Phase 06 — Veeam ONE v13 + AI Intelligence

1. Tổng Quan & Mục Tiêu

Thời gian ước tính

1–2 ngày

Song song với Phase 05

Phụ thuộc

Phase 04

SOBR phải đang chạy

Tính năng mới v13

Threat Center + AI

Veeam Intelligence (AI Agents)

Veeam ONE v13 — Những thay đổi quan trọng so với v12

Veeam ONE v13 thay thế dashboard mặc định từ "General Overview" thành Threat Center — tập trung vào bảo mật và ransomware detection. Ngoài ra, gRPC thay thế WMI/RPC giảm số lượng firewall ports cần mở so với v12. SAML SSO được hỗ trợ cho web client. Veeam Intelligence (AI) cần kết nối internet đến Veeam Cloud Service hoặc chạy ở chế độ Advanced/offline.

Mục tiêu Phase 06:

Deploy Veeam ONE Server (All-in-One: monitor + report) trên Windows Server 2022
Kết nối tất cả data sources: VBR HA Cluster, vCenter, Veeam Backup for M365
Cấu hình Threat Center Dashboard — dashboard mặc định mới của v13
Thiết lập critical alerts đầy đủ với email notifications
Kích hoạt Veeam Intelligence (AI) ở chế độ Advanced với các AI Agents
Lên lịch báo cáo tự động (weekly/monthly/quarterly) cho các stakeholders
Cấu hình SAML SSO với Azure AD
Tích hợp Coveware cho malware/ransomware detection

2. Kiến Trúc Veeam ONE v13

Dual-DB Architecture — Điểm khác biệt quan trọng

Veeam ONE v13 sử dụng hai database engine riêng biệt: SQL Server cho monitoring (real-time metrics) và PostgreSQL cho reporting (historical data). Installer tự động cài PostgreSQL — bạn không cần cài thủ công.

┌─────────────────────────────────────────────────────────────────┐
│                    VEEAM ONE SERVER                             │
│              (Windows Server 2022, 4vCPU/8GB/300GB)             │
│                                                                 │
│  ┌──────────────────────┐  ┌──────────────────────────────────┐ │
│  │  Monitoring DB       │  │  Reporting DB                    │ │
│  │  (SQL Server /       │  │  (PostgreSQL — auto-installed)   │ │
│  │   SQL Express)       │  │  Historical reports & trends     │ │
│  │  Real-time metrics   │  │  DISA STIG compliance reports    │ │
│  └──────────────────────┘  └──────────────────────────────────┘ │
│                                                                 │
│  ┌──────────────────────────────────────────────────────────┐   │
│  │              Veeam Intelligence (AI Engine)              │   │
│  │  ┌─────────────┐ ┌──────────────┐ ┌──────────────────┐  │   │
│  │  │ Malware     │ │ Deep Data    │ │ Daily Durability  │  │   │
│  │  │ Threat      │ │ Analysis     │ │ Summary (Morning  │  │   │
│  │  │ Agent       │ │ Agent        │ │ Coffee Report)    │  │   │
│  │  └─────────────┘ └──────────────┘ └──────────────────┘  │   │
│  └───────────────────────────┬──────────────────────────────┘   │
│                              │ Internet (HTTPS)                  │
└──────────────────────────────┼─────────────────────────────────┘
                               │
                               ▼
                    ┌─────────────────────┐
                    │  Veeam Cloud Service │
                    │  (AI Processing)     │
                    │  cloud.veeam.com     │
                    └─────────────────────┘

DATA SOURCES (kết nối tới Veeam ONE):
┌──────────────────────┐    ┌─────────────────────┐    ┌──────────────────────┐
│  VBR HA VSA Cluster  │    │  VMware vCenter      │    │ Veeam Backup for     │
│  veeam-cluster       │    │  vcenter.domain.local│    │ Microsoft 365        │
│  .domain.local       │    │  (Read-only account) │    │ Port 4443            │
│  (Cluster IP — active│    │                     │    │                      │
│   node auto-failover)│    │                     │    │                      │
└──────────────────────┘    └─────────────────────┘    └──────────────────────┘

