Analyse Hyper-V
La version actuelle de l'analyse Hyper-V prend en charge l'analyse d'un système virtuel en ligne ou hors ligne dans Hyper-V. Les types d'analyse pris en charge selon le système Windows Hyper-V hébergé et l'état du système virtuel sont affichés ici :
Systèmes virtuels avec fonctionnalité Hyper-V |
Machine virtuelle en ligne |
Machine virtuelle hors ligne |
---|---|---|
Windows Server 2022 Hyper-V |
lecture seule |
lecture seule/nettoyage |
Windows Server 2019 Hyper-V |
lecture seule |
lecture seule/nettoyage |
Windows Server 2016 Hyper-V |
lecture seule |
lecture seule/nettoyage |
Windows Server 2012 R2 Hyper-V |
lecture seule |
lecture seule/nettoyage |
Windows Server 2012 Hyper-V |
lecture seule |
lecture seule/nettoyage |
Configuration matérielle
La performance du serveur ne devrait pas être affectée lors de l'exécution de machines virtuelles. L'activité d'analyse utilise principalement les ressources du processeur. Pour analyser les MV en ligne, de l'espace disque libre est requis. L'espace disque libre doit être au moins le double de l'espace utilisé par les points de reprise/captures d'écran et les disques virtuels.
Limitations spécifiques
•L'analyse sur stockage RAID, des volumes fractionnés et des disques dynamiques n'est pas prise en charge en raison de la nature des disques dynamiques. Par conséquent, il est recommandé d'éviter d'utiliser les disques dynamiques dans votre MV, si possible.
•L'analyse est toujours effectuée sur la machine virtuelle en cours et n'affecte pas les points de contrôle ou les instantanés.
•L'exécution d'Hyper-V sur un hôte dans la grappe n'est actuellement pas prise en charge par ESET Server Security.
Bien qu'ESET Security prenne en charge l'analyse du disque virtuel MBR, l'analyse en lecture seule est la seule méthode prise en charge pour ces cibles. Il est possible de modifier ce paramètre dans Configuration avancée (F5) > Detection engine > Analyse Hyper-V > ThreatSense Paramètres > Secteurs d'amorçage. |
La machine virtuelle qui doit être analysée est « hors ligne » - mise en Arrêt
ESET Server Securityutilise la gestion Hyper-V pour détecter et se connecter aux disques virtuels. Ainsi, ESET Server Security a le même accès au contenu des disques virtuels, comme s'il accédait aux données et aux fichiers de n'importe quel lecteur générique.
La machine virtuelle qui doit être analysée est « en ligne » - En cours d'exécution, Suspendue, Enregistrée
ESET Server Securityutilise Gestion Hyper-V pour détecter et se connecter aux disques virtuels. Une connexion réelle à ces disques n'est pas possible. Par conséquent, ESET Server Security crée un point de reprise ou une capture d'écran de la machine virtuelle, puis se connecte au point de reprise ou à la capture d'écran. Une fois l'analyse terminée, le point de reprise ou la capture d'écran est supprimé. Cela veut dire que l'analyse en lecture seule peut être exécutée, parce que l'activité d'analyse n'a aucune répercussion sur la machine virtuelle.
Prévoyez une minute pour que ESET Server Security crée un instantané ou un point de contrôle lors de l'analyse. Il serait utile d'en tenir compte lorsque vous exécutez une analyse Hyper-V sur un grand nombre de machines virtuelles.
Convention de dénomination
Le module d'analyse Hyper-V utilise la convention de dénomination suivante :
VirtualMachineName\DiskX\VolumeY
Où X représente le nombre de disques et Y le nombre de volumes. Par exemple :
Computer\Disk0\Volume1
Le suffixe numérique est ajouté en fonction de l'ordre de détection et est identique à l'ordre qui apparaît dans le Gestionnaire de disques de la MV. Cette convention de dénomination est utilisée dans le menu déroulant arborescent des cibles à analyser dans la barre de progression et les fichiers journaux.
Effectuer une analyse
•À la demande - Cliquez sur Analyse Hyper-V pour consulter la liste des machines virtuelles et des volumes disponibles pour l'analyse. Sélectionnez la(les) machine(s) virtuelle(s), le(s) disque(s) ou le(s) volume(s) que vous souhaitez analyser et cliquez sur Analyser.
•Pour créer une nouvelle tâche planifiée :
•À l'aide d'ESET PROTECT en tant que tâche client nommée Analyse du serveur.
•Il est possible de démarrer et de gérer l'analyse Hyper-V par eShell.
Il est possible d'effectuer plusieurs analyses Hyper-V en même temps. Vous recevrez une notification avec un lien pour consigner des fichiers lorsque l'analyse est terminée.
Problèmes possibles
•Lors de l'exécution de l'analyse d'une machine virtuelle en ligne, un point de contrôle ou un instantané de la machine virtuelle en question doit être créé. Lors de la création d'un point de contrôle ou d'un instantané, certaines actions génériques de la machine virtuelle peuvent être limitées ou désactivées.
•Si une machine virtuelle hors ligne est analysée, elle ne peut être mise en marche tant que l'analyse n'est pas terminée.
•Le gestionnaire Hyper-V vous permet de donner le même nom à deux machines virtuelles différentes, ce qui peut être problématique lorsque vous voulez différencier les machines en consultant les journaux d'analyse.
Pour créer un nouveau profil, sélectionnez Modifier à côté de Liste des profils, entrez votre propre Nom de profil et cliquez sur Ajouter. Le nouveau profil s'affiche dans le menu déroulant Profil sélectionné qui répertorie les profils de d'analyse existants.
Le menu déroulant Cibles d'analyse pour Hyper-V permet de sélectionner des cibles prédéfinies à analyser :
Par paramètres de profil |
Sélectionne les cibles dans le profil d'analyse sélectionné. |
---|---|
Toutes les machines virtuelles |
Sélectionne toutes les machines virtuelles. |
Machines virtuelles allumées |
Sélectionne toutes les machines virtuelles en ligne. |
Machines virtuelles éteintes |
Sélectionne toutes les machines virtuelles hors ligne. |
Aucune sélection |
Efface toutes les sélections. |
Cliquez sur l’icône et modifiez l’intervalle pour arrêter l’analyse si elle dure plus de (minutes) et utilisez plutôt une durée de préférence (située entre 1 et 2880 minutes).
Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. Une fois toutes les analyses terminées, cochez la case Fichiers journaux > Analyse Hyper-V
Protection d'Hyper-V et de l'apprentissage automatique
Le signalement est effectué par le moteur de détection et le composant d'apprentissage machine.
Permet de modifier les paramètres d’analyse pour l’analyse Hyper-V.