Bonjour et bienvenue à tous. Je m’appelle Sonali et je fais partie de l’équipe Technical Marketing Engineering. Dans cette vidéo, nous allons parler de l’amélioration de la détection des anomalies dans la version 19.22 de Dell PowerProtect Data Manager. Ainsi, les conditions préalables pour la détection des anomalies dans PowerProtect Data Manager restent les mêmes.
Autrement dit, le cluster de recherche doit être configuré et actif. Et l’indexation doit être activée dans la politique de protection. Nous continuons à prendre en charge les machines virtuelles, les systèmes de fichiers et la charge applicative NAS, même dans cette nouvelle version. Parlons maintenant des nouveautés de la version 19.22. La première chose que nous introduisons dans cette version est la page dédiée à la détection des anomalies, qui sera disponible dans l’interface utilisateur sous « Administration » > « Détection des anomalies », comme indiqué ici. Ensuite, nous introduisons également des exclusions globales via une règle de détection des anomalies par défaut. Celle-ci est également disponible à partir de la même page dédiée sous l’onglet « Paramètres ». Voyons maintenant en détail chacune de ces améliorations. À commencer par la page dédiée à la détection des anomalies.
Avec la page dédiée à la détection des anomalies, l’investigation des ransomwares et la réponse intelligente aux menaces sont rationalisées grâce à la gestion centralisée des anomalies. Nous pouvons maintenant procéder à l’analyse des anomalies en générant et en téléchargeant un rapport et en prenant les mesures correctives, par exemple en marquant la copie comme vérifiée, enregistrée ou mise en quarantaine, ou en signalant les faux positifs en configurant les exclusions à partir d’une interface centralisée. Cela transformerait l’environnement de sauvegarde en plate-forme d’intelligence de sécurité. Voyons maintenant où se trouve cette page dédiée dans l’interface graphique de PowerProtect Data Manager. Nous nous connectons donc à PowerProtect Data Manager et allons sur la page « Administration » Anomaly Detection. Voici notre page dédiée à la détection des anomalies, avec les onglets Analysis et Settings. Sous « Analysis », nous avons « Assets » qui répertorie tous les actifs pour lesquels la détection des anomalies est activée dans le cadre de la politique. Pour sélectionner une ressource, nous pouvons cliquer sur View Copy pour afficher les copies de cette ressource particulière et nous pouvons marquer une copie comme étant sécurisée ou mise en quarantaine en fonction de l’analyse que nous effectuons en générant le rapport, puis en le téléchargeant. Ici, nous voyons également la gravité de l’anomalie déclenchée par chacune de ces copies, et la gravité de l’anomalie de la dernière copie correspond à ce que vous voyez, même dans la ressource. Nous analysons donc ici le rapport que nous venons de télécharger. Une fois qu’elle a été analysée, nous pouvons revenir en arrière et marquer cette copie comme étant sûre en quarantaine. Supposons que nous marquons la copie et que nous souhaitions l’examiner plus en détail. Notez que lorsque nous marquons une copie comme enregistrée pour la mise en quarantaine, tout cela est enregistré sous audit. Nous le signalons donc ici comme une quarantaine pour une enquête plus approfondie. Nous allons donc en prendre note. Et maintenant, la même copie peut également être restaurée à partir de la même page centralisée. Donc, même la restauration peut être faite à partir d’ici. L’Assistant « Restore » reste le même.
Tous les « objectifs » restent les mêmes. Là où vous restaurez l’emplacement de restauration, tout reste le même, comme indiqué dans le volet de restauration. Nous allons donc voir ici que nous restaurons le fichier sur une nouvelle machine virtuelle, nommée « Restore_VM_Quarantine_Copy », et nous fournirons également une note indiquant que nous procédons pour une enquête plus approfondie. Donc, à partir de maintenant, nous allons annuler cette restauration. C’était juste pour mettre en valeur. Ensuite, nous allons vous montrer que même à partir de l’actif ou de l’onglet des actifs dont nous disposons, nous pouvons effectuer l’analyse en cliquant sur le rapport. Une génération ou un téléchargement peut également être effectué à partir d’ici. L’autre chose ici à partir de cette page est que nous pouvons également appliquer le filtre avec le type de ressource ou avec la gravité de l’anomalie. Tout cela peut être fait et appliqué et nous verrons ici. Pour l’instant, j’ai filtré toutes les ressources de la machine virtuelle. Ici, je veux vous montrer les journaux d’audit.
