MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Azure Purview como Ferramenta de Compliance

Desde a muito mantemos diagramas de bancos de dados em arquivos lógicos, que são utilizados pelos DBAs e desenvolvedores para criação de aplicações e recentemente de outras funções para dashboards.

Porem com o avanço de leis de compliance como GDPR e LGPD conhecer quem tem acesso e como acessa dados sensíveis se tornou um recurso essencial.

Muitas ferramentas de DLP já fazem com o uso de conectores esse mapeamento, como por exemplo o Security Center pode estender para SQL Server nos planos pagos.

Mas e se possuimos multiplas bases de dados em diferentes produtos, plataformas e serviços?   Neste caso temos o Azure Purview.

O que o Purview oferece?

Com o catálogo de conectores você poderá incluir diversas fontes de dados que vão de SQL e Oracle a AWS S3 e Azure BLOB e descobrir o que está sendo disponibilizado e automaticamente mapear classificações e sensibilidade dos dados.

Por exemplo, quem são os usuários que consomem no Power BI uma determinada base de dados que contem cartões de crédito?    Quais storage accounts possuem dados não estruturados contendo documentos pessoais dos clientes ou exames médicos?

Nessa linha de atuação é que teremos o Purview atuando, tanto para catalogar dados sensiveis como funcionar como um dicionário de dados e mapeamento de acesso aos dados da empresa pelo Power BI, por exemplo.

Requisitos do Purview

Para utilizar o Purview será necessário criar uma instancia de execução (começa com C1 de 4 “unidades”), um Hub de Eventos e uma Storage Account

image

image

O custo do Purview é computado pelas unidades e tambem pelos scans que são efetuados, sendo que alguns ainda estão em preview e com custo zero até 02/Agosto quando escrevo este artigo Pricing - Azure Purview | Microsoft Azure

Acessando o Purview Studio

Toda a administração é feita pelo Studio, onde criamos os conectores e realizamos os scans.

Importante: O acesso aos dados é utilizado a managed account com o nome do recurso que você criou e seguindo os passos para cada tipo de recurso que irá mapear.

clip_image001

Registrando as Fontes de Dados

O Purview já traz uma série de conectores:

clip_image001[5]

O passo a passo abaixo é a conexão com a fonte de dados SQL Database. Primeiro definimos a fonte de dados e a coleção, que nada mais é do que antes da conexão criar agrupamentos como podem ser visto na tela anterior.

clip_image001[7]

Na sequencia definimos como será acessado os dados, pois na configuração acima vemos o servidor e banco de dados mas ainda não fizemos o acesso. Para isso será definido o tipo de identidade, sendo que no exemplo utilizei a managed account dando as permissões de read no SQL Server Management Studio (link no see more):

clip_image001[11]

Essa configuração de acesso são os SCANS, onde vão as definições do que será acessado, no exemplo por ser uma conexão SQL Server o database. Na sequencia verá que selecionei as tabelas e quais classificações quero mapear (note que são as mesmas do Office 365):

clip_image001[13]

clip_image001[15]

Uma vez configurados os scans você poderá definir se ele será executado uma unica vez ou de forma recorrente, sendo que isso pode ser feito abrindo os objetos abaixo da coleção, onde podem ser visto a lista, acessados os diferentes processos e os detalhes:

clip_image001[19]

clip_image001[22]

clip_image001[17]

Classificando e detalhando os dados mapeados

Uma vez os scans executados, automaticamente o Purview irá criar os assets como pode ser visto na função Browse Assets como a sequencia abaixo:

clip_image001[24]

clip_image001[26]

Uma vez aberta uma base de dados mapeada podemos definir detalhes, por exemplo criar uma classificação de dados para a base inteira, definindo quem são os donos/arquitetos dos dados e até definir para cada coluna um tipo especifico:

clip_image001[28]

clip_image001[30]

clip_image001[32]

clip_image001[34]

clip_image001[36]

clip_image001[38]

Nessa sequencia de telas podemos ver que os contatos são importantes para identificar quem conhece e mapeou aquela base de dados. Tambem vemos como definir descrição e classificação de dados individualmente, alem das que o Purview automaticamente já detectou.

Ainda nos assets posso vizualizar uso de dados, por exemplo quais bases de dados estão sendo usadas no Power BI de usuários PRO?   O Purview permitirá que vc tenha essa visualização como abaixo:

clip_image001[40]

clip_image001[42]

Customizando dados sensíveis e criando o glossário

Nos exemplos acima e na interface do Purview podem ser vistos dois itens, um já conhecido que é a classificação automática de sensibilidade e outra que é o glossário.

A classificação já tem pré-carregados os dados do Office 365 que são padrão dos compliances que a Microsoft já fornece, mas você poderá customizar novos assim como é feito no Compliance do Office 365:

clip_image001[44]

Alem disso poderá criar termos de glossário que nada mais são do que um dicionário de dados para consulta. É importantíssimo que isso seja feito, pois será uma base de dados para que administradores e outros especialistas consigam saber por exemplo, de bases de dados especificas.

