Utilizando o Log Analytics do Application Insights para detectar anomalias em Web Apps

17 julho 2023 msincic Azure Sentinel, Cloud computing, Log Analytics, Segurança
Em um post passado abordei o uso do Log do Application Insigths para visualizar ataques e anomalias Marcelo Sincic | Utilizando o Azure Application Insigths na Analise de Vulnerabilidades Porem, vi a necessidade de complementar para alguns que me pediram para integrar as consultas com logs do MCAS, Defender e outros. Partindo do principio que em todas as ferramentas utilizaremos KQL (Kusto Query Language) o primeiro passo é escrever o comando para isso e trazer o log como a imagem abaixo: Na consulta acima é possivel trazer os dados que estão no dashboard do artigo anterior, porem por estar escrito em KQL poderá customizar as colunas, formatos e filtra o que melhor lhe interessa. Por exemplo, poderá alerar a consulta original para trazer os IPs por paises que mais consultaram as páginas de seu site para detectar origens que deseja filtrar e barrar no firewall: AppRequests     | where TimeGenerated > ago(1d)     | where Success == False     | summarize count() by ClientIP, ClientCountryOrRegion Outro exemplo é filtrar as requisições que tentaram baixar arquivos compactados diretamente de seu site, como o exemplo abaixo: AppRequests     | where TimeGenerated > ago(1d)     | where Success == False     | where Url contains "zip" or Url contains "rar"     | project ClientCountryOrRegion, ClientStateOrProvince, ClientCity, ClientIP, Url Um terceiro exemplo é eu conseguir identificar as tentativas de SQL Injection a partir dos comandos básicos utilizados para esse tipo de exploração de vulnerabilidade: AppRequests     | where TimeGenerated > ago(1d)     | where Success == False     | where Url contains "select" or Url contains "union"     | project Url, ClientCountryOrRegion, ClientStateOrProvince, ClientCity, ClientIP Conclusão Com o uso dos logs armazenados de sua aplicação será possivel visualizar os principais ataques e como se defender melhorando sua aplicação e ter um monitoramento de atividades.

Lançamento do System Center 2022–Ainda Vale a Pena? Será descontinuado?

