Antivirus fichiers. Analyse des machines virtuelles

Le terme SVM dans cette section désigne une SVM dotée du composant Antivirus fichiers.

Kaspersky Security permet d'exécuter la recherche de virus sur les fichiers des machines virtuelles. Pour éviter la propagation d'objets malveillants, il est nécessaire d'analyser les fichiers des machines virtuelles à intervalle régulier à l'aide de nouvelles bases antivirus.

Kaspersky Security analyse seulement les machines virtuelles pour lesquelles toutes les conditions d'analyse sont satisfaites.

En cas de détection de virus ou d'autres applications malveillantes pendant l'analyse des fichiers des machines virtuelles, Kaspersky Security attribue au fichier le statut Infecté. Si le résultat de l'analyse ne détermine pas clairement si le fichier est infecté (le fichier contient peut-être une séquence de code propre aux virus et aux autres applications malveillantes ou la modification d'un code de virus connu), Kaspersky Security lui attribue également le statut Infecté.

L'analyse des machines virtuelles repose sur l'analyse de signature et l'analyse heuristique. L'analyse de signature repose sur les bases de Kaspersky Security qui contiennent des informations sur les menaces connues et sur les moyens de les neutraliser. L'analyse de signature garantit le niveau admissible minimum de sécurité. Conformément aux recommandations des experts de Kaspersky Lab, cette méthode d'analyse est toujours activée.

L'analyse heuristique est une technologie d'identification des menaces impossibles à reconnaître à l'aide des bases des applications de Kaspersky Lab. L'analyse heuristique permet de détecter des fichiers pouvant contenir une application malveillante absente des bases ou une nouvelle modification d'un virus connu. Après avoir identifié une menace, l'analyse heuristique attribue aux fichiers concernés le statut Infecté.

L'analyse des machines virtuelles utilise toujours le niveau minutieux de l'analyse heuristique, quel que soit le niveau de sécurité sélectionné. L'analyse heuristique exécute un nombre maximal d'instructions dans les fichiers exécutables, ce qui permet d'augmenter la probabilité de détecter des menaces.

Kaspersky Security utilise les tâches d'analyse suivantes :

• Analyse complète. La tâche est lancée sur des SVM que vous avez créées lors de la création d'une tâche et permet d'effectuer une recherche de virus sur toutes les machines virtuelles qui se trouvent sous la protection de ces SVM. Vous pouvez créer une tâche d'analyse complète pour toutes les SVM d'un cluster KSC, pour les SVM de tous les clusters KSC ou pour des SVM séparées. En fonction de cela, la zone d'action de la tâche reprend toutes les machines virtuelles au sein de l'infrastructure protégée d'un cluster KSC, toutes les machines virtuelles au sein de l'infrastructure protégée de tous les clusters KSC ou toutes les machines virtuelles sous la protection d'une SVM distincte.

  Après l'installation des plug-ins, Kaspersky Security crée automatiquement une tâche d'analyse complète pour le groupe d'administration Appareils administrés. La tâche permet d'effectuer une recherche de virus sur toutes les machines virtuelles qui se trouvent sous la protection de ces SVM. Vous pouvez lancer cette tâche manuellement.

• Analyse personnalisée. La tâche est lancée sur toutes les SVM du cluster KSC que vous avez sélectionné lors de la création d'une tâche et permet de réaliser la recherche de virus des machines virtuelles indiquées dans la composition de l'infrastructure protégée du cluster KSC sélectionné. La zone d'action de la tâche d'analyse personnalisée reprend les machines virtuelles que vous avez indiqué dans les paramètres de la tâche. Vous pouvez désigner des machines virtuelles et leurs regroupements distinctes ou désigner les groupes de sécurité NSX (NSX Security Group) dont il faut analyser les machines virtuelles.

En cas d'installation d'une application sur la machine virtuelle qui récolter et transmet des informations pour traitement, Kaspersky Security peut considérer cette application comme malveillante. Pour éviter cela, vous pouvez exclure l'application de la zone d'analyse de la tâche.

Particularités de l'analyse des machines virtuelles :

• Dans le cadre des tâches d'analyse, Kaspersky Security peut analyser les machines virtuelles désactivées avec les systèmes de fichiers NTFS, FAT32, EXT2, EXT3, EXT4, XFS et BTRFS.
• Lors de l'exécution des tâches d'analyse, Kaspersky Security peut analyser les modèles des machines virtuelles.
• Lors de l'analyse des machines virtuelles équipées de systèmes d'exploitation Windows, l'application Kaspersky Security n'analyse pas les fichiers dans les dossiers réseau. Kaspersky Security peut analyser les fichiers dans les dossiers réseau seulement quand l'utilisateur ou une application quelconque sollicite ces fichiers. Si vous voulez régulièrement analyser les fichiers dans les dossiers réseau, vous devez configurer la tâche d'analyse des machines virtuelles sur lesquelles l'accès réseau aux dossiers et aux fichiers a été octroyé et inclure ces dossiers et fichiers dans la zone d'analyse de la tâche.

  Lors de l'analyse de machines virtuelles équipées de systèmes d'exploitation Linux, l'application Kaspersky Security analyse les fichiers dans les systèmes de fichiers réseau CIFS, si les dossiers sur lesquels les systèmes de fichiers réseau CIFS sont montés figurent dans la zone d'analyse de la tâche. L'analyse des fichiers dans les systèmes de fichiers réseau NFS n'est pas prise en charge.

• Pendant l'exécution de l'analyse, une SVM dotée du composant Antivirus fichiers analyse simultanément les fichiers de quatre machines virtuelles au maximum.

Vous pouvez lancer les tâches d'analyse manuellement ou programmer leur exécution.

La progression de l'analyse est illustrée sous l'onglet Tâches de l'espace de travail du dossier portant le nom du cluster KSC pour la SVM duquel vous avez lancé la tâche d'analyse.

Les informations relatives aux résultats de l'analyse et à tous les événements survenus lors de l'exécution des tâches d'analyse sont consignées dans le rapport.

A l'issue de l'analyse, il est conseillé de consulter la liste des fichiers bloqués suite à l'exécution de la tâche et d'exécuter manuellement sur ceux-ci les actions recommandées. Par exemple, enregistrer une copie des fichiers dans un emplacement de la machine virtuelle auquel l'utilisateur n'a pas accès et les supprimer. Il faut exclure préalablement les fichiers bloqués de la protection dans les paramètres du profil attribué aux machines virtuelles, ou provisoirement désactiver la protection des machines virtuelles sur lesquelles ces fichiers ont été bloqués. Les informations relatives aux fichiers bloqués figurent dans le rapport sur les menaces ou dans la sélection d'événements des catégories Fichier bloqué (cf. Documentation de Kaspersky Security Center).