Par conséquent, tout ce que nous faisons sur notre page centralisée est également audité et enregistré dans les journaux d’audit de PowerProtect Data Manager, de sorte que nous avons mis en quarantaine une copie qu’il a enregistrée et noté. Voyons maintenant la deuxième amélioration, qui est la « Règle de détection des anomalies par défaut ». Par conséquent, par défaut, l’utilisateur de la règle de détection des anomalies peut créer la stratégie d’exclusion globale par défaut pour la détection des anomalies sur toutes les ressources existantes dans la stratégie sur lesquelles la détection des anomalies est activée. Cela réduira le nombre de faux positifs dans l’ensemble de l’environnement en utilisant ces exclusions au niveau de la politique. Prenons maintenant un peu de recul pour expliquer ce qui se passe en arrière-plan lorsque la règle de détection des anomalies par défaut est lancée ou créée. Par conséquent, ce qu’il fait dans la règle de détection des anomalies va regrouper tous les modèles uniques et le contexte système détectés en tant qu’anomalies et les inclure dans un seul groupe. Cela crée une règle globale de détection des anomalies par défaut pour. Cela étant dit, elle offre également la flexibilité nécessaire pour les modifications au niveau des actifs. Pour ce faire, même avec la règle par défaut, les utilisateurs existants peuvent toujours ajouter des exclusions au niveau de la ressource ultérieurement, si nécessaire. Voyons maintenant comment créer cette règle de détection des anomalies et où elle réside réellement. Nous allons donc accéder à la page dédiée à la détection des anomalies sous « Administration » et « Détection des anomalies ». L’onglet « Settings » permet de créer notre règle de détection des anomalies. Une fois que vous avez cliqué dessus, le processus d’initiation démarre où il agrège toute la configuration déjà existante au niveau de la ressource. Et ce faisant, cela ne veut pas dire que nous ne pouvons pas faire de l’exclusion au niveau des actifs.
Nous pouvons toujours le faire plus tard, si nécessaire, pour n’importe quel actif. Nous pouvons toujours modifier la règle qui a été créée. Donc, par défaut, il faut une sensibilité aussi faible. Et ce sont tous les modèles uniques qu’il a reconnus. Par conséquent, si nous devons apporter des modifications, nous pouvons le faire et le modifier en fonction des exigences de l’environnement. Enregistrons cette règle. Nous pouvons également configurer cette détection des anomalies à partir de la ressource, comme nous l’avons dit ultérieurement pour les exclusions que nous avons effectuées. Une fenêtre contextuelle s’affiche donc pour indiquer si nous voulons opter pour la règle de détection des anomalies ou si nous voulons exclure spécifiquement cette ressource particulière.
Ainsi, lorsque nous procédons à l’exclusion spécifique à la ressource, nous commençons à obtenir le même ensemble d’exclusions, l’endurance du système et les inclusions de modèle de fichier, et nous pouvons effectuer la modification en conséquence. Nous avons donc le choix entre les exclusions au niveau des ressources ou les exclusions globales de la règle par défaut. Par conséquent, tout ce que nous faisons, même sur notre page dédiée à la règle de détection des anomalies par défaut, est enregistré dans le journal d’audit. Ainsi, au fur et à mesure que nous créons la règle ou que nous la mettons à jour ou la modifions, tout est enregistré dans ce journal d’audit. Voilà pour la règle par défaut de détection des anomalies, qui est à nouveau disponible sur la page dédiée. Merci à tous de votre attention.