So sánh Protocol: v12 vs v13

Thành phần	v12 (cũ)	v13 (mới)	Ảnh hưởng firewall
Communication Protocol	WMI/RPC (port 135 + dynamic range)	gRPC (port 9399, 9392)	Ít port hơn, dễ quản lý firewall hơn v12
VBR Connection Auth	Stored username/password	Certificate-based (VSA)	Bảo mật hơn, không lưu credentials
Web Client Auth	Local accounts / AD basic	SAML SSO hỗ trợ	Tích hợp Azure AD / ADFS
Default Dashboard	General Overview	Threat Center (security-first)	Tập trung vào ransomware & RPO anomalies
AI Features	Không có	Veeam Intelligence (3 AI Agents)	Cần HTTPS ra cloud.veeam.com (hoặc offline mode)

3. Step 1 — Deploy Veeam ONE Server

VM Specifications

OS	Windows Server 2022
vCPU	4 vCPU
RAM	8 GB
Disk (OS)	100 GB (C:\)
Disk (Data)	200 GB (D:\) — DB + Reports

Thông tin VM

Hostname	veeam-one.domain.local
IP	Static IP (management VLAN)
Web UI	https://veeam-one.domain.local
Service Account	gMSA hoặc Domain Account
Domain	Join domain (required for gMSA)

Prerequisites Kiểm tra trước khi cài đặt

Windows Server 2022 đã join domain, Windows Update đầy đủ
SQL Server Express 2022 (hoặc SQL Server Standard nếu > 10 GB monitoring data) — hoặc để installer dùng SQL Express
gMSA account đã tạo trong AD: svc-veeam-one$
Firewall rule: port 1239 (Veeam ONE web), 9399 (gRPC to VBR), 443 (HTTPS outbound to cloud.veeam.com)
Download Veeam ONE v13 ISO từ veeam.com/downloads (cần tài khoản Veeam)

Install Steps Cài đặt All-in-One Deployment

1
Mount ISO và chạy Setup.exe — Chọn "Veeam ONE" từ menu chính
2
License Agreement — Accept + nhập license key (hoặc để Evaluation 30 ngày, add sau)
3
Deployment Mode — Chọn "All-in-One Deployment" (Monitoring Server + Reporting Server trên cùng máy)
Lưu ý: "Distributed Deployment" chỉ dùng khi > 5000 VMs hoặc yêu cầu HA cho Veeam ONE

4

Database Configuration — Monitoring DB (SQL)

SQL Server Instance: localhost\VEEAMONE (SQL Express auto-install)
-- HOẶC existing SQL Server:
SQL Server Instance: sql-server.domain.local
Database Name: VeeamOne_Monitor
Auth: Windows Authentication (gMSA account)

5
Database Configuration — Reporting DB (PostgreSQL)
Installer tự động cài PostgreSQL 15.x — chỉ cần chọn data path: D:\VeeamONE\PostgreSQL
6
Service Account — Nhập gMSA: DOMAIN\svc-veeam-one$ (không cần password)
7
Web UI Port — Giữ mặc định 443 (HTTPS), chọn certificate (hoặc self-signed)
8
Install — Nhấn Install. Quá trình cài ~20-30 phút

Expected Output sau khi cài xong

Browser mở https://veeam-one.domain.local — Web UI load thành công
Dashboard trống (chưa có data source) — đây là expected behavior
Tab "Threat Center" hiển thị prominently ở nav trái
Services running: "Veeam ONE Monitor Service", "Veeam ONE Reporter Service"

4. Step 2 — Kết Nối Data Sources

Lưu ý quan trọng: Kết nối VSA dùng Cluster IP

Luôn dùng Cluster IP / FQDN (veeam-cluster.domain.local) — KHÔNG dùng IP của node cụ thể. Cluster IP tự động chuyển sang active node khi HA failover, đảm bảo Veeam ONE luôn kết nối được.

