MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Pageviews 2018: 3569340
Pageviews 2017: 4351543
Pageviews 2016: 3991973
Pageviews 2015: 2675433
Pageviews 2014: 2664208
Pageviews 2013: 2399409
Pageviews 2012: 3209633
Pageviews 2011: 2730038
Pageviews 2010: 1470924
Pageviews 2009: 64608

Últimos posts

Categorias

Arquivo

Tags

Windows Defender ATP–Entenda o Novo Produto

Parte dos novos recursos do Windows 10 é a capacidade de detalhamento na segurança e integração com recursos do Microsoft DCU (Digital Crime Unit), que é a unidade da Microsoft que trabalha com o departamento de defesa para gerar e identificar ataques ao redor do mundo (https://blogs.windows.com/windowsexperience/2016/03/01/announcing-windows-defender-advanced-threat-protection/).

Tipos de Proteção Disponiveis

Em geral os antivírus são baseados em DAT que são arquivos com assinaturas de vírus e conseguem identificar programas que tenham atividades ou parte destes códigos considerados perigosos. Nessa categoria estão todos os antivírus atuais, o que inclui o Windows Defender.

Já os sistemas de proteção avançados contem com análise comportamental interna e externa, ou seja, eles identificam potenciais ameaças por comportamentos como fazem alguns produtos da Symantec e McAfee, que identifica maquinas enviando pacotes para outras maquinas, logins com força bruta, etc.

Já os sistemas de proteção comportamental com análise externa são produtos bem diferentes. Eles analisam comportamentos de maquinas no ambiente e comunicações externas. Com isso é possível identificar:

  • Um grupo de maquinas recebendo pacotes de uma determinada maquina com conteúdo suspeito
  • Pacotes oriundos de países onde o ataque de phishing e similares são comuns
  • Pacotes oriundos de maquinas já identificadas como “zumbi”

Ou seja, com base na análise do próprio ambiente e de comportamento de hackers, é possível identificar que determinado hacker está tentando invadir uma empresa ao analisas que este hacker está enviando pacotes para a rede da empresa alvo.

 

O que é o ATA e o ATP

Nos produtos Microsoft esse produto é o ATA (Advanced Thread Analisys) que trabalha no Active Directory e logins, e o ATP (Advanced Thread Protection) que trabalha com Machine Learning (análise de dados) sobre os logs das maquinas individuais.

Na prática o Windows Defender ATP trabalha com o mesmo log que o Windows Defender, mas online e com base nas análises e dados do DCU. Com isso é possível identificar ameaças que não são encontradas nos tradicionais DAT ou com base apenas em uma única maquina que é a forma como os antivírus tradicionais trabalham.

O ATA é parte do EMS (Enterprise Mobility Suite), mas pode ser adquirido a parte: https://www.microsoft.com/pt-br/server-cloud/products/advanced-threat-analytics/overview.aspx

O ATP ainda está em preview com acesso por solicitação: https://www.microsoft.com/en-us/WindowsForBusiness/windows-atp

 

Overview do ATP

Como já possuo acesso ao ATP, vamos ver como ele funciona. Para pedir esse acesso, entre na página acima e complete com seus dados. É possível incluir maquinas de seu ambiente, mas o sistema gera algumas maquinas com vírus e problemas para testes automaticamente. Note nas telas abaixo que o usuário utilizado é gerado pela Microsoft para os testes.

Ao receber o acesso, o primeiro passo é indicar tempo de retenção e perfil da empresa que serve para elaborar threads por tipo de segmento:

capture20160724155740716

Na sequencia geramos o pacote ou o script para distribuição das configurações. Note que é possível criar os pacotes para distribuição por GPO, SCCM, Intune ou Local que é o que utilizarei nos meus testes:

capture20160724155906768

O passo seguinte é baixar o pacote, no meu caso o Local Script:

capture20160724155940968

O script contem um arquivo CMD para ser executado manualmente nas maquinas que desejo que o log do Defender seja enviado para o ATP. Esse script cria uma chave no registro para indicar o meu tenant e ativar o ATP:

Capturar

A partir de agora as suas maquinas passarão a enviar dados para o ATP em algumas horas.

No caso do meu teste, posso utilizar os dados da maquina que a Microsoft gera com testes e ver os alertas e o dashboard. A primeira tela é o Dashboard que indica o comportamento geral no ambiente monitorado:

capture20160724161031396

Neste caso não tenho alertas gerados nos últimos 30 dias, mas tenho os de criação do tenant para demonstrar como utilizar o gerenciamento de alertas:

capture20160724155810843

Cada alerta pode ser ignorado, marcado como resolvido ou suprimido em todo o tenant ou apenas para esta maquina específica:

capture20160724155833547

 

Conclusão

Este tipo de análise dos dados é essencial para a segurança da corporação. Em breve disponível como serviço no Azure, o ATP é uma nova forma de analisar e garantir seu ambiente.

Utilizando o Azure Log Analytics (OMS) e o SCOM na Mesma Maquina

Para utilizar o Log Analytics, antigo Operational Insights, junto com o System Center Operations Manager é possível fazer isso pelo console do próprio SCOM.

Essa forma de integração já em Março/2014: http://www.marcelosincic.com.br/post/Integrando-o-SCOM-ao-System-Center-Advisor.aspx

Apesar de ter alterado o nome de System Center Advisor, depois para Operational Insights e agora Log Analytics, o processo de integração com o SCOM se manteve o mesmo.