07 abril 2022 msincic Cloud computing, Azure OMS, Azure, Configuration Manager, Data Protection Manager, Log Analytics, Governança, Microsoft Azure, Operations Manager, Orchestrator, Service Manager, System Center, Virtual Machine Manager, Azure Stack
A primeira vez que recebi o premio de MVP foi na categoria System Center, que depois alterou para Cloud and Datacenter Management (CDM). Com o crescimento exponencial das clouds publicas os ambientes on-premises passaram a ser integrados também aos recursos disponíveis em cloud publica e/ou migrados. Então recebo constantemente a pergunta “O System Center vai morrer?” e até afirmações “System Center foi descontinuado”. Com o lançamento do System Center 2022 em 1o de Abril voltamos estas perguntas https://cloudblogs.microsoft.com/windowsserver/2022/04/01/system-center-2022-is-now-generally-available?WT.mc_id=AZ-MVP-4029139 Sendo assim vamos a algumas questões e usarei uma apresentação que fiz no MVPConf. O que levou a essas conclusões? Atualizações semestrais foram descontinuadas (1801, 1909, etc), as atualizações seguiram o modelo anterior de Update Rollups a cada 12 a 18 meses e novas versões a cada 3 ou 4 anos Configuration Manager teve sua ultima versão 2012 R2 como a ultima que fazia parte da suíte System Center e passou a ser Enpoint Manager na familia do Intune Service Manager teve um comunicado do time de produtos em 2018 onde afirmavam que o produto não seria descontinuado Operations Manager não tinha uma integração com o Azure Monitor Virtual Machine Manager não dava suporte a recursos novos do Hyper-V e suporte limitado ao Azure Orchestrator com poucos pacotes de integração para 3rd partners Configuration e Endpoint Data Protection Manager Foi deslocado da família System Center para a família Endpoint Management Integração com Intune e novos recursos do Azure como Analytics (Log e Desktop) Possibilidade de utilizar roles diretamente na web (CMG) Licenciamento foi integrado nas licenças de Microsoft 365, Enterprise Mobility Suite (EMS), Intune add-on e CoreCal Bridge Conclusão: O produto não foi descontinuado nem se tornou uma nova família para se “desprender”, e sim um reposicionamento para o time de gerenciamento de Windows. Operations Manager Os Management Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc) Foi disponibilizado um Management Pack para Azure que permite fazer toda a monitoração e dashboards, recebeu integração com o Log Analytics, que alimenta os dados para uso no Azure Monitor Reduz custos e tem melhor performance nos alertas para servidores on-premisse, quando o ambiente é integrado com o Azure Monitor Projeto Aquila permitirá usar o SCOM como SaaS (fonte: ZDNET e Directions) Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados. Virtual Machine Manager Está sendo atualizado com os recursos novos do Windows 2019, mas o timeline entre novos recursos do Windows e a inclusão seguem os Update Rollups, de 12 a 18 meses Ainda é muito importante por conta de recursos em Cluster de Hyper-V e monitoração para quem utiliza Windows Admin Center vem incluindo diversos dos recursos que o VMM possui, mas os wizards do VMM são superiores Conclusão: Para grandes Clusters o VMM é indispensável, mas para gerenciamento de servidores Hyper-V segregados o Admin Center é uma boa opção. Data Protection Manager Manteve as características principais de backup apenas de produtos Microsoft on-premisse (SQL, Hyper-V, Exchange, etc) e VMWare. Não tem previsão de inclusão para produtos de terceiros Não suporta serviços do Azure, cada serviço do Azure possui ferramentas próprias de backup. Aceita agentes em Azure VMs, porem deve-se levar em conta custo de download Possui a versão gratuita Microsoft Azure Recovery System (MARS) que é um subset do DPM sem suporte a fitas Conclusão: Para ambientes Microsoft on-premisse ou Azure VMs para discos locais ou fitas ainda é importante, mas ambientes Azure utilizar os recursos nativos de cada serviço. Service Manager Portal de autoatendimento agora em HTML 5 Suporta integração com BMC, ServiceNow e outros, mas alguns conectores são pagos (3rd SW) Manteve-se fiel ao modelo ITIL v3 A construção de workflows foi melhorada incluindo uma interface mais amigável e mais recursos de integração com o Orchestrator Conclusão: É uma ferramenta da suíte que recebeu poucos avanços e manteve sua dependência do Orchestrator, que torna mais complexa a administração. Mas como faz parte da suíte é financeiramente justificável no conjunto. Orchestrator Os Integration Packs foram todos atualizados para os produtos novos (Windows Server 2019, Exchange, SharePoint, etc) Integration Packs de 3rd SW nem todos possuem atualizações, na maioria são pagos Agora suportando PowerShell v4 permite que se crie novas funcionalidades por código, o que remove as limitações dos Integration Packs Conclusão: Continua como uma ferramenta importante para ambientes on-premisse. Para ambiente cloud o Azure Monitor e outros são indicados. Alternativas ao System Center Com os avanços das ferramentas integradas como Hybrid usando Azure Arc e Azure Automation, você poderá estender os mesmos recursos nos servidores on-premises equivalentes ao System Center.

Azure ARC–Integração de Updates, Change Monitoring e Inventario

03 maio 2021 msincic Azure, Azure OMS, Cloud computing, Governança, Log Analytics, Microsoft Azure, Windows
Ao utilizar o ARC como já abordamos antes (http://www.marcelosincic.com.br/post/Azure-Arc-Gerenciamento-integrado-Multi-cloud.aspx), é uma duvida comum que recebo de pessoas da comunidade como habilitar as funções de Insigths que aparecem no painel do ARC. Criando ou Habilitando uma conta de Automação existente Para isso, o primeiro passo é ter uma conta de automação habilitada em uma região que faça o par com a região onde está o Log Analytics integrado ao ARC. Para saber as regiões que foram estes pares, utilize o link https://docs.microsoft.com/pt-br/azure/automation/how-to/region-mappings como por exemplo East US1 faz par com East US2 e vice-versa. Ou seja o Log Analytics precisa estar em uma das regiões e a conta de automação na outra. Ao criar a conta de automação e o Log Analytics, vá na conta de automação e configure a integração entre elas. No próprio painel da conta de automação já é possivel configurar os recursos de Update, Change Management e Inventários e depois no painel do ARC são visualizados já pronto. Habilitando os recursos Cada módulo pode ficar integrado a um Automation ou Log Analytics diferente, o que não é o meu caso. Uma vez integrado no proprio painel da conta de automação já é possivel ver os recursos e habilitar os computadores, veja que os que possuem o agente do ARC já irão aparecer no inventário. Para o caso de Atualizações (Updates) você precisará escolher os que desejará automatizar. Lembrando que uma vez configurado o controle de Updates é necessário criar as regras de agendamento para a instalação desses updates. Por fim, habilitamos o painel de Change Management indicando os computadores que queremos coletar. Na minha opinião este é o melhor dos recursos, já que em segurança e sustentação saber as alterações realizadas em cada servidor é um item essencial.