Как использовать функционал антивируса в 5nine Cloud Security

5nine Cloud Security
В данном руководстве будет рассмотрена еще одну функцию 5nine Cloud Security – это Антивирус. На данный момент используется возможности движка Касперский антивирус. Функция антивируса может работать в одном из двух режимов:
  1. Активная защита. Защита виртуальной машины в режиме реального времени с помощью агента, включая антивирусную проверку файлов в режиме On access.
  2. Безагентный антивирус. Сканирование файлов на виртуальных дисках ВМ по расписанию. Сканирование происходит на уровне гипервизора.
Функция безагентного антивируса работает на основе заданий, которые можно запустить немедленно, отложить на нужное время или запускать по расписанию в удобное время.
 
Активная защита
Давайте подробнее рассмотрим эти принципы на нашем примере. Допустим, что нам необходима активная защита для нашей ВМ test-1_vm01. Активная защита контролирует систему в режиме реального времени с помощью агента активной защиты. Этот агент сначала необходимо установить отдельно на каждой защищаемой виртуальной машине. Выделяем левой кнопкой мыши нашу ВМ, переходим на вкладку AntivirusActive Protection в правой панели главного окна 5nine Cloud Security.
 
 
5nine Cloud Security автоматически определяет наличие агента активной защиты на каждой конкретной виртуальной машине, как показано на изображении выше.
Здесь мы видим, что агент активной защиты не установлен на виртуальной машине, и на вкладке Active Protection доступна кнопка Install Agent:
 
 
Важно: Перед тем как устанавливать агента активной защиты, убедитесь, что на виртуальных машинах нет других активных агентов или антивирусного ПО, поскольку их наличие может привести к конфликтам в работе.
Примечание: Если агент уже установлен на виртуальной машине, на вкладке Active Protection появится кнопка Remove Agent (если необходимо удалить агента). Также  вы сможете обновить определения вирусной базы (Update AP Definitions), используемые активной защитой:
 
 
Чтобы установить агент активной защиты на виртуальной машине, нажмите Install Agent на вкладке Active Protection. 5nine Cloud Security инициирует установку агента активной защиты на текущую виртуальную машину.
Чтобы удалить агент активной защиты с виртуальной машины, нажмите Remove Agent на вкладке Active Protection. 5nine Cloud Security инициирует удаление агента активной защиты с текущей виртуальной машины.
Примечание. Каждый раз, когда вы нажимаете кнопки Install Agent или Remove Agent, текущая виртуальная машина получает статус Reboot Required. Перезагрузка необходима для установки и удаления ПО агента активной защиты на/из гостевой ОС. Без перезагрузки агент (и соответственно функция антивируса) работать не будет!
В этом вы можете убедиться если перейдете во вкладку Reboot Аction и увидите необходимые действия для установки агента активной защиты:
 
Здесь мы можем выбрать Reboot Scheduler для того, чтобы выбрать время для перезагрузки виртуальной машины:
 
 
Или выбрать Reboot Now для немедленной перезагрузки ВМ.
Примечание: Перезагрузка виртуальной машины так же может потребоваться в следующих случаях:
1) Чтобы переместить угрозы, выявленные безагентным антивирусным сканированием, в папку карантина или дезинфицировать файлы;
2) Чтобы удалить угрозы из карантина или восстановить угрозы;
Каждый раз, когда необходима перезагрузка, 5nine Cloud Security запросит у вас подтверждение этого действия, и вы сами можете решить, когда ее выполнить.
Так как у нас, на нашей ВМ сейчас никакой нагрузки нет, и не проводятся работы, выбираем Reboot Now. После перезагрузки заходим в ОС нашей виртуальной машины, открываем Диспетчер задач и видим среди активных фоновых процессов установленный агент - 5nine Active Protection Agent:
 
 
А на вкладке Antivirus Active Protection главного окна 5nine Cloud Security мы видим уведомление, что наш агент запущен и активная защита активирована – Agent running. Active protection enabled
 
Теперь проверим работает ли наша активная защита. Для примера, скопируем файл вредоносной утилиты HackTool.Win32.Kiser.un под именем библиотеки clldr.dll на нашу виртуальную машину:
 
Здесь мы видим, что файл скопирован на рабочий стол нашей ВМ, но активность процесса 5nine Active Protection Agent находится на нуле. Далее попробуем открыть данный файл и соответственно, т.к. этот файл библиотеки, он не откроется и нам будет отказано в доступе, но мы видим, что активность процесса 5nine Active Protection Agent значительно увеличилась
 
 
И по истечении небольшого промежутка времени файл вируса будет перемещен в папку карантина
5nineActiveProtection:
 
 
Примечание: Все угрозы, обнаруженные агентом активной защиты или в ходе сканирования безагентным антивирусом, перемещаются в назначенную папку карантина, расположенную на каждой виртуальной машине по следующему адресу:
- Для безагентного антивируса: C:\5nine.QAR\;
- Для агента активной защиты: C:\ProgramData\5nine\5nineActiveProtection\Quarantine

Обнаружение вируса отображается в нижней части главного окна консоли 5nine Cloud Security, на вкладке Antivirus jobs мы можем увидеть соответствующее событие:

 

Здесь в дальнейшем, будут отображаться все события карантина для всех видов антивирусной защиты.

