Analyse des machines virtuelles

Le terme SVM dans cette section désigne une SVM dotée du composant Protection contre les fichiers malicieux.

La SVM dotée du composant Protection contre les fichiers malicieux permet de rechercher les virus sur les fichiers des machines virtuelles sur l'hyperviseur VMware ESXi. Pour éviter la propagation d'objets malveillants, il est nécessaire d'analyser les fichiers des machines virtuelles à intervalle régulier à l'aide de nouvelles bases antivirus.

Les paramètres utilisés par les SVM pour analyser les machines virtuelles contre les fichiers malicieux sont définis à l'aide des tâches d'analyse. Kaspersky Security utilise les tâches d'analyse suivantes :

• Analyse complète. La tâche complète permet d'effectuer une recherche de virus sur les fichiers de toutes les machines virtuelles se trouvant dans la zone d'action de la tâche. La zone d'action d'une tâche dépend de l'emplacement de celle-ci dans la hiérarchie des groupes d'administration de Kaspersky Security Center et du plug-in d'administration de Kaspersky Security avec lequel vous créez la tâche.

  La tâche d'analyse complète est créée automatiquement après l'installation du plug-in d'administration principal de Kaspersky Security dans le dossier Appareils administrés du Serveur d'administration principal de Kaspersky Security Center. La tâche permet d'effectuer une recherche de virus sur toutes les machines virtuelles qui se trouvent sous la protection de ces SVM et ne faisant pas partie de l'organisation Cloud Director. Vous pouvez lancer cette tâche manuellement.

• Analyse personnalisée. La tâche permet d'effectuer une recherche de virus sur les fichiers des machines virtuelles indiquées en fonction de la zone d'action de la tâche. La zone d'action d'une tâche dépend de l'emplacement de celle-ci dans la hiérarchie des groupes d'administration de Kaspersky Security Center et du plug-in d'administration de Kaspersky Security avec lequel vous créez la tâche. Dans le cadre de la zone d'action sélectionnée, vous devez indiquer les machines virtuelles à analyser. Vous pouvez indiquer des machines virtuelles séparées, des objets de l'infrastructure virtuelle VMware d'un groupe de niveau supérieur ou d'un groupe NSX (Groups) dont font partie les machines virtuelles dont vous avez besoin.

Vous pouvez lancer les tâches d'analyse manuellement, programmer les tâches d'analyse et afficher des informations sur leur avancement et leurs résultats.

Kaspersky Security analyse seulement les machines virtuelles pour lesquelles toutes les conditions d'analyse sont satisfaites.

En cas de détection de virus ou d'autres applications malveillantes pendant l'analyse des fichiers des machines virtuelles, Kaspersky Security attribue au fichier le statut Infecté. Si le résultat de l'analyse ne détermine pas clairement si le fichier est infecté (le fichier contient peut-être une séquence de code propre aux virus et aux autres applications malveillantes ou la modification d'un code de virus connu), Kaspersky Security lui attribue également le statut Infecté.

La méthode d'analyse Analyse de signature et apprentissage machine intervient dans le cadre de l'analyse des machines virtuelles. L'analyse de signature et l'apprentissage machine garantissent le niveau admissible minimum de sécurité. Kaspersky Security utilise les bases de l'application qui contiennent des informations sur les menaces connues et sur les moyens de les neutraliser. Conformément aux recommandations des experts de Kaspersky, la méthode d'analyse de signature et apprentissage machine est toujours activée.

L'analyse des machines virtuelles repose également sur l'analyse heuristique, une technologie d'identification des menaces impossibles à reconnaître à l'aide des bases des applications de Kaspersky. L'analyse heuristique permet de détecter des fichiers pouvant contenir une application malveillante absente des bases ou une nouvelle modification d'un virus connu. Après avoir identifié une menace, l'analyse heuristique attribue aux fichiers concernés le statut Infecté.

L'analyse des machines virtuelles utilise toujours le niveau minutieux de l'analyse heuristique, quel que soit le niveau de sécurité sélectionné. L'analyse heuristique exécute un nombre maximal d'instructions dans les fichiers exécutables, ce qui permet d'augmenter la probabilité de détecter des menaces.

En cas d'installation d'une application sur la machine virtuelle qui récolter et transmet des informations pour traitement, Kaspersky Security peut considérer cette application comme malveillante. Pour éviter cela, vous pouvez exclure l'application de la zone d'analyse.

Particularités de l'analyse des machines virtuelles :

• Dans le cadre des tâches d'analyse, Kaspersky Security peut analyser les machines virtuelles désactivées avec les systèmes de fichiers NTFS, FAT32, EXT2, EXT3, EXT4, XFS et BTRFS.
• Lors de l'exécution des tâches d'analyse, Kaspersky Security peut analyser les modèles des machines virtuelles.
• Lors de l'analyse des machines virtuelles équipées de systèmes d'exploitation Windows, l'application Kaspersky Security n'analyse pas les fichiers dans les dossiers réseau. Kaspersky Security peut analyser les fichiers dans les dossiers réseau seulement quand l'utilisateur ou une application quelconque sollicite ces fichiers. Si vous voulez régulièrement analyser les fichiers dans les dossiers réseau, vous devez configurer la tâche d'analyse des machines virtuelles sur lesquelles l'accès réseau aux dossiers et aux fichiers a été octroyé et inclure ces dossiers et fichiers dans la zone d'analyse de la tâche.

  Lors de l'analyse de machines virtuelles équipées de systèmes d'exploitation Linux, l'application Kaspersky Security analyse les fichiers dans les systèmes de fichiers réseau CIFS, si les dossiers sur lesquels les systèmes de fichiers réseau CIFS sont montés figurent dans la zone d'analyse de la tâche. L'analyse des fichiers dans les systèmes de fichiers réseau NFS n'est pas prise en charge.

• Pendant l'exécution de l'analyse, une SVM dotée du composant Protection contre les fichiers malicieux analyse simultanément les fichiers de quatre machines virtuelles au maximum.

Les informations relatives aux résultats de l'analyse et à tous les événements survenus lors de l'exécution des tâches d'analyse sont consignées dans le rapport.

A l'issue de l'analyse, il est conseillé de consulter la liste des fichiers bloqués suite à l'exécution de la tâche et d'exécuter manuellement sur ceux-ci les actions recommandées. Par exemple, enregistrer une copie des fichiers dans un emplacement de la machine virtuelle auquel l'utilisateur n'a pas accès et les supprimer. Il faut exclure préalablement les fichiers bloqués de la protection dans les paramètres du profil de protection attribué aux machines virtuelles, ou provisoirement désactiver la protection des machines virtuelles sur lesquelles ces fichiers ont été bloqués. Les informations relatives aux fichiers bloqués figurent dans le rapport sur les menaces ou dans la sélection d'événements des catégories Fichier bloqué (cf. Documentation de Kaspersky Security Center).