Data Source 1 Kết nối VBR HA Cluster

1. Veeam ONE Web UI → Infrastructure tab (trái) → Add → Veeam Backup & Replication
2. Server name: veeam-cluster.domain.local — Port: 9399
3. Authentication: Chọn "Certificate-based" (preferred for VSA v13) — Veeam ONE sẽ tự exchange certificate
4. Click Connect → Accept certificate fingerprint khi được hỏi
5. Wait ~2-3 phút cho initial data collection hoàn thành

Verify — Kết quả đúng:

VBR jobs hiển thị trong Infrastructure tree
Repositories, Proxies, Scale-out Repos hiển thị đúng
HA node status (active/standby) hiển thị

Data Source 2 Kết nối VMware vCenter Server

1. Infrastructure → Add → VMware vCenter
2. Server: vcenter.domain.local — Port: 443
3. Credentials: [email protected] — Read-only vSphere service account
4. Minimum vSphere privileges cần: Read-only tại datacenter level + Browse Datastore

Tạo Read-Only vSphere account — PowerCLI:

# Tạo role Read-Only cho Veeam ONE
New-VIRole -Name "VeeamONE_ReadOnly" -Privilege (Get-VIPrivilege -Id "System.Read","System.View","System.Anonymous")

# Assign role tại Datacenter level
New-VIPermission -Entity (Get-Datacenter "DC-Main") `
    -Principal "DOMAIN\svc-veeam-one-ro" `
    -Role "VeeamONE_ReadOnly" -Propagate $true

Verify — Kết quả đúng:

VMs, Clusters, Datastores, Hosts hiển thị trong Infrastructure
VM-to-Backup mapping được thiết lập (VMs matched với backup jobs)
"Protected VMs" count chính xác trong dashboard

Data Source 3 Kết nối Veeam Backup for Microsoft 365 (nếu triển khai)

1. Infrastructure → Add → Veeam Backup for Microsoft 365
2. Server FQDN: vb365.domain.local — Port: 4443
3. Authentication: Windows credentials hoặc certificate-based

Verify — Kết quả đúng:

M365 jobs (Exchange, SharePoint, Teams, OneDrive) hiển thị
Licensed user count và backup statistics hiển thị chính xác

5. Step 3 — Cấu Hình Threat Center Dashboard

Threat Center — Dashboard mặc định mới của Veeam ONE v13

Khác với v12 (tập trung vào job success/failure), Threat Center v13 tập trung vào bảo mật và khả năng phục hồi. Đây là single-pane-of-glass cho CISO và Backup Admins để đánh giá rủi ro ransomware và SLA compliance.

Data Platform Scorecard Widget 1

Overall backup health score (0–100). Tổng hợp tất cả job success rate, repository health, và infrastructure connectivity thành một điểm số duy nhất.

Target: Score ≥ 95 = Healthy | 80-94 = Warning | < 80 = Critical

Malware Detection Widget 2

Coveware recon alert integration — hiển thị các VM có dấu hiệu ransomware trong backup data. Sử dụng Inline Malware Detection từ VBR.

Action: Click vào alert để xem affected VMs và recovery options

RPO Anomalies Widget 3

Liệt kê các VMs đang vượt quá RPO threshold đã cấu hình. Giúp phát hiện sớm các VMs không được backup đúng hạn trước khi sự cố xảy ra.

Config: Set RPO threshold = 1 hour (match với SLA target)

SLA Compliance Overview Widget 4

Phần trăm VMs đang trong SLA. Drill-down theo folder, cluster, hoặc tag để xác định vùng nào có vấn đề SLA compliance.

Target: SLA ≥ 99% cho Critical VMs | ≥ 95% cho Standard VMs

Cấu hình RPO Threshold:

1. Settings → Alarms → RPO Alarm Settings
2. Default RPO: 1 hour (1h) — match với business RPO target
3. Tùy chỉnh theo VM tag: Critical VMs = 30 min RPO, Standard VMs = 2h RPO
4. Save → Dashboard sẽ tự update sau 5 phút

Coveware Integration — Ransomware Detection:

1. Settings → Integrations → Coveware
2. Enable integration → nhập Coveware API endpoint và credentials
3. Malware Detection widget sẽ populate từ Coveware threat intelligence feeds
4. Test: Dashboard → Malware Detection → verify widget shows "No threats detected" (nếu clean environment)

6. Step 4 — Cấu Hình Critical Alerts

Email Notification Setup — Cấu hình trước

Settings → Notifications → Email → SMTP Settings: smtp.domain.local, Port 587 (TLS), From: [email protected]. Nhóm nhận: [email protected] + [email protected].