Безагентный антивирус

Теперь рассмотрим такой вариант, когда нас не устраивает установка агента антивирусной защиты непосредственно на ВМ, и нам необходимо чтобы проверка на вирусы выполнялась на основе заданий и в определенное время. Для этого нам лучше всего создать повторяющееся задание антивируса. Чтобы это сделать запустите мастер Antivirus, выбрав Create Job из раскрывающегося меню в верхней левой части вкладок Antivirus jobs или AV scheduled jobs, и выберите Scan VMs

 

Введите имя задания и нажмите Next. Затем выберите объекты для сканирования:

 

Важно: в этом списке выбирайте только ВМ, не пытайтесь выбрать для проверки целый узел или все узлы вместе, т.к. это ни к чему не приведет и сканироваться будут только конкретно Ваши ВМ!!!

Отметьте необходимые ВМ, чтобы включить их в задание и нажмите Next. Потом выберите типы файлов для сканирования:

 

 
Вы можете выбрать один из двух вариантов:
- «Scan all files» – будут проверены все файлы виртуальной машины.
- «Allow me to control exactly what is scanned» (default option) – будут проверены только определенные типы файлов, расширения которых вы отметили. Существует список типов файлов по умолчанию, который рекомендуется использовать. Однако вы можете его отредактировать, добавив или удалив расширения файлов. Нажмите кнопки Add или Remove, чтобы добавить или удалить расширения.
Чтобы включить файлы без расширений в процесс сканирования, включите функцию Scan files with no extensions (отключена по умолчанию). Чтобы восстановить настройки по умолчанию, нажмите кнопку Restore defaults.
Укажите местоположение в гостевой ОС, которое будет исключено из сканирования, или укажите, если необходимо принудительно запускать полное сканирование:
 
 
Отметьте «Full scan», чтобы принудительно запустить полное сканирование, независимо от полученных результатов отслеживания измененных блоков данных (CBT). Если вы не поставите отметку, тип сканирования будет установлен соответственно учтенным данным CBT для каждой ВМ: будет произведено первоначальное полное сканирование, а последующие сканирования будут инкрементальными (что значительно уменьшает время сканирования и нагрузку на ВМ).
- Установите требуемый уровень журнала: выберите Standard или Maximum в списке Log level. Уровень определит, насколько подробно будет вестись журнал антивируса.
- С помощью кнопок Add, Edit и Remove вы можете добавить, отредактировать или удалить местоположение.
Нажмите Next и установите расписание для выполнения задания:
 

 

Важно: Когда вы будете задавать расписание для повторяющегося антивирусного сканирования помните, что если ваша ВМ находится в бэкапе, то старт задания лучше не назначать на ночное время, т.к. ночью выполняется резервное копирование и сканирование на вирусы не сможет быть выполнено!!!

Проверьте все настройки и подтвердите создание нового задания, нажав Finish.
 
Задание появится на вкладке Antivirus jobs, если оно запущено немедленно, либо на вкладке AV scheduled jobs, если для него настроено расписание, или оно отложено.
 
 
В нашем случае мы видим, что наше антивирусное задание запущено и можем отслеживать его статус и прогресс.
 
Примечание: Все активные на текущий момент и уже завершенные задания отображаются на вкладке Antivirus jobs для каждой отдельной ВМ, которая выбрана в дереве.
Во время выполнения задания вы можете посмотреть процент выполнения, а также приостановить, возобновить или остановить (прервать) сканирование.
 
Чтобы приостановить сканирование, выберите задание, которое выполняется в текущий момент, и нажмите кнопку Pause
 
 
Чтобы возобновить прерванное сканирование, выберите приостановленное задание и нажмите кнопку Resume
 
 
Чтобы прервать сканирование, выберите задание, которое выполняется в текущий момент, и нажмите кнопку Stop.
Все отложенные и запланированные задания отображаются на вкладке AV scheduled jobs:
 
 
Чтобы отредактировать существующее задание, выберите задание и нажмите кнопку Edit – откроется тотже мастер Antivirus wizard, который вы открывали для создания нового задания.
Чтобы удалить задание, выберите его и нажмите кнопку Remove.
 
Примечание: Если на ВМ обнаружена вредоносная программа в результате любого регулярного сканирования, угрозы перемещаются в назначенную папку карантина на гостевой ОС. Для этого (для перемещения в карантин) потребуется перезагрузить целевую ВМ. Если вредоносная программа обнаружена на определенной виртуальной машине и её соответственно надо перезагрузить, то ей присваивается статус Reboot Required.
 
Проверим теперь как работает безагентная защита, перед тем как запустить антивирусное задание, мы скопировали на нашу ВМ файл вредоносной утилиты Kaspersky_Reset_Trial_5.0.0.112, которая содержит вирус  HackTool.Win32.HackAV.c
 
 
Запускаем антивирусное задание и следим за прогрессом:
 
 
После того как проверка завершилась, в поле label мы видим восклицательный знак, в поле Status запись Infected (инфицированный) это говорит о том, что найден вирус.
 

 

Внизу мы видим уведомление о том, что была найдена угроза  HackTool.Win32.HackAV.c по месту расположения нашей вредоносной утилиты, и она ожидает карантина (запись Pending Quarantine в поле Event Type).

Далее переходим во вкладку Reboot Action и видим, что требуется перезагрузка нашей ВМ, чтобы удалить эту угрозу:

 

Перезагружаем ВМ и видим, что файл вредоносной утилиты с рабочего стола удален, а в уведомлении внизу главного окна, в поле Event Type запись Quarantine, которая говорит о том, что наш вредоносный файл перемещен в карантин. 

 
Чтобы убедиться в этом, вы можете зайти на ВМ, и пройти по адресу папки карантина - C:\5nine.QAR\ и увидеть перемещенный объект:
 

Примечание: Папки карантина для активной защиты и безагентного антивируса по умолчанию скрыты.

Add Feedback