
• 伺服器作業系統類型
• 存儲名稱

異常檢測引擎監視每個備份的中繼資料，並將作業中繼資料放置在不同的基於集群的作業配置中，以瞭解每個作業的模式。

異常檢測功能

異常檢測功能監視每個作業配置的模式。需要運行 30 次作業才能啟動異常檢測引擎並檢測作業中繼資料中的異常。如果任何參數不符合通常的模式並且脫離集群，則引擎將報告為異常。異常分數是根據其與正常範圍的偏差來計算的，系統根據分數計算異常的嚴重程度。如果任何備份報告異常，則會發出警報。

系統每小時針對所有掛起的作業運行批量作業，執行異常檢測分析。

Backup Exec 主頁選項卡中具有用於報告異常檢測的新小部件，可提供有關過去 7 天、15 天和 30 天檢測到的異常數量的資訊，還具有管理異常的選項。

異常檢測對話方塊

此對話方塊顯示有關過去 7 天內檢測到的作業異常的資訊。可以檢測一個或多個中繼資料參數的異常。

使用者可以使用“應用篩檢程式”選項過濾異常情況。每頁最多顯示 100 個異常。 要查看下一組異常，請按一下“下一步”。

報告的異常操作：

1，報告為誤報：

如果由於某些預期變化（例如備份資料的增加 / 更改）而發生報告的異常，則該異常可能會報告為誤報。當異常被報告為誤報時，異常檢測引擎將作業中繼資料視為用於訓練本身的學習資料，並且具有相似中繼資料的相同作業的下一次運行不會被報告為異常。

2，確認異常：

如果出於測試目的而臨時更改備份資料並報告異常，則可以將其標記為“確認為異常”。這只是從 Backup Exec 資料庫中刪除異常資訊，但不會將其視為訓練資料。

Backup Exec 團隊不斷改進產品，努力加強對備份副本和流程的防禦，為中小型企業提供終極勒索軟體韌性解決方案，讓 IT 對資料保護策略充滿信心。

Veritas 建議，企業可採取以下三種主要策略，幫助防範惡意攻擊威脅，降低潛在風險：

• 定期備份最重要的檔是對抗勒索軟體的最有效措施。
• 確保經常修補和升級所有基礎設施、作業系統和軟體應用程式。
• 實施網路安全使用者意識和培訓計畫，其中包括如何識別和報告可疑活動的相關指導。

更多企業資料保護管理洞察，歡迎聯繫敦新科技 Veritas 事業部：Dw_veritas@dawningtech.com.tw