Alert	Hành động	Severity	Nhận email
VBR HA Health	Alert + email khi HA node unhealthy	CRITICAL	backup-admin, security-officer
VBR Auth Anomaly	Alert khi có login pattern bất thường	CRITICAL	security-officer
RPO Anomaly	Alert khi VM backup vượt 1h RPO	HIGH	backup-admin
Repository Space < 20%	Alert trước khi repo đầy	HIGH	backup-admin
Backup Job Failed	Email backup admins khi job fail	HIGH	backup-admin
Malware Detection (Coveware)	Alert + notify on-call team	CRITICAL	security-officer, on-call
SLA Compliance < 95%	Weekly report + alert	MEDIUM	IT Manager, backup-admin

Cấu hình Alert — Ví dụ: VBR HA Health Alert

1. Alarms → New Alarm → Category: Veeam Backup Infrastructure
2. Alarm Name: VBR_HA_Node_Health
3. Trigger: Veeam Backup Server → HA Node Status = Warning hoặc Error
4. Action: Send email → To: [email protected], [email protected]
5. Severity: Critical → Assign to: All VBR servers

HA Failover Automation (Optional)

Nếu muốn tự động trigger HA failover khi active node fail (thay vì chờ alert + manual), cấu hình:

VBR Settings → HA → Enable Automatic Failover — Veeam HA tự chuyển sang standby node
Veeam ONE chỉ cần alert để notify team, không cần trigger script
Hoặc: Alert → Run Script → Custom PowerShell script invoke HA failover API

7. Step 5 — Kích Hoạt Veeam Intelligence (AI)

Veeam Intelligence — Tính năng AI mới hoàn toàn trong v13

Veeam Intelligence sử dụng AI/ML để phân tích backup data, phát hiện anomalies, và dự đoán capacity. Dữ liệu được gửi (ẩn danh, anonymized) đến Veeam Cloud Service để xử lý AI. Cần kết nối HTTPS ra cloud.veeam.com — nếu không có internet, dùng "Basic mode" (limited features).

So sánh 3 chế độ Veeam Intelligence:

Chế độ	Internet	AI Agents	Chat Interface	Capacity Forecast	Malware Analysis
Disabled	N/A
Basic	Không cần (offline)	Limited	Limited	Basic
Advanced Khuyến nghị	HTTPS cloud.veeam.com	Full (3 agents)	Full NLP	ML-powered	Deep scan

Bật Advanced Mode:

1. Settings (bánh răng góc trái dưới) → Veeam Intelligence
2. Mode: Chọn "Advanced"
3. Data sharing terms — Đọc và Accept. Dữ liệu gửi đi là anonymized (không chứa VM names, IP, credentials)
4. (Nếu cần proxy) → Configure proxy: proxy.domain.local:8080
5. Test connection → "cloud.veeam.com — Connected"
6. Save → Initial AI model sync ~10-15 phút

Cấu hình AI Agents:

Malware Threat Analysis Agent

Quét backup metadata để tìm ransomware indicators. Phân tích entropy data, file extension changes, encryption patterns trong backup chains.

Enable: AI Agents → Malware Threat Analysis → On

Quan trọng: Cần Coveware integration để có đầy đủ threat intelligence

Deep Data Analysis Agent

Capacity planning, anomaly detection, trend forecasting. Dự đoán khi nào repo sẽ đầy, phát hiện bất thường trong backup size (dedup ratio thay đổi).

Enable: AI Agents → Deep Data Analysis → On

Output: Capacity forecast chart trong Reports section

Daily Data Durability Summary

"Morning Coffee Report" — tổng kết overnight backup health. Email tự động lúc 07:00 mỗi ngày với summary: success/failed jobs, new threats, capacity status.