Uma vez criado os verbetes do glossário, em cada fonte de dados, tabela e coluna será possivel identificar essa classificação como já mostrado na tela de dados da tabela.

clip_image001[46]

Interessante que para os itens é possível incluir atributos, ou seja indicar que se classificar uma tabela ou coluna como confidencial indicar um atributo obrigatório para escrever o motivo:

clip_image002

CONCLUSÃO

Uma vez mapeados com o Purview é possivel ter visibilidade de uso dos dados sensiveis, classificação dos dados em geral e montar um dicionario de dados moderno.

Posted: ago 02 2021, 21:15 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

E-book Administração prática do Linux no Azure

Disponibilizado na biblioteca de livros gratuitos do Azure, a qualidade deste livro me impressionou e totalmente em português!

Apesar de ser um livro de 2019, foi “anunciado” no LinkedIn novamente e tive a curiosidade de ver no final de semana.

O conteúdo começa com conceitos básicos de Azure e logo passa para a parte que mais precisamos, se assim como eu você tem mais familiaridade com Windows que Linux.

Nos capítulos de Linux inicia por explicar o básico em linha de comando, Bash, variáveis, manipulação de textos e processos, além de DAC conceitual.

Na sequencia é possível usar o tutorial detalhado sobre criação de uma VM em Azure com detalhes sobre a diferença dos recursos  como armazenamento, rede e segurança.

Nos tópicos seguintes entra a fundo na administração de Linux como firewalld, systemd, DAC, MAC, RPM, YUM e vários outros usos para um administrador avançado com Vagrant e Packer.

Mas os últimos 2 tópicos dos capítulos é onde você que já conhece Linux terá uma experiência melhor, pois irá abordar como usar o Terraform, Ansible e PowerShell DSC para criar e administrar as VMS. Interessante que mostra inclusive a instalação deles em suas VMs Linux hospedadas.

E por fim, o ultimo tópico sobre contêineres de Linux fecha com chave de ouro um livro de 500 páginas!!!

Mesmo para quem já conhece bem Azure, esse livro por trazer temas como Ansible, Terraform e containers (incluindo AKS) será um guia de cabeceira  Winking smile

Livro eletrônico do Linux no Azure da Packt | Microsoft Azure

Para quem prefere em inglês: Linux on Azure E-book by Packt | Microsoft Azure

Imagem1

Posted: mai 31 2021, 14:16 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Filed under: Linux | Azure | Outros | Cloud computing

Azure ARC–Integração de Updates, Change Monitoring e Inventario

Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC.

Criando ou Habilitando uma conta de Automação existente

Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC.

Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra.

Zonas

Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas.

2-Captura de tela 2021-05-03 115936

No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto.

Habilitando os recursos

Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso.

2-Integrando

Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário.

3-Inventario

Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar.

5-Updates

Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates.

4-ARC integrado

Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar.

6-Habilitando Alteracoes

Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.

7-

Novo conector para Consumo de Azure no Power BI

Uma ferramenta muito interessante para validar e verificar os custos em Azure é o Cost Managment do próprio Azure e a integração com um painel de App no Power BI.

Porem, com a desativação do App do Power BI muitos perderam uma ferramenta onde era possível manipular os dados e passaram a importar em Excel/CSV para criar seus reports customizados.

Conector para Azure Cost Management no Power BI Desktop

Pois bem, a Microsoft liberou um conector no Power BI desktop que irá permitir trazer dados mais detalhados do que se pode enxergar no Cost Management.

Esse conector pode ser acessado utilizando o conector que em português irá ter o nome Gerenciamento de Custos do Azure e irá permitir utilizar para quem tem um contrato Enterprise Agreement ou assinaturas individuais.

 Conexao-1

No caso de Enterprise Agreement basta informar o numero do contrato e fazer o login na tela seguinte:

Conexão-2

Conexao-3

É importante lembrar que se o contrato for muito grande e escolher 12 meses pode acontecer do Power BI demorar para conseguir acessar os dados e ocorrer timeout no refresh então recomendamos que crie com períodos menores.

Caso queira testar com meses adicionais ou diminuir o numero de meses, entre no Editor Avançado da consulta e altere o numero de meses como o exemplo abaixo, lembrando que precisará fazer isso em cada uma das tabelas.

Editor de conexao

Trabalhando com as tabelas de custos

Uma vez feita a conexão é possível escolher as tabelas que irá trabalhar.

Todas as tabelas são intuitivas e detalhadas com os dados que você já tem acesso ao exportar o CSV no portal do Azure, porem ele acrescenta o conjunto de dados para Instancia Reservada e Orçamentos.

Tabelas

Particularmente gostei muito da opção das tabelas de RI pois ele detalha as VMs e recursos que estão sendo cobrados e o custo original, permitindo mostrar de forma muito mais simples a economia gerada!

Dashboard reservas

As recomendações também podem ser vistas em detalhes:

Recomendacoes

E por fim, o uso das reservas com o percentual de “qualidade” onde poderá ter uma ideia se elas realmente estão sendo utilizadas é um dos mais importantes:

Uso
Posted: fev 08 2021, 13:27 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login