Porem a uma limitação no processo de integração do SCOM, pois ele só permite uma conta de OMS/Log Analytics por organização. Em muitos casos é necessário usar mais de uma conta, por exemplo:

  • Provedores de serviço e CSC em que cada cliente tem uma conta diferente no Azure
  • Quando utilizamos múltiplas assinaturas para monitorar um mesmo ambiente físico
  • Quando uma das contas é beneficio de Visual Studio com créditos limitados e desejamos separar os servidores em contas diferentes

Nestes casos podemos utilizar os dois métodos os mesmo tempo, instalar o agente do SCOM e não vincular a uma conta do Log Analytics e fazer o processo apenas nas maquinas desejadas.

Para isso, o primeiro passo é abrir o Log Analytics e copiar o Workspace ID e o Primary Key. Veja no exemplo abaixo que já tenho meu SCOM integrado ao Log Analytics.

capture20160706181016883

O passo seguinte é ir até a maquina que deseja monitorar e abrir o agente de monitoração do SCOM (Microsoft Monitoring Agent):

capture20160706180916785

Ao abrir as configurações do agente note a aba Azure Operational Insigths (nome anterior a Log Analytics). Veja nesse print que já tenho a maquina sendo reportada ao SCOM:

capture20160706180926742

Insira os dados da sua conta do Log Analytics e pronto, agora é possível ter a monitoração com várias contas ou individual:

capture20160706180935405

Agora os meus dados de Active Directory que antes não estavam sendo populados passam a estar devidamente preenchidos e monitorados:

capture20160706180955111

Microsoft Virtual Machine Converter (MVMC)–Retirada do Produto

A Microsoft anunciou esta semana a retirada do MVMC como produto já no final deste ano.

https://blogs.technet.microsoft.com/scvmm/2016/06/04/important-update-regarding-microsoft-virtual-machine-converter-mvmc/

Para quem não conhece o MVMC ou não lembra sua função, ele é um plugin para converter maquinas fisicas (P2V) ou virtuais de outras plataformas (V2V) para VMs no Hyper-V.

 

O que usar no lugar do MVMC?

A sugestão apresentada é utilizar o Azure Recovery Site, mas ele na verdade é um serviço e não seria útil quando o desejo é subir VMs em ambiente on-premisse.

Porem, no caso do cliente que quer transformar o ambiente fisico (P2V) para nuvem (IaaS) o Azure Recovery Site é a melhor opção.

E para quem precisa fazer V2V hospedadas no VMWare para o Hyper-V pode utilizar o próprio VMM (System Center Virtual Machine Manager) que processa a conversão nativamente.

Por fim, para os casos de conversão de maquinas fisicas para virtuais (P2V) pode-se usar o Disk2VHD como já comentado em outras ocasiões e é um produto muito conhecido para gerar VHDs a partir de discos fisicos, que abordei em 2009: http://www.marcelosincic.com.br/post/Ferramenta-para-converter-HD-fisico-(em-uso)-para-VHD.aspx

Link do Disk2VHD: https://technet.microsoft.com/en-us/sysinternals/ee656415.aspx

Gartner libera novo quadrante de Hypervisors x86

O Gartner liberou no meio do mês passado o novo quadrante de hypervisors x86.
Em relação ao quadrante anterior se destaca o distanciamento entre o VMWare e Hyper-V em relação aos outros produtos
 
No caso da suíte Microsoft o Gartner destaca a integração do System Center com o Hyper-V e Azure para nuvens híbridas, alem de reconhecer que o System Center tem funcionalidades superiores em relação a gerenciamento do ambiente de TI como um todo.
 

Hypervisors Jul-2015

Novo Azure AD Connect

Na semana passada a Microsoft liberou a nova ferramenta para sincronização de AD local com o Azure AD. Essa nova ferramenta tem as mesmas funcionalidades das anteriores DirSync e ADDSync, mas acrescesta facilidade na administração do serviço e acesso aos conectores.

Para baixar e ver detalhes: https://azure.microsoft.com/en-gb/documentation/articles/active-directory-aadconnect/

1-Resumo

Instalação e Upgrade do Dirsync

Para quem já tem o Dirsync ou o ADDSync instalado o Azure AD Connect irá fazer o upgrade e solicitar apenas a credencial do Azure para configurar, mas após o upgrade é possivel alterar facilmente as configurações.

A sequencia abaixo mostra o upgrade, sendo bem simples pedindo apenas as contas online e on-premisse:

2-Upgrade Dirsync

3-Conect

 4-Conect2

 5-Upgrade

Configuração Pós-Instalação

A interface do Azure AD Connect é realizada com ferramentas gráficas acessiveis pelo Menu Iniciar:

6-Iniciar

A ferramenta que torna mais fácil configurar como comentado no inicio do artigo é o Synchronization Service, onde ao abrir já é possivel ver os conectores habilitados, o estado da sincronização, log das ultimas sincronizações e utilitários na lateral:

7-Sinc Service

Por exemplo, para sincronizar manualmente basta clicar sobre uma das conexões e escolher como quer sincronizar (Connectors –> Run):

8-Sincronizarmanual

Visualização, Atualização e Criação de Conectores

Ao clicar em qualquer um dos conectores abre-se um wizard onde podemos alterar os conectores básicos ou criar novos conectores.

O wizard é muito simples e funcional, como mostram as imagens abaixo utilizando o Properties:

9-Conectores1

10-Conectores2

E para criar novos conectores, ao clicar em Create temos criar os diversos tipos de conectores on-premisse ou online utilizando o wizard das imagens acima.

11-Conectores3

Vale a pena fazer o upgrade para quem tem o Dirsync e o AADSync, pois esta nova ferramenta é muito completa e simples facilitando o acesso aos configurações, alterações e log das operações.

Posted: jun 29 2015, 12:18 by msincic | Comentários (0) RSS comment feed |
  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login