Enable: AI Agents → Daily Summary → On, Time: 07:00

Recipients: [email protected]

Sample Queries cho Veeam Intelligence Chat Interface:

User: "Which VMs have not been backed up in the last 2 hours?" AI: Lists 3 VMs: vm-sql-prod-01, vm-app-02, vm-dc-03 — last backup 3h ago User: "When will Repository-SOBR-01 run out of space?" AI: Based on current growth rate (2.3 TB/week), estimated full in 47 days (2026-06-20) Recommendation: Extend SOBR capacity extent by 10 TB User: "Are there any ransomware indicators in backups from last 24 hours?" AI: No threats detected. Entropy analysis normal. File extension patterns stable. User: "Show me SLA compliance trend for the last 30 days" AI: Average SLA: 98.7%. 2 anomaly events on 2026-04-15 (network maintenance window)

8. Step 6 — Cấu Hình Reports Tự Động

HTML5 Interactive Reports — Tính năng mới v13

Veeam ONE v13 cung cấp HTML5 interactive report engine mới — reports có charts, drill-down, và filters. Ngoài ra vẫn hỗ trợ export PDF cho email. Dùng HTML5 format cho dashboard display, PDF cho email attachment.

Report	Nội dung	Lịch gửi	Recipients	Format
Backup Success Rate	Job success/failure tổng hợp tuần, top failing jobs	Thứ 2 — 07:00	backup-admin	PDF + HTML5
Protected VM Overview	Danh sách VMs, backup status, last restore point, RPO compliance	Thứ 2 — 07:00	IT Manager	PDF
SLA Compliance Report	SLA met/missed theo tháng, trend chart, exceptions	Mùng 1 hàng tháng — 08:00	CISO, Auditors	PDF (signed)
Capacity Forecast	Repository usage trends, AI-predicted fill date, recommendations	Mùng 1 hàng tháng — 08:00	Infrastructure team	HTML5
Security Compliance (DISA STIG)	DISA STIG v13 compliance status, open findings, remediation log	Hàng quý (01/01, 01/04, 01/07, 01/10) — 08:00	Security Officer	PDF (formal)

Tạo Scheduled Report — Ví dụ: Backup Success Rate

1. Reports tab → New Report → Template: "Backup Job Statistics"
2. Report Name: Weekly_Backup_Success_Rate
3. Scope: All backup jobs từ VBR server đã kết nối
4. Schedule: Weekly → Monday 07:00
5. Delivery: Email → [email protected] → Format: PDF + HTML5
6. Save → Run Now để test lần đầu

9. Step 7 — Cấu Hình SAML SSO (Azure AD)

SAML SSO — Hỗ trợ mới trong Veeam ONE v13

Veeam ONE v13 Web Client hỗ trợ SAML 2.0 SSO với Azure AD, ADFS, hoặc bất kỳ IdP tương thích SAML 2.0. User không cần nhớ password riêng — login bằng Azure AD credentials.

Azure AD Đăng ký Veeam ONE như SAML SP

1. Azure Portal → Azure AD → Enterprise Applications → New Application → Create your own
2. App Name: Veeam-ONE-SSO
3. Single Sign-On → SAML

4. Basic SAML Config:

Identifier (Entity ID):
  https://veeam-one.domain.local/SSRS

Reply URL (ACS):
  https://veeam-one.domain.local/auth/saml/callback

Sign-on URL:
  https://veeam-one.domain.local

5. Attributes: user.mail → email, user.displayname → displayName, user.groups → groups
6. Download Federation Metadata XML

Veeam ONE Cấu hình SAML SP

1. Settings → Authentication → SAML
2. Enable SAML SSO: ON
3. Import Federation Metadata XML từ Azure AD

4. Role Mapping:

Azure AD Group → Veeam ONE Role
VeeamAdmins     → Administrator
VeeamRestoreOps → Restore Operator
VeeamAuditors   → Read-only

5. Save → Test SSO: Click "Test SSO" button → Browser redirect to Azure AD login
6. Verify: Login thành công, role được assign đúng

10. Verification Checklist (15 items)

Đánh dấu từng item sau khi hoàn thành. Tất cả 15 items phải PASS trước khi chuyển sang Phase 07.

