Detección de anomalías en Netbackup

Enrique Pereira Calvo Uncategorized

Introducción

 

Desde la versión 9.1, Netbackup puede detectar, utilizando inteligencia artificial, anomalías en las copias de seguridad basándose en sus metadatos. Para ello está analizando los resultados de las copias de seguridad e intentando detectar cambios sospechosos que puedan indicar que un ransomware nos esté cifrando los datos:

 

  • Cambios en el número de ficheros
  • Cambios en el tamaño
  • Cambios en la duración de las copias de seguridad

 

Esta detección nos puede generar una alerta temprana de que algo raro está sucediendo en nuestro entorno, ayudándonos en situaciones como ransomware y además ayudándonos a detectar cuales son las copias de seguridad válidas antes de la infección.

 

 

Configuración

 

Para activar la detección en Netbackup 10.0, iremos a la opción «Detection and reporting del WebUI», y seleccionaremos la opción «Anomaly detection settings» en la parte superior derecha y podremos elegir «Enable anomaly data gathering, detection service and events»:

 

 

Si estamos en la versión 9.1 de Netbackup, para activarlo es necesario copiar el fichero de plantilla situado en el master para crear una nueva configuración:

 

  • Copiar el fichero anomaly_config.conf.template con el nombre anomaly_config.conf

 

Este fichero está situado en:

 

  • Windows: Install_Path\NetBackup\var\global\anomaly_detection
  • Linux: /usr/openv/var/global/anomaly_detection

 

Una vez copiado lo editaremos para personalizarlo:

 

[ANOMALY_DETECTION_FUNCTIONALITY]

DISABLE_ANOMALY_DETECTION=0

DISABLE_DETECTION_SERVICE=0

DISABLE_ALERT_SERVICE=0

[ANOMALY_DETECTION_SENSITIVITY]

SENSITIVITY_PERCENTAGE=0

[DATABASE_SETTINGS]

PURGE_DATA_INTERVAL_IN_MONTHS=12

[DATA_GATHER_SETTINGS]

LIVE_DATA_GATHER_FREQUENCY_IN_MIN=15

 

Una vez modificado el sistema nos avisará de las anomalías que detecte. Será necesario primero un periodo de aprendizaje, tras el cual si una copia de seguridad varía mucho frente a las anteriores veremos una alerta en pantalla principal del WebUI:

 

 

Si hacemos click en la anomalía, podremos ver los detalles:

 

 

En este caso, ha habido cambio en el número de ficheros, en la cantidad de datos transferidos, en el ratio de deduplicación y en el tiempo total del job, lo que nos puede dar una información valiosa para revisar si es una situación normal o alguien nos pueda estar cifrando ficheros, por ejemplo.

 

Referencias

 

About backup anomaly detection

Veritas NetBackup ™ Security and Encryption Guide

Backup Anomaly and Detection – NetBackup 9.1

 

 

2 comentarios en “Detección de anomalías en Netbackup”

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *