備份作業被系統自動“叫停”，怎麼回事？

出處：VERITAS 中文社區

本來好端端正常運行的備份作業，突然間就被系統按下了“暫停鍵”，怎麼回事？

這邊備份管理員小張還在一臉問號，那邊安全頭子老王已經收到了來自安全運營中心（SOC）的警告：警報，備份系統發現異常！備份系統發現異常！

如上圖所示，NetBackup 現有一個「Protection Status」（保護狀態）顯示，用於展示 NetBackup 用戶端的運行狀態。當惡意軟體掃描報告顯示存在檔感染時，NetBackup 會自動攔截並暫停特定用戶端的資料保護活動，包括將來的備份、複製或複本備份的過程以及備份的過期處理等。

顯然，這種方法有助於阻止惡意軟體在備份環境中傳播蔓延，減少風險和損失。當然，用戶也可以手動暫停 NetBackup 用戶端的作業進程，變更保護狀態。

在沒有監控和管理的情況下，即便 IT 已經建立了資料安全流程，也很難發揮其價值。為了應對這個挑戰，NetBackup  10.2 進一步擴展對安全資訊與事件管理（SIEM）、安全編排、自動化和回應（SOAR）以及擴展檢測和回應（XDR）等安全監控/管理平臺的支援，引入對 Azure Sentinel 的支援。

NetBackup 支援將審計日誌發送到外部 SIEM / SOAR / XDR 安全管理解決方案中，有效監控和管理備份作業。管理員可以選擇將哪些 SIEM / SOAR / XDR 解決方案接收審計日誌，以及發送哪些審計日誌的部分。這些內容選擇可以隨時間改變，適時調整審計資料，以滿足報告要求。

NetBackup 如何將事件發送到 SIEM 平臺

下圖顯示了 NetBackup 如何使用 Azure Sentinel 作為示例將事件發送到 SIEM 平臺。NetBackup 需要一個工作區金鑰和 ID 來連接到 Sentinel。這些通過 Sentinel 的 SIEM WebUI / API 介面在 Sentinel 中生成，並由 NetBackup 主要伺服器存儲和使用。一旦 NetBackup 可以連接到 Sentinel，它會審計自己的日誌，以查找配置為轉發到 Sentinel 的警報類型。然後，選擇的警報將作為審計警報廣播消息發送到 Sentinel。

下面是 NetBackup 審計事件類別的完整列表，括弧中是它們的可讀名稱。

例如，Linux 系統日誌中 ANOMALY_NEW 消息的示例：

對於 Windows 平臺，消息將顯示在 Application Event Viewer 中：

小結：

作為符合企業 IT 安全實踐趨勢的流行工具，SIEM、SOAR 和 XDR 平臺可有效應對 IT 生態系統中不受歡迎的趨勢和未經授權的操作。NetBackup 審計消息現可通過掃描主要伺服器的系統日誌進行自訂過濾，並由 SIEM 平臺消化這些資訊以提供報告、洞察和警報。NetBackup 內的自動回應集成可以適時暫停用戶端作業，以阻止不需要的資料傳播，而 SOAR 集成則允許根據各類別消息的觸發器進一步定制操作。

基於上述強大的安全回應集成能力，通過審計消息，NetBackup 可為企業防範勒索攻擊威脅，有效制定應對計畫增添更多功能、洞察力和控制力。

更多企業資料保護管理洞察，歡迎聯繫敦新科技 Veritas 事業部：Dw_veritas@dawningtech.com.tw