Bonus (nếu có SAML + Coveware):

SAML SSO configured — Azure AD groups mapped to Veeam ONE roles Coveware integration active — Malware Detection widget populated

11. Risk Assessment

Rủi ro	Mô tả	Mức độ	Biện pháp giảm thiểu
Kết nối sai Node IP (không dùng Cluster IP)	Nếu dùng IP của node cụ thể, sau HA failover Veeam ONE mất kết nối VBR, alerts ngừng hoạt động	HIGH	LUÔN dùng `veeam-cluster.domain.local`; document và verify khi cấu hình
SQL Express 10 GB limit cho Monitoring DB	SQL Express bị giới hạn 10 GB. Với môi trường > 500 VMs, có thể đạt giới hạn trong 6-12 tháng	MEDIUM	Monitor DB size hàng tháng; nếu > 7 GB thì migrate sang SQL Server Standard trước khi đạt 10 GB
AI features cần internet (cloud.veeam.com)	Nếu firewall block HTTPS outbound, Veeam Intelligence sẽ downgrade xuống Basic mode, mất AI features	MEDIUM	Mở firewall rule HTTPS outbound đến cloud.veeam.com; nếu không thể, chấp nhận Basic mode và document limitations
Alarm fatigue — quá nhiều alerts	Nếu configure tất cả alerts ở threshold quá thấp, team sẽ bỏ qua email → bỏ lỡ critical incidents thật sự	MEDIUM	Tuning alert thresholds sau 2 tuần chạy; enable alert deduplication; maintenance window để suppress alerts khi có scheduled downtime
PostgreSQL maintenance cần thủ công	PostgreSQL cần VACUUM, ANALYZE định kỳ. Nếu bỏ qua, reporting DB sẽ chậm dần theo thời gian	LOW	Cấu hình autovacuum trong PostgreSQL config; schedule monthly manual VACUUM FULL trong maintenance window

12. Lưu Ý Quan Trọng & Troubleshooting

Certificate-based Auth vs Password Auth

Veeam ONE v13 ưu tiên certificate-based khi kết nối VSA. Nếu dùng password-based, credentials được stored encrypted nhưng vẫn là rủi ro bảo mật. Với VSA (Virtual Service Appliance = Linux-based JeOS), certificate-based là bắt buộc vì không có Windows authentication.

gRPC Port 9399 — Kiểm tra Firewall

Veeam ONE kết nối VBR qua gRPC port 9399. Nếu firewall block port này, kết nối sẽ fail silent (không có lỗi rõ ràng). Test bằng: Test-NetConnection veeam-cluster.domain.local -Port 9399 từ Veeam ONE server.

Initial Data Collection Time

Sau khi add data source, Veeam ONE cần 15-30 phút để initial data collection hoàn thành. Dashboard sẽ hiển thị "Loading..." hoặc empty — đây là expected behavior. KHÔNG restart services trong thời gian này.

SQL Express vs SQL Server Standard

SQL Express limit: 10 GB database. Với < 200 VMs + 1 năm retention → < 5 GB, SQL Express OK. Với > 500 VMs hoặc cần > 1 năm metric history → dùng SQL Server Standard (cần license riêng).

Common Troubleshooting Commands:

# Check Veeam ONE services status (chạy trên veeam-one.domain.local)
Get-Service | Where-Object {$_.DisplayName -like "Veeam*"} | Select-Object Name, Status

# Test connectivity to VBR cluster (gRPC port)
Test-NetConnection veeam-cluster.domain.local -Port 9399

# Test internet access to Veeam AI cloud
Test-NetConnection cloud.veeam.com -Port 443

# Check PostgreSQL service
Get-Service -Name "postgresql*"

# Check SQL Express instance (Monitoring DB)
Get-Service -Name "MSSQL*VEEAMONE*"

# View Veeam ONE Monitor logs
Get-Content "C:\ProgramData\Veeam\Veeam ONE Monitor\Logs\*.log" -Tail 50

# Check disk usage for DB paths
Get-PSDrive D | Select-Object Name, @{N='Used(GB)';E={[math]::Round($_.Used/1GB,2)}}, @{N='Free(GB)';E={[math]::Round($_.Free/1GB,2)}}